Ransomware ¿Que vas a hacer tú?

El ransomware está haciendo estragos en organizaciones de todo el mundo. No es algo que le pase a otros. Es una amenaza real y muy probable. ¿Estás preparado para afrontar esta amenaza? Y si te sucede, ¿Sabes cómo manejar el incidente?

El planteamiento del Ransomware no puede ser más simple. Malware que se ejecuta en un ordenador para cifrar los datos usando unos algoritmos y claves que sólo conoce el atacante. Si la víctima quiere volver a tener acceso a sus datos, tendrá que pagar un rescate para que le proporcionen las claves que permiten revertir el cifrado. ¡Simple!

Una aplicación de pocas líneas al alcance de programadores con nociones básicas de desarrollo y criptografía, puede poner al borde del colapso a cualquier organización. Téngase en cuenta que no trata de inutilizar los ordenadores, “tumbar” servidores. El Ransomware, hace un cifrado selectivo de carpetas y tipos de archivos: “Mis Documentos”, extensiones pdf, doc, pst, etcétera. Sí, los ordenadores son totalmente operativos. Pero los datos de muchos años, eso no.

Y el Ransomware es un tipo de extorsión que está proliferando no porque sea sencilla de perpetrar y difundir. Lo es porque cada vez más el crimen organizado está viendo La Red como escenario perfecto para sus fechorías. Con poco esfuerzo y un mínimo riesgo, se puede conseguir mucho más beneficio que con los crímenes convencionales. ¿Qué es más fácil y reporta más beneficio, perpetrar asaltos a mano armada o difundir keylogger? ¿Cuántos asaltos se pueden perpetrar y cuántos troyanos se pueden “colar”? ¿Qué probabilidad hay de acabar en la cárcel si uno se dedica a los asaltos a mano armada o a desvalijar cuentas desde el salón de su casa?

El cibercrimen ha dejado de ser algo exclusivo de individuos aislados “antisistema” y “raritos” informáticamente capacitados para convertirse en una lucrativa y novedosa “área de negocio” del crimen organizado. Las estafas y extorsiones en Internet están a la orden del día, cada vez son más frecuentes y sofisticadas, y el Ransomware es sólo el ejemplo más inmediato de esta tendencia. Es una amenaza probable que hay que tomar muy en serio. No es algo que sólo le puede pasar a otros. Algunas estadísticas sobre el impacto y efecto de este tipo de malware así lo indican. Y eso que no se refleja el problema en toda su dimensión. Hay muchas organizaciones que callan estos ataques para evitar que su reputación se menoscabe. Porque es una cuestión que poco se considera cuando se cuantifica un ataque informático. Sólo hay que considerar el sonado ataque que sufrió Sony hace algún tiempo, pero que casi todo el mundo recuerda. Dolió más en la reputación de la multinacional que en su contabilidad.

Maniobra de distracción

El cifrado de archivos que se hace con Ransomware no siempre puede tener un objetivo económico claro y único. Puede servir para enmascarar otro tipo de ataque. Desviar la atención en el cifrado de datos y el posible rescate puede hacer que el robo de información o las evidencias de otras intrusiones pasen completamente desapercibidas para los responsables del sistema.

¿Qué hay que hacer para protegerse de esta amenaza tan probable? ¿Hay que instalar nuevos programas o dispositivos?

Pues la verdad es que no. Hay que hacer lo de siempre: aplicar el sentido común para no convertirse en una víctima de los ciberestafadores, y seguir unas recomendaciones elementales. Lo primero, tener instalado y actualizado software antimalware en cada punto en donde se produce intercambio de información en el sistema: servidores y clientes. El correo electrónico y acceso a páginas web tiene que tener una especial consideración para prevenir este tipo de ataques, al ser el principal vector de propagación de malware. Los actuales programas de inspección del correo de servidor y los programas “antivirus” de dispositivo final, endpoint, están preparados para detectar un amplio abanico de ataques y vulnerabilidades incluida en Ransomware.

Hay que preocuparse de tenerlo actualizado con la frecuencia que marque el fabricante y hacer lo posible para que el programa no se desactive.

La mejor forma de enfrentarse a la amenaza del Ransomware, como siempre, es actuar preventivamente. Programas de antivirus, concienciación de usuario y técnicos. Y contar con un buen plan de backup.

Y es aquí en donde entra en juego el usuario o el operador de servidor. Han de estar perfectamente concienciados de la amenaza para que sospechen de casi todo, y anden con tres ojos respecto a las distintas formas en que se les puede presentar el malware. No pueden desactivar el antivirus bajo ningún concepto, lanzar programas desconocidos o acudir a sitios web de dudosa catadura.

