Ransomware

Glosario

Este término se refiere a los programas maliciosos que se utilizan para la extorsión. A través del ransomware, los ciberdelincuentes hacen que los archivos, discos duros, ordenadores o redes enteras sean inaccesibles para sus usuarios legítimos y exigen un rescate para liberarlos. El término se compone de las palabras en inglés «ransom» (rescate) y «ware» de software, es decir, programa.

 

¿Qué significa exactamente el término ransomware?

Los ataques de ransomware están a la orden del día. Los ciberdelincuentes han identificado a las empresas, las autoridades y las administraciones como objetivos interesantes para sus fines. Cada vez se observan ataques más elaborados e individualizados contra empresas; además, adoptan un enfoque selectivo y, a menudo, en varias fases. Utilizan los incidentes cibernéticos aparentemente diarios, como el spam, para acceder a la red corporativa. Una vez ahí, exploran la infraestructura informática para cifrar de forma específica los datos especialmente importantes o sensibles, o incluso todo el sistema, incluidas las copias de seguridad conectadas. Este enfoque les permite ejercer una mayor presión sobre las empresas afectadas y exigir rescates más elevados. El pago de este rescate es el objetivo final de sus ataques.

Aún así, nunca se sabe si llegarán a descifrar los datos o sistemas cifrados después del pago. Con algunos programas de ransomware, los datos permanecen cifrados incluso después del pago del rescate.
Un ejemplo es el conocido ransomware WannaCry, en el que los pagos del rescate no pudieron atribuirse debido a un error de programación. Como resultado, los datos no se descifraron.Una segunda petición de rescate más alta también puede formar parte del plan de los ciberdelincuentes.
Desde el punto de vista técnico, el ransomware es un troyano y puede transmitirse por varias vías: a través de archivos adjuntos de correo electrónico infectados, sitios web comprometidos, memorias USB y discos duros infectados, brechas de seguridad en la red y las llamadas drive-by-downloads.

 

¿En el trabajo diario, dónde puedo encontrarme con ataques de ransomware?

Los puedes encontrar en cada correo electrónico con un archivo adjunto o un enlace y en muchos otros lugares del trabajo diario, como memorias USB aparentemente perdidas u olvidadas, transferencias de datos a discos duros externos de los clientes o la descarga de una actualización supuestamente importante para poder ver un vídeo en Internet. En todos estos puntos, con tan solo ser prudente puedes evitar causar grandes daños a tu empresa.

 

¿Qué puedo hacer para mejorar mi seguridad?

Dentro del alcance de este glosario, solo podemos ofrecer algunas sugerencias e ideas. Consulta y desarrolla un enfoque integral con tu departamento informático o con un proveedor externo de servicios de seguridad informática, como Perseus.

Prevención

Casi todas las medidas para reducir el riesgo cibernético de tu empresa también merman el riesgo de ataques de ransomware. Estas medidas incluyen:

  • Mantener siempre actualizados todos los programas y componentes de la red, por ejemplo, mediante actualizaciones automáticas.
  • Instalar un antivirus fiable y mantenerlo siempre actualizado.
  • Considerar el uso de un cortafuegos fiable.
  • Desarrollar una estructura de red bien pensada, en la que, por ejemplo, las áreas o departamentos especialmente sensibles se encuentren en una red independiente.
  • Controlar el tráfico de datos.
  • Concienciación del personal. Gracias a su atención y prudencia, el personal puede evitar daños incluso cuando la tecnología no puede hacerlo. Por ejemplo, pueden reconocer y gestionar un correo electrónico sospechoso que contiene un troyano desconocido.
  • A la hora de tomar medidas de seguridad, también hay que tener en cuenta la llamada TI en la sombra (por ejemplo, los móviles privados de los empleados) y los dispositivos IdC (por ejemplo, los relojes inteligentes o las cámaras de vigilancia).
  • También es aconsejable contar con una estrategia bien pensada respecto a las copias de seguridad. Esto garantiza que puedas recuperar la mayor cantidad de datos posible, incluso en el peor de los casos. En lo que respecta al ransomware, debe tenerse en cuenta, entre otras cosas:
    • El ransomware también puede cifrar las copias de seguridad conectadas al sistema. Por esta razón, te recomendamos que crees copias de seguridad de forma frecuente y que las desconectes físicamente del sistema inmediatamente después de su creación.
    • El ransomware que aún no está activo también puede almacenarse en la copia de seguridad y cifrarla después de haberla importado. Por lo tanto, asegúrate de guardar tantas copias de seguridad como sea posible. Asegúrate también de que se guardan en modo de solo lectura para que no se puedan modificar posteriormente, ni siquiera por ransomware. Consulta el comportamiento correcto en caso de ataque con tu departamento informático o con un proveedor externo de servicios de seguridad informática, como Perseus.
    • Practícalo (también con el personal) y escríbelo. En caso de ataque, es importante reaccionar de forma rápida y correcta. La prevención es la mejor defensa.

Tras un incidente cibernético aparentemente «normal»

  • Revisa tu sistema de forma minuciosa para detectar cualquier anomalía más profunda y dispón de una supervisión exhaustiva del tráfico de datos entrantes y salientes.
  • Si aún no lo has hecho, consulta el tema del ransomware y las medidas de seguridad con tu departamento informático o con un proveedor externo de servicios de seguridad informática , como Perseus.

En caso de ataque

ATENCIÓN: Estas recomendaciones son generales. En caso de emergencia, sigue el procedimiento indicado por tu departamento informático o por un proveedor externo de servicios de seguridad informática, como Perseus. Solo esas medidas se adaptan a la estructura informática de tu empresa.

  • Desconecta de forma inmediata el dispositivo o sistema afectado de la red, de Internet y, si es posible, del suministro eléctrico. Con suerte, podrás detener el proceso de cifrado antes de que se complete. No te dejes engañar, ni siquiera por los mensajes que aparecen en la pantalla de un ordenador infectado.
  • No todos los dispositivos pueden desconectarse de la red eléctrica, como los ordenadores portátiles o las tabletas con baterías incorporadas. Si es posible, deshazte de ellos, pero si no puedes, apágalos lo antes posible.
  • Avisa a los expertos para que tomen medidas.
  • A partir de ahí, por lo general, se crean copias de seguridad de los sistemas infectados: por un lado, para el análisis forense digital y, por otro, para restaurar muchos de los datos cifrados.
  • Informa de este incidente a la policía, a la Oficina Federal de Investigación Criminal (BKA por sus siglas en alemán) y a la oficina de información sobre ciberseguridad en Alemania. Al hacerlo, puedes ayudar a atrapar a los autores y advertir a otras empresas.
  • No pagues el rescate. No hay ninguna garantía de que tu dispositivo o sistema se vaya a descifrar después; en algunos casos, esta posibilidad ni siquiera está prevista en el propio programa de ransomware. Incluso existe la posibilidad de que te pidan un segundo rescate después del pago. Además, es posible que los ciberdelincuentes comprometan el método y los medios de pago y obtengan así información sensible de la tarjeta de crédito, por ejemplo.

Más información y consejos para casos de ransomware de la Policía de Baja Sajonia: www.polizei-praevention.de/themen-und-tipps/pc-gesperrt-ransomware.html (información en alemán)