fbpx
932 744 700 [email protected]

El ransomware es una forma de ciberataque particularmente dañina para las personas y las empresas. El daño personal es difícil de evaluar; pero existen estimaciones de que el 60% de las empresas afectadas desaparece en los 6 meses siguientes al ataque.

Además, está cada vez más extendido, habiéndose constituido como uno de los ciberataques más frecuentes. El caso más masivo (y por lo tanto más conocido) fue el ataque Wannacry, que se produjo en Mayo de 2017. Se calcula que fueron afectados 230.000 ordenadores en todo el mundo, y que provocó unas pérdidas totales de unos 4.000 millones de dólares. No fue, ni mucho menos, el primer ataque de ransomware; y desde entonces, la incidencia de estos ataques no ha dejado de aumentar.

¿En qué consiste el Ransomware?

Existen muchas variantes, pero la más extendida (y es la que se usó en Wannacry) consiste en que los atacantes consiguen encriptar los archivos de un ordenador (unidad de disco de un servidor, ordenador personal, etc.). De esta manera, los archivos siguen en el ordenador o disco atacado, pero su contenido no puede ser accedido; por lo tanto, los datos quedan inaccesibles para su propietario.

El usuario obtiene un mensaje parecido a éste:

mensaje ransomware

¿Por qué la modalidad de ataque Ransomware  está creciendo tanto?

La respuesta es sencilla: porque es extremadamente lucrativa para los atacantes. Estos piden un “rescate” (ransom) a cambio de desencriptar los archivos “secuestrados”. Se calcula que el volumen global de ganancias alcanza los cientos de miles de millones de dólares anuales en los últimos años

¿Cómo evitar el desastre?

Existen dos grandes maneras de evitar las consecuencias (que pueden ser desastrosas) de un ataque de ransomware. La más evidente: evitar el ataque; es decir tomar las medidas para que los atacantes no puedan entrar a nuestros sistemas y encriptar nuestros archivos.

Pero existe otra línea de prevención, no menos importante, por si finalmente los atacantes logran entrar: tener copias de seguridad actualizadas y en lugar realmente seguro!

¿Cómo evitar un ataque Ransomware?

Para dar respuesta a esta cuestión, hay que darle la vuelta y preguntarnos: ¿cómo consiguen los atacantes “colarse” en nuestro sistema? O, más técnicamente: ¿cuáles son los principales vectores de infección? Según IOCTA (Internet Organised Crime Threat Assessment-EUROPOL) los dos principales vectores son:

1.- Phishing

2.- Vulnerabilidades del Remote Desktop Protocol (RDP).

Empecemos por lo segundo: para evitar este tipo de vulnerabilidades, y otras similares, la única solución es mantener nuestros sistemas operativos y aplicaciones con las últimas actualizaciones de seguridad. Esta política es totalmente básica y fundamental, no sólo para prevenir ataques tipo ransomware, sino cualquier tipo de ciberataque. En este sentido, conviene notar que en el caso de Wannacry, los atacantes entraron aprovechando una vulnerabilidad de los sistemas operativos Windows que había sido detectada por Microsoft, y neutralizada con la correspondiente actualización, semanas antes del ataque. Sólo los ordenadores no actualizados se infectaron!

En cuanto al phishing… Se trata de un vector de infección que se enmarca en la llamada ingeniería social. Su forma más habitual consiste en mensajes de correo electrónico que inducen al usuario atacado a seguir enlaces o abrir adjuntos malintencionados que comprometen la seguridad del ordenador desde el que se abren y, eventualmente, de toda la red corporativa a la que esté conectado.

La única defensa frente al phishing también se puede considerar ingeniería social, pero en este caso positiva: consiste en la concienciación de todos los usuarios de no abrir jamás enlaces o adjuntos de correos cuyo remitente no sea de total confianza, más allá de toda duda.

¿Cómo minimizar las consecuencias si hemos sido atacados?

A pesar de las medidas que tomemos para evitar un ataque de ransomware, es posible que acabemos sufriendo uno, y nuestros archivos resulten encriptados. Por más campañas de concienciación que realicemos entre nuestros usuarios, garantizar que ninguno de ellos resulte víctima de un phishing es muy difícil, por no decir imposible.

Llegado este caso, la diferencia entre sufrir un problema de pérdida de acceso a los datos durante unas pocas horas o días, con consecuencias asumibles; o sufrir una pérdida de datos definitiva (y seguramente devastadora para la empresa o la persona) estriba en disponer de una copia de seguridad a salvo del ataque.

¿Cualquier sistema de copias de seguridad es válido para recuperarnos de un ataque de ransomware?

Rotundamente, NO. En demasiadas ocasiones, cuando los responsables de un sistema informático que ha sufrido un ataque de ransomware acuden a recuperar los datos de las copias de seguridad, se encuentran con que… la copia de seguridad también ha sido encriptada! La catástrofe está servida.

