11 de
Junio , 2021
Recientemente hemos escuchado más casos sobre el secuestro de datos por código malicioso, como el ataque que sufrió hace algunas semanas la Lotería Nacional y como este caso existen muchos más involucrando a pequeñas,medianas y grandes empresas aunque no solo se limitan a estas ya que también se han visto comprometidos hospitales y dependencias gubernamentales alrededor del mundo.Esta situación es realmente alarmante porque puede suponer un riesgo a la infraestructura crítica tanto del sector público como privado, tal y como sucedió con el ataque al gasoducto más grande de Estados Unidos.
Esto pone en perspectiva la gran importancia que se le debería dar a la ciberseguridad en las organizaciones.
¿Qué es el Ransomware?
El término Ransomware se refiere a un acrónimo formado por las palabras Ransom (rescate) y malware (código malicioso).
Este tipo de malware, al ejecutarse comienza un proceso de cifrado que encripta la información contenida en la computadora de la víctima haciendo que sea imposible acceder a los datos secuestrados.
A su vez despliega una pantalla que contiene la suma de criptomonedas a pagar y el plazo de tiempo que tiene la víctima para recuperar sus datos, además en ocasiones también se amenaza con difundir los datos obtenidos por los cibercriminales.
Las empresas y entidades gubernamentales son las más afectadas, ya que los cibercriminales realizan ataques a organizaciones que creen tienen la posibilidad de pagar dicho rescate, aunque esto no exenta a los usuarios comunes de también sufrir un ataque de Ransomware.
Esto favorecido por la ausencia de ciberhigiene que sigue predominando en la mayoría de las organizaciones de América Latina, siendo Brasil, México y Argentina los países más afectados por ciberataques.
¿Cómo se propaga el Ransomware?
Como lo mencionamos anteriormente, las empresas y organizaciones son las más afectadas por este ataque. Ejemplificando, el atacante obtiene acceso a la red de la organización y mientras está dentro de ella, puede ir estudiando el comportamiento de esta, su organigrama, departamentos que la componen, su funcionamiento etc. Esta es la fase de reconocimiento y esto puede llevar incluso meses y no ser detectada la intrusión, lo cual le ayudará a personalizar el ataque mediante ingeniería social que hará más efectivo que la víctima caiga en la trampa.
En el momento que crea conveniente el atacante puede aprovechar vulnerabilidades tanto de los sistemas como del personal que es parte de la organización para lanzar el Ransomware.
Puede valerse de varios recursos, el más común es el llamado phishing que se distribuye por correo electrónico infectado con el malware o pidiéndole a la víctima que de click en un enlace o descargue algún archivo adjunto lo cual ejecutará el código malicioso, este tipo de código de distribuye en la red interna infectando el mayor número de equipos conectados a ella.
Pero no es la única manera, también se pueden aprovechar las brechas de seguridad,contraseñas débiles, sistemas y certificados de seguridad obsoletos o desactualizados, vulnerabilidades encontradas en los sistemas operativos o hasta una mala configuración en ellos.
Muchas empresas siguen utilizando sistemas operativos obsoletos y que ya no reciben actualizaciones, como por ejemplo Windows XP o Windows 7 lo que representa un riesgo mayúsculo para la organización.
El aumento de las conexiones remotas debido a las restricciones causadas por la pandemia del COVID-19, la poca concientización del personal activo en las organizaciones, las contraseñas vulnerables y la poca ciberhigiene han sido el caldo de cultivo para el aumento y propagación de este tipo de ataque.
También se da la distribución masiva y aleatoria de dicho malware mediante correo electrónico o spam, lo que aumenta el número de posibles víctimas. La instalación de software pirata, visitar sitios web inseguros e introducir dispositivos de almacenamiento de dudosa procedencia también pueden traer como consecuencia la infección por Ransomware.
¡He sido víctima de Ransomware!
La medida inmediata es aislar el equipo infectado para evitar que se propague a otros equipos conectados a la red.
Para este punto, quien es víctima de este tipo de ataques tiene la difícil decisión de pagar el rescate o resignarse a perder su información, ya que el costo por recuperar la información comprometida no es nada barato.
