¿Qué es el ransomware y qué tipo de problemas puede traer?
El ransomware tiene es fácil de entender conceptualmente, se trata de un tipo de malware que bloquea los dispositivos o encripta su contenido con el fin de extorsionar al propietario. Para recuperar el acceso a sus recursos el propietario deberá pagar una suma de dinero dentro de determinado plazo. Existen casos en que la infección incluye un timer que indica el plazo de pago, y si el usuario no lo cumple, aumenta el importe solicitado. Finalmente, el crimen se consuma si no se cumple con el pago ya que la información o el dispositivo se pierden irremediablemente.
Mas allá de estar en boca de todo el ambiente en estos días, en la actualidad el ransomware se ha convertido en el tipo más popular y extendido de Ciberataque. Su uso por parte de los delincuentes se ha extendido ampliamente durante los últimos años dada la efectividad que han obtenido atacando tanto dispositivos y pcs particulares como redes de empresas y organizaciones. Entre los más conocidos y con más impacto en nuestro Argentina se encuentran CryptoLocker, CryptoWall y TeslaCrypt en PC’s y Simplocker y LockerPin en celulares.
Respecto de los problemas que estas situaciones conllevan, a nivel empresarial es mucho lo que está en juego. Si una empresa pierde el acceso a sus recursos o a su información, ve disminuida su capacidad de operar, esto podría llevar a graves pérdidas financieras y obviamente al daño de su reputación si el caso se hace público.
¿Qué sistemas son más vulnerables a este tipo de amenazas?
Este tipo de ataques abarca tanto a PC’s como a servidores de datos, la novedad esta vez es que ha alcanzado a muchos Smartphones y tablets, y esto es porque los sistemas más afectados son, además de las diferentes versiones de Microsoft Windows, los sistemas operativos Android. Linux y lo sistemas operativos de Apple también son objeto de este tipo de ataques aunque su impacto es menor por diversos factores.
¿Cómo podemos protegerlos?
La protección para este tipo de amenazas pasa por trabajar sobre todo en la prevención, y si bien en cada caso en particular se aplica una estrategia distinta existen una serie de pasos generales que son comunes a todos:
Realizar periódicamente copias de seguridad de la información.
Mantener actualizados sistemas operativos y las aplicaciones, instalando los hotfix que las marcas liberan regularme para corregir nuevas vulnerabilidades y problemas encontrados.
Utilizar un antivirus (mi recomendación en este caso pasa por los productos de ESET ya sea Nod o la suite Endpoint ), mantener actualizado su motor y las firmas de seguridad que generan constantemente.
Mantener siempre el firewall activado.
A su vez, para las empresas existen puntos adicionales que refuerzan la seguridad y que ayudan a limitar aún más la superficie posible de infección:
Trabajar en una política de seguridad integral.
Controlar el uso de unidades removibles y descarga de internet.
Controlar el uso de los dispositivos móviles en la organización.
Trabajar en la educación de los usuarios
Definir un plan de acción en caso de infección.
En caso de haber caído en una amenaza... ¿Qué medidas debemos tomar?
En caso de advertir que algo anda mal, por ejemplo tenemos dificultades para abrir archivos almacenados, desconectar de inmediato el dispositivo de Internet y de la red y si es posible, también de la red eléctrica. De esta forma se puede impedir la comunicación entre el software malicioso y su servidor antes de que finalice el cifrado de los datos aunque esta técnica no es infalible, al menos le dará una oportunidad de salvar algunos de los archivos importantes antes de que se terminen de cifrar. Luego comuníquese con su departamento de IT o su soporte técnico para aplicar el plan de acción correspondiente.
En caso de que la infección se haya producido, se debe recurrir al backup para restaurar la información comprometida además de trabajar en la identificación y corrección de la acción o evento que llevo a que produzca la infección. En este punto es muy importante destacar que nunca se debe pagar por el rescate En primer lugar, porque Nada garantiza que los atacantes descifren los datos afectados o desbloqueen el dispositivo a cambio del pago y además aunque los autores del malware efectivamente le proporcionen la clave de descifrado, no hay ninguna garantía de que funcione. Además, si se paga a los delincuentes, ¿cómo saber que no van a volver por más? Si tuvieron éxito al atacar, es posible que consideren débil la seguridad y traten de volver a aprovecharse.