Quizá os preguntéis cómo puede ocurrir esto. Muy sencillo: los sistemas de copia de seguridad clásicos están diseñados pensando en pérdidas de datos accidentales: por fallo mecánico en una unidad de almacenamiento, corrupción de datos en una BD… pero no en un ataque malintencionado! Por tanto, muchos de estos sistemas no son válidos en la actualidad.

Entonces…

¿Qué sistemas de copia de seguridad nos garantizan estar a salvo de un ataque ransomware?

A día de hoy, los sistemas de copia de seguridad más fiables son los que están en la nube (cloud). Pero debemos elegir nuestro sistema de copia de seguridad en la nube con cuidado; no todos son realmente fiables. Algunos de los requisitos que debería reunir nuestro sistema de backup son:

  • Replicación en diversos sites geográficamente dispersos
  • Sistema de autenticación multifactor
  • Cumplimiento de la legislación de protección de datos RGPD

Conviene mencionar que no sólo las empresas, sino los usuarios particulares no tienen que renunciar a una copia de seguridad en nube de sus datos personales y/o profesionales, y de la mayor calidad.

Aplicaciones como Microsoft OneDrive, ofrecen (incluso en su versión gratuita) un sistema de almacenamiento en nube de una gran potencia y seguridad. Aquellos de vosotros que utilicéis habitualmente OneDrive quizá estéis pensando:

“Muy bien, yo tengo mis archivos en mi ordenador, sincronizados en la nube con OneDrive. Sufro un ataque ransomware, y quedan encriptados.

Tengo la copia de seguridad en la nube de OneDrive, pero como está sincronizada con mis archivos locales… Habrá quedado encriptada también!”.

Pues sí… pero no!! OneDrive dispone de una característica sencillamente maravillosa, que es el Historial de Versiones. En el menor de los casos, guarda un mínimo de 50 versiones de cada archivo! En caso de ransomware, veremos que, efectivamente, la copia principal del archivo en la nube de OneDrive ha quedado también encriptada. Pero simplemente, recuperamos la versión anterior a la encriptación… y milagro conseguido!!

Os aseguro que he visto a usuarios llorar de alivio ante esta pantalla… literalmente!! ?

(Y por si os lo estáis preguntando… SÍ, los archivos en Teams y Sharepoint también tienen Historial de Versiones!!).

¿Qué ocurre si por algún motivo no puedo utilizar copias de seguridad en nube?

Existen casos en que por diversos motivos (por ejemplo legales) determinados datos deben obligatoriamente estar guardados localmente, no en la nube (copias de seguridad incluidas). En estos casos, y para prevenir ataques ransomware que afecten a las copias de seguridad, debemos asegurarnos de que las unidades de backup no son accesibles desde el mismo ordenador donde se guarda la copia principal de los datos. Las unidades de backup deben montarse sólo en el momento de realizar la copia de seguridad, y después mover dichas copias a una ubicación offline (no accesible vía red).

El motivo es obvio (aunque, sorprendentemente, demasiados administradores de sistemas todavía no parezcan haberlo asumido): si un atacante tiene acceso al ordenador donde están las copias principales de los archivos, y las copias de seguridad también son accesibles desde dicho ordenador (por ejemplo, mediante unidades permanente montadas o mapeadas) el atacante tendrá acceso tanto a la copia principal como a la de seguridad, y obviamente encriptará ambas! Dolorosamente, es un caso que todavía se da con demasiada frecuencia… con consecuencias dramáticas en muchas ocasiones.

A pesar de los pesares, he sufrido un ataque ransomware, y no tengo copias de seguridad “sanas”. ¿Qué hago… y qué no debo hacer?

Lo primero que NO debes hacer es pagar. Es lo que recomiendan (y exigen) todas las autoridades nacionales e internacionales (FBI, Europol, etc.). Por un lado, pagando se alienta que esta actividad delictiva continúe (obviamente, el éxito anima a los atacantes). Pero es que además, si movido por la desesperación (cosa por otra parte comprensible) decides pagar… no hay ninguna garantía de que los atacantes te faciliten la desencriptación. De hecho, en el caso de Wannacry prácticamente nadie de los que pagaron a los atacantes recuperó sus datos. (Hay ocasiones en que sí, ya que si no, el negocio se acabaría; pero no hay ninguna garantía).

Existen medios técnicos (software especializado) que permiten recuperar los datos para algunos algoritmos de encriptación determinados… Pero mejor no engañarse ni concebir demasiadas esperanzas: en la gran mayoría de los casos, no es posible desencriptar sin la colaboración de los atacantes.

En cualquier caso, si desgraciadamente te encuentras en esta situación, en España es aconsejable seguir las indicaciones de INCIBE (Instituto Nacional de Ciberseguridad)

Y, aunque sea un poco tarde para esta ocasión, en lo sucesivo asegúrate de disponer de un sistema de copias de seguridad que haga honor a su nombre, es decir: que sea realmente seguro!!!

× ¿Te ayudamos?