Los Ciberataques se profundizan día a día y el secuestro de información es uno de los males que preocupan a las empresas. Conocido como ransomware, tiene como fin encriptar el contenido con el fin de extorsionar al propietario. El Ing. Horacio Biscoglio, Director de Consultores en IT, explica qué medidas tomar ante este tipo de situaciones.
¿Qué es el ransomware y qué tipo de problemas puede traer?
El ransomware tiene un concepto muy sencillo y fácil de entender, es un tipo de malware que bloquea los dispositivos o encripta su contenido con el fin de extorsionar al propietario. Para volver a tener acceso a dichos recursos el propietario deberá pagar una suma de dinero dentro de un tiempo determinado, En ciertos casos, incluye la infección incluye un temporizador que indica el plazo de pago, si el usuario no lo cumple, aumenta el importe que deberá pagar. Si no se cumple con el pago la información o el dispositivo se pierde irremediablemente.
En la actualidad el ransomware se ha convertido en la tipo más popular y extendido de Ciberataque y su uso se ha extendido ampliamente durante los últimos años debido a la efectividad que han obtenido atacando tanto los dispositivos y pcs particulares como redes de empresas y organizaciones, Entre los más conocidos y con más impacto en nuestro país se encuentran CryptoLocker, CryptoWall y TeslaCrypt en PC’s y Simplocker y LockerPin en celulares.
Con respecto a los problemas que puede traer aparejado, a nivel empresarial es mucho lo que está en juego, si una empresa pierde el acceso a sus recursos o a su información, pierde la capacidad de operar, esto podría llevar a graves pérdidas financieras y obviamente al daño de su reputación si el caso se hace público.
¿Qué sistemas son más vulnerables a este tipo de amenazas?
Este tipo de amenazas ataca tanto a PC’s como a servidores de datos, la novedad esta vez en cuanto a su alcance es que se ha expandido mucho a Smartphones y tablets, esto es porque los sistemas más afectados son además de las diferentes versiones de Microsoft Windows, los sistemas operativos Android. Linux y lo sistemas operativos de Apple también son objeto de este tipo de ataques aunque su impacto es menor por diversos factores.
¿Cómo podemos protegerlos?
La protección para este tipo de amenazas pasa por trabajar sobre todo en la prevención, y si bien en cada caso en particular se aplica una estrategia distinta existen una serie de pasos generales que son comunes a todos:
- Realizar periódicamente copias de seguridad de la información.
- Mantener actualizados sistemas operativos y las aplicaciones, instalando los hotfix que las marcas liberan regularme para corregir nuevas vulnerabilidades y problemas encontrados.
- Utilizar un antivirus (mi recomendación en este caso pasa por los productos de ESET ya sea Nod o la suite Endpoint ) , mantener actualizado su motor y las firmas de seguridad que generan constantemente.
- Mantener siempre el firewall activado.
A su vez para las empresas existen puntos adicionales que refuerzan la seguridad y que ayudan a limitar aún más la superficie posible de infección:
- Trabajar en una política de seguridad integral.
- Controlar el uso de unidades removibles y descarga de internet.
- Controlar el uso de los dispositivos móviles en la organización.
- Trabajar en la educación de los usuarios
- Definir un plan de acción en caso de infección.
En caso de haber caído en una amenaza… ¿Qué medidas debemos tomar?
En caso de que nos demos cuenta de que algo anda mal, por ejemplo tenemos dificultades para abrir archivos almacenados, desconectar de inmediato el dispositivo de Internet y de la red y si es posible, también de la red eléctrica. De esta forma se puede impedir la comunicación entre el software malicioso y su servidor antes de que finalice el cifrado de los datos aunque esta técnica no es infalible, al menos le dará una oportunidad de salvar algunos de los archivos importantes antes de que se terminen de cifrar. Luego comuníquese con su departamento de IT o su soporte técnico para aplicar el plan de acción correspondiente.
En caso de que la infección se haya producido, se debe recurrir al backup para restaurar la información comprometida además de trabajar en la identificación y corrección de la acción o evento que llevo a que produzca la infección . en este punto es muy importante destacar que nunca se debe pagar por el rescate En primer lugar, porque Nada garantiza que los atacantes descifren los datos afectados o desbloqueen el dispositivo a cambio del pago y además aunque los autores del malware efectivamente le proporcionen la clave de descifrado, no hay ninguna garantía de que funcione. Por último, si se paga a los delincuentes, ¿cómo saber que no van a volver por más? Si tuvieron éxito al atacar, es posible que consideren débil la seguridad y traten de volver a aprovecharse.
