Por: Javier B. Montaño Torres
Alrededor de 1.5 millones de nuevos sitios de phishing se crean cada mes. Y se detectaron más de 850 millones de infecciones por ransomware en 2018. Estas estadísticas ilustran la amenaza que representa el ransomware para los profesionales de TI y todo tipo de organizaciones.
El ransomware es un tipo específico de malware diseñado para cifrar el contenido de la computadora hasta que su usuario pague para recibir la clave de cifrado o recuperación. Esto interrumpe la productividad y afecta los ingresos del negocio. Sin embargo, los profesionales de seguridad pueden tomar medidas importantes para minimizar el impacto de esta plaga cibernética.
La primera línea de defensa es siempre un buen ataque. Para evitar que un atacante gane posición en sus redes, las organizaciones deben implementar las siguientes medidas:
Mejores prácticas, como sólidas políticas de aplicación de parches, copias de seguridad periódicas del sistema, autenticación multifactorial, listas blancas para aplicaciones y restricciones de derechos y privilegios de administrador;
Programas de concientización para educar a los usuarios sobre phishing y otras formas de ingeniería social;
Herramientas de seguridad para filtrar spam y enlaces, bloquear o filtrar DNS, identificar virus, detectar y evitar intrusiones;
Estructura de confianza cero para identificar, autenticar y monitorear cada conexión, inicio de sesión y uso de recursos;
Políticas con menos privilegios para restringir los permisos para instalar y ejecutar aplicaciones.
Minimizar el impacto del ransomware es más que solo defender los sistemas contra ataques. También implica medidas para reducir el impacto de las violaciones cuando ocurren. Esto es crítico, ya que cualquier sistema puede ser atacado por intrusos que tienen suficiente tiempo y recursos.
Se deben implementar programas estrictos de respuesta a incidentes. Planificar con anticipación genera confianza en esta capacidad de reacción. Para hacer esto, las empresas deben revisar sus políticas y realizar ejercicios de simulación. Deben usar puntos de referencia operativos para mejorar la capacidad de respuesta antes de que ocurra un incidente.
Los hackers continúan evolucionando y desarrollando ataques más sofisticados. Por lo tanto, es probable que cualquier compañía sea atacada en algún momento por ransomware. Cuando esto sucede, los siguientes cuatro pasos pueden minimizar los impactos y ayudar a recuperar los datos de la organización:
Paso 1: Aislamiento
Antes de hacer cualquier otra cosa, asegúrese de que los dispositivos infectados se hayan eliminado de la red. Si usan una conexión física, desconéctelos. Si están en una red inalámbrica, desligue el hub/enrutador inalámbrico. También desconecte los sistemas de almacenamiento conectados directamente para tratar de proteger los datos en esos dispositivos. El objetivo es evitar que la infección se propague.
Paso 2: identificación
Este paso a menudo se pasa por alto. Con solo unos minutos para averiguar qué sucedió, las empresas pueden recopilar información importante, tal como qué variante de ransomware fue responsable de la infección, qué tipo de archivos encripta este tipo de ransomware generalmente y cuáles son las opciones de descifrado. Las empresas también pueden aprender a vencer al ransomware sin pagar o restaurar los sistemas desde cero.
Paso 3: Informe
Este es otro paso que muchos profesionales de seguridad pasan por alto debido a vergüenza o limitaciones de tiempo. Sin embargo, al informar el ataque de ransomware, las empresas pueden ayudar a otras organizaciones a evitar situaciones similares. Además, proporcionan a los organismos encargados una mejor comprensión del intruso. Hay varias formas de informar un ataque de ransomware. Una de ellas es comunicarse con una oficina del FBI en los Estados Unidos o presentar un informe en el sitio del Centro de FBI para Quejas sobre Delitos en Internet. Los sitios OnGuardOnline de la Federal Trade Commission y Scamwatch, un esfuerzo de la Comisión Australiana de Competencia y Consumidores, también recopilan dichos datos.
Paso 4: Recuperación
En general, hay tres opciones para recuperarse de un ataque de ransomware:
Pagar el rescate: Esto no se recomienda porque no hay garantía de que la organización recupere los datos después del pago. En cambio, un atacante podría solicitar aún más dinero antes de descifrar los datos.
Eliminar el ransomware: Dependiendo del tipo de ransomware involucrado, la empresa puede eliminarlo sin requerir una reconstrucción completa. Sin embargo, este proceso puede llevar mucho tiempo y, por lo tanto, no es la opción preferida.
Limpiar y reconstruir: El método de recuperación más fácil y seguro es limpiar los sistemas infectados y reconstruirlos a partir de una copia de seguridad conocida. Una vez reconstruido, las organizaciones deben asegurarse de que no quede rastro del ransomware. El trabajo, de hecho, comenzará una vez que el medio ambiente haya sido reconstruido. La organización debe llevar a cabo una revisión exhaustiva del ambiente para determinar exactamente cómo comenzó la infección y qué pasos se deben tomar para reducir otra posible invasión.
Por supuesto, no es posible evitar todos los ataques de ransomware. Sin embargo, se puede garantizar que, en caso de una invasión, el daño no se extenderá, no afectará los negocios ni se convertirá en un titular.
Al evitar la mayoría de los ataques y lidiar rápidamente con los malos actores que entran por la puerta – con la ayuda del aislamiento dinámico, la micro-segmentación y otras tecnologías modernas de seguridad cibernética -, las organizaciones serán capaces de mantener sus negocios en marcha.
*Mathew Newfield, Corporate Information Security Officer (CISO) Unisys. Wayman Cummings y Salva Sinno también contribuyeron al artículo.