miércoles, 6 de julio de 2022

Previniendo ser víctima del ransomware

Por Marvín G. Soto 

El ransomware es esa pesadilla en la que el malware bloquea y cifra uno de sus activos mas valiosos. Una vez que eso ocurre te piden una buena cantidad de dinero a un ciberdelincuente anónimo para recuperar el acceso a tu información o, en ocasiones, es posible que aunque pagues no tengas acceso de ninguna manera. Cuando se trata de ransomware y ataques de ransomware, en nuestra historia no tan reciente hay una larga lista de empresas que han sido víctimas.

De hecho, el primer ataque conocido de ransomware fue iniciado en 1989 por el PhD Joseph Popp, un investigador del AIDS, quien llevó a cabo el ataque distribuyendo 20,000 disquetes a investigadores del AIDS en más de 90 países, alegando que los discos contenían un programa que analizaba mediante el uso de un cuestionario, el riesgo de un individuo de adquirir el SIDA.

Sin embargo, el disco también contenía un programa de malware que inicialmente permaneció inactivo en las computadoras y solo se activó después de que una computadora se encendió 90 veces. Después de alcanzar el umbral de 90 inicios, el malware mostraba un mensaje que exigía un pago de $189 y otros $378 por el alquiler del software. Este ataque de ransomware se conoció como el troyano del AIDS o PC Cyborg.

El segundo caso se dio con el GPCoder (2004/2005). En este malware aparecía un mensaje en la pantalla de inicio del usuario, dirigiéndolo a un archivo .txt publicado en su escritorio. El archivo contenía detalles sobre cómo pagar el rescate y desbloquear los archivos afectados. Exigía un rescate de $200.

Desde su creación a finales de la década de los 1980, los ataques de ransomware se han vuelto más peligrosos y dañinos. Los ciberatacantes han adquirido habilidades más excepcionales para cifrar archivos y robar datos vitales, sensibles o protegidos. Si bien todo esto abruma, la información sobre los ataques de ransomware han dejado claro su móvil: han tenido un vector inicial similar.

Ahora ya no se cuestiona si una empresa pudiese ser atacada por un ransomware, lo que importa es, si fuese atacada, ¿qué se debe hacer? Es decir, una organización hoy día incluso si siente que está completamente preparada para defenderse de un ataque de este tipo o recuperarse de él, quiere estar preparada para que nadie en su organización sea víctima del engaño cuyo vector daría ventaje a los ciberatacantes.

El consejo fundamental a la hora de tratar el ransomware, es evitarlo.

Las acciones preventivas son las acciones más efectivas sin margen de duda, porque siempre es mejor prevenir que curar. Si el riesgo se materializara, quitarlo puede incluir desde una insuficiencia de planes y habilidades técnicas, así como el pago de rescates, daños a la reputación o a la marca, discontinuidad de servicios, pérdidas económicas, perdida de datos y/o sistemas, consecuencias regulatorias o legales, entre muchos efectos colaterales o residuales que incluso podrían ser incalculables.

Si usted está en lado de los que preferimos prevenir -sin duda el mejor de los lados-, te presento una excelente lista de buenos consejos para impulsar medidas en esta línea para mitigar una infección de ransomware.

Nuestro primer consejo en esta lista es que mantengas rigurosamente gestionada una copia de seguridad de tus datos, configuraciones y servicios. Claro, esto no evita un ataque de ransomware, pero reduce sus consecuencias. Una gestión adecuada de las copias de seguridad ayuda a recuperar sus activos críticos si un ataque de ransomware los hace inaccesibles. Los activos críticos respaldados ayudan a remediar una infección de ransomware al igual que limpiar y volver a crear imágenes de los sistemas infectados. La continuidad de sus activos críticos se garantiza si tiene una copia de seguridad, ojalá en varias formas; es decir, calientes, fríos o en la nube.

Esta sola acción podría beneficiarle para que ni siquiera necesite pagar el rescate y sumado que te recuperes con mayor rapidez. Claro, hasta ahora no estamos considerando la fuga de datos como daño sensible.

El segundo consejo es no subestimar el uso de un buen software de seguridad. Disponer de un software de seguridad ayuda a proteger, detectar y advertir de la aparición de algún objeto de software malicioso que pueda desplegarse como el vector inicial de un ataque de ransomware.

Como hemos citado en otros artículos, el vehículo mas empleado para el transporte del ransomware, son los correos electrónicos maliciosos en los que además se emplean conocidas técnicas de ingeniería social. Así que un buen comienzo es asegurarnos un software de seguridad para filtrar los correos en busca de contenidos maliciosos.

Podemos agregar capacidad de detección de malware por consecuencia, considerando la detección de intrusos, el análisis automático y avanzado de la red, el uso de motores de aprendizaje de máquina para aumentar las capacidades de análisis, que refuercen el bloqueo los artefactos sospechosos o infectados, frustrando que el ransomware ataque su organización o sus equipos de usuario final.