Si estas dos medidas se aplican, se ha conseguido mucho: se ha reducido drásticamente la posibilidad de pasar a engrosar las estadísticas de “incautos”. Y sólo queda tener en cuenta una medida adicional para completar la protección frente a este tipo de amenaza: Backup, copias de seguridad. Cuando se habla de seguridad informática, siempre se tiene que hacer desde la perspectiva de que es imposible estar protegido al 100%. Si las copias de seguridad son irreemplazables en cualquier estrategia de seguridad, para afrontar el ransomware aún más. Si los archivos de datos son cifrados, se restaura desde backup y queda resuelto el problema. Así de fácil. Las organizaciones que tienen problemas con el ransomware son aquellas que descuidan “los deberes” respecto a la seguridad: No instalan antivirus y/o lo mantienen desactualizado, no conciencian a los usuarios, no hacen copias de seguridad…

Probar el backup

El backup es esa cosa que todo el mundo hace con más o menos frecuencia pero que nadie sabe si realmente servirá llegado el caso. Hay que hacer copias de seguridad y también comprobar que se está haciendo bien y que quien tiene que restaurarlo sabe cómo hacerlo si es necesario recurrir a la copia de seguridad.

Del mismo modo, frente al Ransomware hay que considerar que el backup conviene que esté fuera del sistema respaldado. La propagación de este malware puede provocar que también acaben cifrados los archivos de backup…

Pero, si ocurre, si por la razón que sea los datos informáticos son secuestrados y no hay forma de restaurarlos, qué hacer, a quien acudir. Lo primero, denunciar el caso a las autoridades competentes que se encargarán de llevar a cabo las averiguaciones con las que tratar de dar con el origen de la extorsión y aplicar el “peso de la ley”. Si es posible…

La decisión de pagar depende de cada caso, de la gestión del riesgo. Hay que barajar la posibilidad de pagar considerando que se puede sentar un precedente y que conviene “regatear” con el hacker. Siempre, siempre, denunciar a las autoridades.

Si hay que enfrentarse a un caso de ransomware, lo primero que hay que hacer es un “análisis y gestión del riesgo”. En otras palabras, se paga o no se paga. La recomendación primera siempre es no pagar, no ceder al chantaje. La idea es básica, si hay disposición a pagar una vez, porque no va a hacerlo más veces. Y si se corre la voz… El pago del rescate que puede verse como la forma de resolver el problema fácil y rápidamente, puede ser el principio de muchos otros “problemas” similares más. Con esta premisa, hay que evaluar el daño de la pérdida de datos, el impacto del ataque, y decidir en consecuencia si se hace el pago o no.

Y en caso de que la elección sea acceder al pago, por la razón que sea, aunque suene raro, hay que “regatear” ese rescate. A menos que el ataque haya sido “ad hoc”, diseñado y perpetrado contra el sistema víctima específicamente, en los ataques indiscriminados hay que considerar que no hay nada personal. El atacante ha difundido su malware simplemente con la intención de ver cuantos incautos puede “pescar”. Por esto, el rescate, normalmente cuantificado en bitcoin a pagar en algún oscuro site del Internet profundo, es fácil que sea negociable. Hay que partir de la idea de que el atacante no tiene los datos. Los archivos cifrados no salen del sistema por lo que el atacante no puede obtener ningún beneficio con ellos. De nada le sirve que su víctima tenga sus discos duros llenos de archivos inaccesibles. Seguro que se aviene a aceptar una cantidad de bitcoin distinta a la exigida en un primer momento. Seguro que se conforma con sacar algo de dinero, no todo el dinero. Si se negocia, es posible que el problema no sea tan grave “económicamente” y se pueda sobrellevar en la medida en que se sobrellevan este tipo de incidentes.

En conclusión, frente a la nueva plaga, el ransomware, lo mejor es acudir a los remedios de siempre que pasan por tener instalado los programas de protección adecuados y bien mantenidos, concienciación de los usuarios y un buen plan de copias de seguridad. Si a pesar de los pesares, el sistema acaba siendo víctima de la extorsión, no sólo hay que lanzar un par de juramentos en arameo. Hay que gestionar el incidente. Siempre perder cualquier inhibición y denunciar con la esperanza de que las autoridades puedan poner alguna solución. Si la denuncia no aporta solución, decidir si se paga o no, algo que va en el análisis de la situación que se haga. Y si se paga, asumir que se está destapando la caja de pandora y que hay que negociar ese rescate.

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
¡Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *