¡Vade retro, WannaCry!: cómo proteger tu empresa del ransomware
El ransomware es una preocupación creciente entre las empresas. Formar al personal, hacer copias de los datos y ejecutar soluciones de seguridad son las mejores maneras de prevenir los ataques.
En las últimas dos semanas, el ransomware ha vivido un boom de popularidad, a raíz del ciberataque masivo lanzado contra numerosas redes empresariales de todo el mundo, incluyendo España, donde compañías como Telefónica sufrieron las consecuencias del malware conocido como WannaCry.
Este ataque masivo ha llamado la atención del gran público, incluyendo los empleados de pequeñas y medianas empresas, sobre este tipo de software malicioso que lleva años despertando una preocupación creciente entre los expertos en ciberseguridad y que en 2015 costó a las empresas más de 325 millones de dólares.
Pero, ¿qué es el ransomware? Es básicamente un secuestro digital de datos. En primer lugar, un software malicioso infecta un equipo y cifra todos los datos almacenados en el mismo. Tras esta operación, la víctima recibe un mensaje del ciberdelincuente en el que solicita un rescate para poder recuperar esos archivos.
El importe exigido suele superar los 100 dólares y se pide el pago en bitcoins para evitar el rastreo del receptor. De esta forma, los cibercriminales consiguen elevadas cantidades de dinero en muy poco tiempo, por lo que el ransomware se ha convertido en uno de los negocios más rentables de la ciberdelincuencia global, lo que explica su auge: 407.000 intentos de infección sólo en 2015.
El primer ataque de ransomware se registró en 1989. El malware empleado entonces fue el troyano AIDs, que tras ser instalado encriptaba los archivos de los usuarios y les pedía que enviaran 189 dólares a una oficina de correos de Panamá para “renovar su licencia”.
Desde entonces, los ataques de ransomware se han multiplicado y las previsiones de crecimiento son vertiginosas. Afecta a una amplia gama de industrias, desde grandes empresas a pymes, pasando por administraciones públicas y sistemas de transporte. Sin ir más lejos, en el caso de WannaCry, las últimas cifras de la Europol apuntan a 200.000 víctimas en 150 países, principalmente en Rusia, Ucrania, la India y Taiwán.
Según Mario García, director general del proveedor de seguridad Check Point para España y Portugal, “en los últimos años, los secuestros online se han convertido en una epidemia global. Ninguna industria está a salvo de este tipo de ataques. Es fundamental que nos concienciemos de esta realidad: el ransomware es una de las principales amenazas para las empresas a nivel mundial y su crecimiento se multiplica de forma exponencial”.
¿Cómo funciona?
En general, un ransomware tiene dos partes. La primera es un exploit que se encarga de la propagación y de infectar los equipos. La segunda es un cifrador que se descarga en el ordenador después de ser infectado y codifica los ficheros del mismo, o bien bloquea la pantalla.
El exploit aprovecha vulnerabilidades del sistema operativo, como fue el caso de WannaCry, cuyos creadores usaron un exploit de Windows conocido como EternalBlue, recientemente parcheado. Mediante el exploit, los ciberdelincuentes obtienen acceso remoto a los ordenadores para instalar el cifrador. Actualizar el sistema operativo es, pues, una primera medida de seguridad contra este tipo de malware.
Habitualmente, para que el ordenador sea infectado el usuario debe ejecutar alguna acción incorrecta, como por ejemplo hacer clic en un enlace sospechoso, permitir que Word ejecute macros maliciosas o descargar un archivo adjunto malicioso de un correo electrónico. Así que la segunda medida es abstenerse de abrir mensajes y/o archivos no fiables.
Pero si el ransomware es capaz de sobrepasar las defensas de la empresa, comenzará la segunda fase: el cifrado. Actualmente, el ransomware tiene dos formas principales de atacar a las empresas: bloqueando la pantalla del usuario o encriptando sus archivos.
El ransomware de bloqueo de pantalla hace que el ordenador se congele y muestre un mensaje con las exigencias de los hackers. El equipo no funcionará hasta que el malware sea eliminado. Este tipo de ransomware, pese a sus evidentes molestias, no es demasiado dañino para las compañías porque por lo general afecta a un solo ordenador y es relativamente fácil de eliminar, al ser la forma más primitiva de ransomware.
Mayor amenaza supone el ransomware de encriptación de datos. En este, el cifrador encripta los archivos del ordenador, incluyendo documentos de Office, imágenes, vídeos y otros tipos de archivos que puedan contener información importante para el usuario, los vuelve totalmente inaccesibles y pide un rescate para descifrarlos. Es habitual que los atacantes intenten intimidar a las víctimas advirtiendo de que la cantidad del rescate se incrementa conforme pasan los días y que al cabo de cierto tiempo será imposible descifrar los archivos.
Este tipo de malware, aparecido en 2013 y que está adquiriendo rasgos de epidemia, tiene un riesgo añadido: intenta expandirse por toda la red local hacia otros ordenadores vulnerables, del mismo modo en que lo haría un gusano. Esto constituye una gran amenaza para las empresas, ya que es capaz de infectar redes corporativas en su totalidad.
¿Cómo prevenir los ataques?
La herramienta más eficaz para luchar contra el ransomware es la prevención. Para evitar que software malicioso como WannaCry afecte a los equipos de la empresa, es recomendable tener en cuenta una serie de aspectos fundamentales.
El primero, y más inmediato, hacer copias de seguridad de los ficheros y archivos. La costumbre, que nunca llegó a estar tan extendida como debiera, de hacer copias de seguridad se está perdiendo a medida que ganan protagonismo el almacenamiento en la nube y en las redes corporativas. Pero tener un duplicado de toda la información y los archivos de la empresa minimiza el daño de un secuestro de los ordenadores.
También es necesario formar en ciberseguridad a los trabajadores. Recordemos que buena parte de las campañas de ransomware se propagan a través del spam y el phishing, por lo que formar a la plantilla para que sea capaz de detectar amenazas potenciales reduce a la larga la posibilidad de infección. Unos empleados capaces de detectar los emails y páginas web sospechosas y que informen de cualquier actividad sospechosa contribuyen de forma proactiva a la seguridad.
Aun así, conviene asegurarse de que los empleados sólo tienen acceso a los datos y archivos que necesitan para trabajar. Si se ponen las barreras adecuadas, en caso de ataque no se verá afectada toda la información de los servidores corporativos.
Asimismo, se deben mantener actualizadas las soluciones de protección de la compañía. Las versiones estándar no siempre son efectivas para detectar ataques de ransomware avanzados, pero aun así hay que tener instalada siempre la última versión de cada herramienta de ciberseguridad.
Por último, una solución más sofisticada para prevenir el secuestro de datos es implementar una estrategia de seguridad multicapa que incluya tecnologías de prevención contra amenazas avanzadas. Una solución que cuente con desinfección de archivos y sandboxing avanzado es muy eficaz contra el malware desconocido a nivel de red y directamente en los endpoints.
¿Cómo enfrentarse al ransomware?
Si, pese a todo, el ransomware se ha instalado en nuestro ordenador, podría decirse que el daño ya está hecho. Sin embargo, existen formas para minimizar e incluso revertir estos daños. En primer lugar, la organización afectada debe averiguar si ha sido infectadas y determinar las acciones críticas que necesita llevar a cabo.
Desde Kaspersky Lab recomiendan que, si tenemos instalada en los sistemas de la compañía una solución de seguridad, una opción es iniciar un análisis manual de las áreas críticas y, si la solución detecta este software malicioso, eliminarlo y reiniciar el sistema.
En caso de no disponer de esa solución, es preferible no reiniciar el equipo. Existe una corrección para WannaCry, denominada Wanakiwi, que funciona en las versiones antiguas de Windows, desde la XP a la 7, siempre que no hayamos reiniciado el ordenador, ya que esta acción borra de la memoria de la computadora los números primos que son la base del cifrado.
Un antivirus actualizado también puede detectar algunos tipos de ransomware, de forma local y durante los intentos de difundirse mediante una red. Algunos incluyen componentes integrados para deshacer cambios indeseados, lo que evitará el cifrado de archivos incluso con las versiones de malware que aún no están en la base de datos del antivirus.
En el caso de que el cifrador se haya ejecutado y el equipo haya quedado bloqueado, entran en juego las copias de seguridad de los archivos de las que hablábamos en el apartado anterior. Si tenemos una copia reciente, la infección de un cifrador no es una catástrofe: se soluciona en sólo unas horas reinstalando el sistema operativo y las aplicaciones y a continuación restaurando los archivos.
En ningún caso se recomienda ceder al chantaje. En primer lugar, pagar el rescate no garantiza que se vayan a recuperar los documentos. De hecho, están documentados numerosos ataques en los que los ciberextorsionistas simplemente borraron los archivos de los usuarios tras recibir el pago. Además, “contribuye a que la ciberdelincuencia se lucre y crezca, y por lo tanto, el número de malware enfocado a este tipo de secuestros aumente”, según Mar García, directora general de Check Point para España y Portugal.