Los costos de rescate no son estáticos, y varían dependiendo el tamaño de la organización, su importancia y el criterio de los atacantes, pero los rescates exigidos a distintas organizaciones han ido desde los $10,000 dólares hasta los $10,000,000 de dólares, esto debido a que normalmente el pago se pide en Bitcoins y este tiende a ser muy volátil en su precio. Además los atacantes han llegado a pedir una suma extra por no divulgar o vender a terceros la información secuestrada.
Cabe destacar que el pagar el rescate por la información secuestrada no garantiza el recuperarla o el no volver a ser víctima de un nuevo ataque, por lo que se recomienda no pagar dichas extorsiones.
Esta práctica ha ido aumentando porque los ciberdelincuentes han visto un modelo de negocio sólido en el cual la víctima está dispuesta a pagar grandes cantidades de dinero por su información comprometida.
Algunas organizaciones han optado por contratar seguros que absorban el costo del rescate en caso de ser víctima de este ciberataque,esto puede comprender un gasto significativo a la empresa, ya que el aumento de los ataques y la modificación de las cláusulas en las pólizas han puesto en tela de juicio la efectividad de contratar estos seguros, pero esta práctica también puede causarle a la organización problemas legales, ya que en países como Estados Unidos las sanciones por pagar dicho rescate pueden alcanzar sanciones de hasta 20 millones de dólares ya que se argumenta que se está financiando una práctica ilícita.
El seguir las buenas prácticas de ciberseguridad puede evitar que seas víctima de Ransomware.NO MORE RANSOM
Es un proyecto en conjunto de McAfee, Kaspersky, Politie, AWS, Barracuda y la Europol que se ha dedicado a descifrar algunos Ransomwares, que su intención es ayudar a las víctimas de estos ataques a descifrar sus archivos encriptados sin tener que pagar por el rescate y regularmente van actualizando su lista con nuevos malwares descifrados.
Como lo mencionan en su página, no todos los ransomware tienen solución, pero siguen trabajando arduamente para tratar de ayudar a quien fue víctima de estos temibles ataques.
Recomendaciones para evitar ser víctima de Ransomware
- Realizar respaldo de información o backup periódicamente y de preferencia en un sistema aislado para que no se vea comprometido, así si se llegase a ser víctima de un ataque se puede restaurar el sistema a un punto anterior al ataque.
- Tener instalados software antimalware y un firewall que nos ayude a identificar amenazas, además de tener bien configurados dichos cortafuegos.
- Mantener actualizados los sistemas operativos y programas que se utilizan, los atacantes aprovechan las vulnerabilidades de los sistemas desactualizados, lo que les hace más sencillo el ataque.
- Concientizar al personal de la empresa sobre ciberseguridad y los riesgos a los que se pueden enfrentar, ya que son la primera línea de defensa y a menudo son quienes representan la mayor vulnerabilidad de la organización.
- Al encontrarse con un correo electrónico sospechoso, evitar abrirlo o ejecutar cualquier archivo adjunto dentro de él. Analizar el remitente y comprobar que sea de una dirección genuina también puede ayudar a evitar este malware.
- Evitar instalar software pirata, estos pueden tener incrustado en su código el malware que al ejecutarlo pondría en riesgo el equipo en el cual ha sido instalado.
- No proporcionar información personal, los ciberdelincuentes pueden utilizar dicha información para personalizar los ataques. Si recibes alguna llamada o mensaje pidiendote este tipo de información, asegurate que el remitente sea legítimo, las empresas normalmente no piden información personal a menos que tu te hayas comunicado o sea un trámite específico.
- Utilizar servicios VPN si la conexión se hace desde una red pública, ya que las Wifi públicas están vulnerables porque carecen de medidas de protección y de preferencia evita conectarte a sitios con información delicada desde redes públicas.
- Verifica los sitios desde donde se realizan descargas y no descargar archivos desde sitios sospechosos, asegurate de que el sitio sea legítimo, el que empiece con https en un buen indicativo de que es seguro.
- Evita utilizar dispositivos de almacenamiento desconocidos, el introducir una USB sin saber de donde proviene ya representa un riesgo, ya que puede contener malware.
Escrito Por:
Alan Tapia
Security Consultant
