¿Cómo protegerse y reaccionar ante un ransomware?

¿Cómo protegerse y reaccionar ante un ransomware?

En los últimos meses, muchas empresas se han visto afectadas por un ransomware, una técnica de ataque cada vez más utilizada por los ciberdelincuentes que últimamente han cambiado un poco su modus operandi. Los grupos de atacantes ya no se conforman con cifrar los datos y hacer inaccesibles los sistemas, sino que ahora además amenazan con revelar la información que poseen.

Los últimos ciberataques sufrido por el SEPE o Acer provocan que muchas empresas estén mas preocupadas que nunca por averiguar como pueden hacer frente a este tipo de situación. Y hacen bien, porque estos ataques los hemos conocidos por su amplia repercusión en la prensa, pero son miles los que se producen cada años.

En el año 2020 se notificaron a la AEPD (Agencia Española de Protección de Datos) 1370 brechas de seguridad que afectaron a datos personales, pero se dan muchos más casos de ciberataques que no se notifican, bien porque no haya afectado a datos sensibles o porque la empresa quiera tapar el asunto, aún exponiéndose a una posible multa por no comunicarlo.

En este artículo me voy a centrar en el Ransomware, que es el virus que ha afectado al SEPE y a Acer y también es el que más preocupación está provocando en las empresas.

¿Qué es un ransomware?

El ransomware es una amenaza que se dirige tanto a las empresas como a los particulares y está cada vez más extendida. Nombres de virus como WannaCry o CryptoLocker han sido noticias desde principios de los 2000 y ya forman parte de la jerga habitual de cualquier empresa.

En términos generales, el ransomware es un software malicioso que toma como rehenes los datos de una persona, organización o empresa, cifrándolos o bloqueando el acceso al ordenador. A continuación, se pide a la víctima que pague un rescate para descifrar los datos o recuperar el acceso a su ordenador.

Aunque los métodos pueden cambiar, los objetivos siguen siendo los mismos: extorsionar o hacerse con datos sensibles. En cualquier caso, es importante identificar estas amenazas y sus métodos de funcionamiento.

¿Cómo se infecta el ransomware?

Para la mayoría de los ransomware, el método de infección es casi idéntico, el virus se introduce en el sistema y cifra el contenido de determinadas carpetas o impide que el ordenador funcione correctamente. A continuación, se muestra una ventana o mensaje en la pantalla, informando de que los datos han sido encriptados y que hay que pagar un rescate para volver a la normalidad.

Este tipo de archivos maliciosos pueden entrar en un ordenador de varias maneras, el más conocido es por los intentos de phishing, el ransomware se esconde en archivos adjuntos o en enlaces trampa en los correos electrónicos. Otros métodos más evidentes son los anuncios en sitios web de dudosa reputación, como páginas de piratería o de descargas ilegales.

El ransomware también puede provenir de archivos descargados, reproductores de vídeo online, documentos corruptos o software crackeado. Sobre este último punto, te aconsejo que descargues solo software original y del sitio oficial del editor.

La mayoría de las veces, una infección de ransomware es el resultado de una falta de protección informática, de una torpeza o de un error humano.

¿Quiénes son los objetivos de un ransomware?

Aunque los particulares fueron las primeras víctimas de los ataques de ransomware, los ciberdelincuentes ahora centran sus miras en las empresas y organizaciones, que son más propensas a pagar grandes rescates. En este caso, lo que está en juego es también a veces estratégico.

Tanto si se trata de un particular como de una empresa, los métodos de infección siguen siendo, en líneas generales, los mismos: la ejecución de un archivo corrupto y la descarga de un archivo adjunto corrupto.

Las medidas básicas para protegerse de un ransomware

El miedo a encontrar el ordenado bloqueado y los archivos encriptados preocupa tanto a los particulares como a las empresas. Por eso es importante adoptar buenas prácticas para protegerse al máximo contra todo tipo de ataques informáticos y especialmente contra el ransomware.

Actualizar el software

Amenazas como WannaCry infectan los ordenadores porque sus sistemas están desactualizados. Por lo tanto, es muy recomendable actualizar Windows con la mayor regularidad posible e instalar los últimos parches conocidos. El mismo consejo se debe aplicar a los programas informáticos que puedan tener agujeros de seguridad, como los navegadores web, Flash o Java.