Pero bueno, aquí tenemos que añadir un tercer consejo. Pues sucede según la experiencia hasta ahora que tener un software de seguridad no es suficiente. Lo anterior, dado que la aparición constante de vulnerabilidades hace que la actualización periódica del software es imprescindible. Las actualizaciones periódicas ayudan a proporcionar el más alto nivel de protección. Créalo o no, cada actualización es crucial, ya que maximiza las capacidades de defensa de su software contra ataques, entre ellos por supuesto; los de ransomware.

Una gestión rigurosa de la actualización de sus dispositivos, sistemas y aplicativos hace que su organización sea menos vulnerable.

Este cuarto consejo, aunque nos parezca trillado aplica para todos. Sabidos o no, letrados o no, alfabetizados o no, por favor; sea acucioso y nunca haga clic en enlaces antes de someterlos a un análisis previo. No lo haga, sin importar cuán tentadora o real parezca, debemos apelar a la desconfianza y a la verificación “ad-portas”.

Muy generalmente, los mensajes de spam -esos que parecen que nos sacarán de deudas, que nos darán algo inesperado y bueno-, contienen enlaces que descargan automáticamente software malicioso. ¡Como aprovechan los ingenieros sociales las estrategias de engaño, el neuro marketing, el apelar a nuestras emociones o necesidades para llevarnos a sus fauces!

Tan pronto como haga clic en el “enlace malicioso”, es probable que esté a merced de ciberatacante, se convertirá en el vector alfa de la parafernalia y acarreara un daño incalculable y quizá irreparable a su organización. Recuerde, pensar antes de actuar, ¡causa efecto!

Muy cercano al anterior, nuestro quinto consejo es evitar abrir archivos adjuntos de correo electrónico que no sean de confianza, de una fuente conocida y sometiéndolos al escrutinio de sus herramientas de seguridad previamente.

Como se mencionó anteriormente, este es otro vector de ataque usado por el ransomware puede atacar a las víctimas. No abra ningún mensaje sospechoso en su bandeja de entrada o bandeja de correo no deseado, sin importar si proviene de un remitente conocido. ¡Seamos desconfiados por defecto! No abra archivos adjuntos que soliciten, por ejemplo; habilitar el uso de macros, permitir secuencias de comando o que levanten alertas en su software de seguridad de usuario final. Lea las señales de advertencia. Un archivo adjunto infectado en un correo electrónico al abrirlo le dará al malware control libre sobre su dispositivo y a través de este, a toda su organización.

Perdonen, en este sexto consejo daré por sentado que nuestra profilaxis en el uso de nuestros recursos tecnológicos debe también ser sometido a escrutinio. Por ejemplo; ¿te gusta andar insertando de computadora en computadora tus dispositivos de almacenamiento USB? ¿Te vale si conoces o no la procedencia del dispositivo USB que insertaras en tu dispositivo? El consejo de facto es que no los use.

Pero miren, si debe usarlos por situaciones insoslayables o si tu organización te permite -cosa que no debería- transportar información de aquí para allá en sus dispositivos, procure que NO sean dispositivos de almacenamiento USB desconocidos y no inserte un dispositivo de almacenamiento USB que no le sea familiar o conocido en su dispositivo. Tampoco ande insertándolos en cuanto dispositivo se lo permita o se le antoje. Es espeluznante cuando vemos a alguien sin mayor reparo hacer estas cosas. Decir además por si no fuese suficiente con estas reiteraciones, que por amor a cualquiera que sea su Dios, escanee y filtre los contenidos a través de su software de seguridad y minimice como practica profiláctica el uso de estos dispositivos.

Finalmente, nuestro séptimo y último consejo es que use un servicio de VPN cuando deba conectarse a Wi-Fi público y no se conecte a su organización sin usar alguna tecnología de microsegmentación de perímetro definido por software (SDP) que verifique y no confíe por defecto.

Nuestra recomendación es ser sumamente cautos al valorar conectarnos a un punto de acceso público, sobre todo si no usa mecanismos de protección razonables contra inyecciones de ransomware y/o ataques de hombre en medio.

Vaya adelante, no crea que a usted no le puede pasar, no se sienta el más diestro y preparado. Deje a un lado sus presunciones al considerar que no es obvio que un ataque de ransomware puede infectar a su organización a través suyo.

Siga los consejos y las reglas fundamentales de su organización, manténgase informado y educado sobre la actualidad de las estrategias en los ataques de ransomware y esté alerta. Sin duda estos rápidos consejos son claves para evitar ser víctima y en consecuencia hacer víctima a su organización.

Una cosa mas… si usted ya conoce como prevenir el ramsonware, sea un evangelista entre sus conocidos, colegas y familiares, sin duda; hará un gran bien a todos.

Tomado de Marvín Soto, con permiso de su autor

No hay comentarios: