Ransomware

Se refiere a malware extorsionador. Los ciberdelincuentes utilizan ransomware para hacer que archivos, discos duros, ordenadores o redes enteras sean inaccesibles para sus usuarios legítimos y exigen un rescate para liberar esos archivos, etc. El término está formado por las palabras inglesas «ransom» para rescate y «-ware» como parte de software, es decir, program.

¿Qué significa ransomware en detalle?

Los ataques de ransomware están en aumento actualmente. Los ciberdelincuentes han identificado empresas, autoridades y administraciones como objetivos valiosos para sí mismos. Cada vez se observan ataques complejos e individualizados contra empresas. Los ciberdelincuentes adoptan un enfoque dirigido y, a menudo, de varias etapas. Con incidentes cibernéticos aparentemente cotidianos, como el spam , obtienen acceso a la red corporativa. Luego investigan la infraestructura informática para cifrar datos especialmente importantes o sensibles de manera dirigida, o todo el sistema, incluidas las copias de seguridad conectadas. Este enfoque permite a los extorsionadores ejercer mayor presión sobre las empresas afectadas y exigir rescates más altos. Pagar el rescate es el objetivo deseado de las actividades de los ciberdelincuentes.
Por tanto, siempre es incierto si liberan los datos o sistemas cifrados posteriormente. Algunos programas de ransomware no tienen ninguna descifración intencionada, lo que significa que los datos permanecen cifrados incluso después de realizar el pago del rescate.
En el caso del conocido ransomware WannaCry, no se pudieron asignar pagos de rescate debido a un error de programación. Como resultado, no se llevó a cabo la descifración correspondiente de los datos.
Una segunda exigencia de rescate, más alta, también puede formar parte del concepto de los ciberdelincuentes.
Técnicamente, el ransomware es un troyano. El ransomware puede transmitirse de varias maneras, incluyendo adjuntos de correo electrónico infectados, sitios web comprometidos, memorias USB y discos duros infectados, vulnerabilidades en la seguridad de la red y descargas desde el coche.

¿Dónde encuentro el tema del «ransomware» en mi trabajo diario?

Potencialmente, te encontrarás con cada correo con un archivo adjunto, con cada correo con un enlace y en muchos otros lugares de tu trabajo diario. Por ejemplo, en el caso de memorias USB aparentemente perdidas u olvidadas, al transferir datos a discos duros externos de clientes, al descargar una actualización supuestamente importante para poder ver un vídeo en Internet. En todos estos lugares, puedes mantener grandes daños alejados de tu empresa con tu prudencia.

¿Qué puedo hacer para mejorar mi seguridad?

Dentro del marco de este glosario, solo podemos ofrecer sugerencias y perspectivas. Por favor, discuta y crea un procedimiento completo con tu departamento de TI o con un proveedor externo de servicios de seguridad informática como Perseus.

Preventivo

Casi todas las medidas para reducir el riesgo cibernético de tu organización también disminuyen el riesgo de ataques de ransomware. Estas medidas incluyen, pero no se limitan a:

• Mantener siempre todos los programas y componentes de la red actualizados, por ejemplo, mediante actualizaciones automáticas
• Uso de un antivirus fiable y siempre actualizado
• Considera el uso de un cortafuegos fiable
• Estructura de red bien pensada, en la que, por ejemplo, áreas o departamentos especialmente sensibles reciban una red independiente
• Monitorización del tráfico
• Sensibilización de tus empleados: Gracias a su atención y prudencia, tus empleados pueden evitar daños incluso donde la tecnología no puede. Por ejemplo, puedes detectar y tratar un correo electrónico con un troyano previamente desconocido como sospechoso.
• Al tomar medidas de seguridad, también se considere la llamada shadow IT (por ejemplo, también smartphones privados de empleados) y dispositivos IoT (por ejemplo, rastreadores de actividad física, cámaras digitales de vigilancia).
• También se recomienda una estrategia de respaldo bien pensada. Esto garantiza que puedas recuperar la mayor cantidad posible de tus datos, incluso en el peor de los casos. En lo que respecta al ransomware, algunas cosas que deberías considerar incluyen:
  • Las copias de seguridad conectadas al sistema también pueden cifrarse mediante ransomware. Por ello, se recomienda hacer copias de seguridad frecuentes, que también se desconectan físicamente del sistema tras la creación.
  • Un ransomware que aún no está activo también puede almacenarse en tu copia de seguridad y cifrarlo una vez instalado. Por lo tanto, asegúrate de almacenar tantas copias de seguridad anteriores como sea posible. También asegúrate de que estén guardados en modo «solo lectura». Entonces estas copias de seguridad ya no pueden cambiarse después, ni siquiera mediante ransomware. Comenta el curso de acción adecuado en un caso agudo con tu departamento de TI o con un proveedor externo de servicios de seguridad informática como Perseus.
  • Practícalo – también con tus empleados – y escríbelo. En casos agudos, es importante reaccionar rápida y correctamente, y puedes crear las mejores condiciones para ello tomando medidas preventivas.

Tras un incidente cibernético aparentemente «normal»

• Haz que tu sistema revise cuidadosamente para detectar compromisos más profundos y organiza una monitorización especialmente detallada del tráfico de datos entrante y saliente
• Si aún no lo has hecho, habla ahora sobre el tema del ransomware y las medidas de seguridad con tu departamento de TI y/o con un proveedor externo de servicios de seguridad informática como Perseus.

En casos agudos

ATENCIÓN: Estas instrucciones son generales. En casos graves, sigue el procedimiento que se ha discutido con tu departamento de TI o con un proveedor externo de servicios de seguridad informática como Perseus. ¡Solo que esto está adaptado a la infraestructura informática específica de tu empresa!

• Desconecta el dispositivo o sistema afectado de la red, Internet y alimentación lo antes posible. Con suerte, puedes detener el proceso de cifrado antes de que se complete. No te dejes intimidar, ni siquiera por mensajes en sentido contrario en la pantalla de un ordenador infectado.
• No todos los dispositivos pueden desconectarse de la fuente de alimentación, por ejemplo, portátiles o tabletas con baterías integradas. Si es posible, quítalos. Si no, apaga el dispositivo lo antes posible.
• Alerta a los expertos para nuevas acciones.
• Normalmente, ahora se crean copias de seguridad de los sistemas infectados. Por un lado, como registro forense digital y, por otro, se pueden restaurar muchos datos cifrados.
• Informa de este incidente cibernético a la policía, a la BKA y a la Oficina de Informes de Ciberseguridad en Alemania. Esto puede ayudar a atrapar a los responsables y avisar a otras empresas.
• No pagues un rescate. No hay garantía de que tu dispositivo o sistema sea descifrado después, y en algunos casos, esta posibilidad ni siquiera está prevista en el programa del ransomware. Incluso existe la posibilidad de que te enfrentes a una segunda nota de rescate tras hacer un pago. Además, es posible que los ciberdelincuentes comprometan el método de pago y los medios de pago y, por tanto, obtengan, por ejemplo, información sensible de tarjetas de crédito.

Más información y consejos para casos agudos de la Policía para la Prevención del Delito: https://www.polizei-beratung.de/themen-und-tipps/gefahren-im-internet/ransomware/