Copias de seguridad

Es importante hacer copias de seguridad regularmente de tus archivos personales y profesionales en diferentes soportes y en la nube. Utilizar varios servicios de almacenamiento online es lo ideal para minimizar el impacto de una infección por ransomware y agilizar la recuperación de los datos respaldados.

Concienciar y evitar las trampas

A menudo son los errores humanos y las meteduras de pata los que conducen a una infección de ransomware. Por lo tanto, se recomienda evitar los sitios web no seguros, especialmente los que alojan productos crackeados, que desaconsejo descargar e instalar en tu ordenador.

Un buen antivirus

Aunque,Windows Defender ofrece una sólida protección contra las amenazas online y que también incluye un módulo dedicado a la protección de los archivos más sensibles para protegerlos contra el cifrado de datos, lo puedes combinar junto con otro antivirus gratuito, haciendo tu protección antimalware mucho más segura.

El buzón de correo electrónico

La mayor parte de los ransomware se propagan a través de correos electrónicos maliciosos, un simple clic en un archivo adjunto malicioso puede conducir a una infección. Por lo tanto, es aconsejable evitar las trampas de los intentos de phishing. Entre otras cosas, es importante comprobar el origen del correo electrónico, para ver si su contenido es coherente y parece oficial, pero también analizar el archivo adjunto: ¿es sospechoso? ¿Está justificada su presencia?

Vale, todo esto está muy bien pero, ¿y si es demasiado tarde?

¿Cómo reaccionar ante un ransomware?

Supongamos vuelves al trabajo después de un bonito fin de semana y que estás arrancando el ordenador, cuando de repente aparece un mensaje en tu pantalla que te impide acceder al escritorio de Windows. La advertencia, que utiliza un tono firme, afirma que todos los datos acaban de ser encriptados y exige un rescate que debe ser pagado en criptodivisas en un corto período de tiempo, a cambio de recuperar el acceso a tu ordenador. ¿Qué debes hacer entonces?

Lo más importante es desconectar rápidamente todos los ordenadores afectados de la red local y notificar al departamento de informática de tu empresa o al servicio de mantenimiento para que puedan tomar las medidas pertinentes. Procura proporcionar todos los detalles posibles sobre la amenaza capturando el mensaje que ves en pantalla e incluso, si es posible, enviando una muestra de los archivos cifrados.

Voy a ser claro, todavía no hay desencriptadores para todas las familias de ransomware, ya que el ransomware suele utilizar algoritmos de cifrado sofisticados y muy avanzados. Incluso si encuentras un desencriptador, no siempre está claro si va a coincidir con la versión del malware que te ha atacado. Y encriptar tus archivos aún más porque has usado el programa de descifrado equivocado seguro que es lo último que quieres. Por eso, antes de intentar nada, deberías prestar mucha atención al mensaje del ransomware en sí y pedir consejo a un experto en seguridad o informática.

También puedes deshacerte de la infección descargando una solución de seguridad como Malwarebytes, conocida por su capacidad de reparación y ejecutar un análisis para eliminar la amenaza. Esto no significa que puedas recuperar tus archivos, pero al menos tendrás la seguridad de haberte librado del virus. En todo caso, en muchas ocasiones suele ser necesaria una restauración completa del sistema.

Además, si se sospecha que el ataque ha afectado a datos privados, también hay que notificar del hecho a la AEPD. En este caso es necesario mencionar la naturaleza del ataque, el número de personas afectadas por la violación de datos y las consecuencias previstas de la infección.

No pagues el rescate

Por último, no cedas al chantaje. Te voy a dar 3 razones para ello. En primer lugar, no hay garantía de que vayas a obtener realmente la clave de descifrado una vez que pagues. En algunos casos, las empresas han pagado un rescate sin recibir nunca el resultado esperado.

La segunda, es que si una empresa paga, no hay nada que impida a los piratas informáticos volver a atacar y obligarles a pagar una y otra vez, y cada exigencia resulta ser mayor que la anterior.

Por último, reaccionar favorablemente a una petición de rescate es una forma involuntaria de fomentar el «modelo de negocio» del ransomware y exponer a otras empresas a un mayor riesgo.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *