Los daños de este tipo de ataques jamás serán pequeños, menos este año en que nos veremos enfrentados al “ransomware 2.0”, el cual destruye respaldos, roba credenciales, expone a las víctimas públicamente, filtra información robada y amenaza a los clientes de las víctimas. Para 2021, en tanto, las cifras no son mejores, pues se pronostican costos 57 veces más altos, es decir, MMUS$20.000 en daños causados por este malware.
La gran mayoría de sus infecciones se debe a ataques de ingeniería social, proceso a través del cual engañan a los usuarios para dar ingreso a sus equipos o conseguir contraseñas de acceso. Los atacantes aprovechan vulnerabilidades del software, de sus sistemas operativos o firmware, sus aplicaciones o, simplemente, engañan con un correo electrónico infectado.
Los ciberdelincuentes trabajan en forma manual y automatizada para lograr sus objetivos, pero en cuanto más actualizado esté un software, menos vulnerabilidades tendrá y más difícil será que logren entrar o infectar un sistema. Es recomendado mantener estos últimos actualizados en forna automática y centralizada.
Yerka Yukich, Presidenta de la ACC. Hugo Galilea, Director de la ACC. Marco Zúñiga, Director de la ACC.
Yerka Yukich, Presidenta de la Alianza Chilena de Ciberseguridad (ACC), afirma que “tanto las personas como las empresas en Chile necesitan con urgencia tomar conocimiento y conciencia acerca del real impacto de este y otros malware. El aumento de ciberataques en el mundo no ha sido motivo suficiente para que las compañías y los usuarios comunes instalen sistemas de seguridad que sean realmente efectivos. Puede que esto se produzca solo por desconocimiento de la real envergadura de estas intrusiones, el problema es que ese conocimiento se adquiere demasiado tarde y suele ser por ataques ya efectuados”.
Más vale prevenir…
Hugo Galilea, Director de la ACC, asegura que “para combatir esta amenaza exponencial que presentan los ataques por ransomware, necesitamos fomentar, tanto en empresas con sus colaboradores, como en el gobierno con la ciudadanía, una cultura de ciberseguridad que transforme a las personas, el eslabón más débil de la cadena de ciberseguridad, en un verdadero ‘firewall humano’. El objetivo es que sean capaces de reconocer características peligrosas en un correo electrónico entrante, así como el canal de denuncias para fortalecer el sistema y evitar de esta manera un ataque que pueda incapacitar a los usuarios y tomar sus datos personales”.
En este contexto, en cuanto a los respaldos periódicos y automatizados de los equipos de escritorio y servidores, se recomienda que se ubiquen en una locación remota, ya que, si la copia de seguridad se encuentra en la misma red, también podría ser afectada e inutilizada. Asimismo, es aconsejable no solo utilizar respaldos del tipo cloud (Dropbox, Google Drive, OneDrive, etc.), ya que también existen familias de ransomware que afectan a este tipo de plataformas.
Además, es clave evitar la exposición de la red interna de la empresa hacia Internet. No todos los servicios necesitan ser publicados o expuestos. En caso de que se requiera levantar uno de estos, es importante utilizar herramientas que permitan limitar los accesos, como es el caso de un firewall, donde se puedan establecer reglas para bloquear o permitir conexiones de entrada o salida de la red. En un firewall se puede establecer qué tipo de conexiones son permitidas (web, correo, base de datos, etc.), el sentido en que se admiten (hacia o desde Internet), los equipos que se incluye en la regla y establecer direcciones bloqueadas que pueden ser detectadas automáticamente o de forma manual.
Fundamental es realizar un entrenamiento continuo a los usuarios para transformarlos en el primer cedazo de seguridad de la organización. Luego utilizar filtros de spam para evitar que los correos de phishing (maliciosos) lleguen a ellos. Asimismo, evitar el e-mail spoofing, utilizando autentificación de correos entrantes (SPF, DMARC o DKIM).
En un sistema más complejo, es aconsejable escanear correos entrantes y salientes para detectar amenazas en posibles archivos infectados, configurar el sistema para que permita ver las extensiones de los archivos para así evitar abrir los que son ejecutables. También es recomendado deshabilitar macros en los archivos de Office. En caso de necesitar abrir un archivo con macro, se recomienda primero verificarlo con una herramienta de antimalware o un Office Viewer para que no sea ejecutado código malicioso que permita tomar control del equipo.
El factor humano
En cuanto a los trabajadores, es necesario mantener un nivel mínimo de privilegios de seguridad de usuarios. Intentar que no tengan más privilegios de los que necesitan para evitar el mal uso de cuentas, contraseñas, permisos para instalar software, etc. Utilizar contraseñas robustas y si es posible, con multi-factor de autentificación, para evitar un ingreso no deseado en caso de que estas sean descubiertas por atacantes.
Evitar el uso de cuentas de administración y deshabilitar cuentas de usuarios que no sean necesarias es esencial para complicar el acceso a datos a un atacante. Es clave formar a los empleados enseñándoles a reconocer este tipo de situaciones y cómo reaccionar.
Marco Zúñiga, Director de la ACC, sostiene que “el ransomware es un ataque muy dañino, de muy alto impacto y que puede afectar irremediablemente a las personas, a las pequeñas empresas y a las grandes corporaciones. Sin embargo, al igual que la pandemia, se puede prevenir aplicando medidas sencillas y económicas, de protección simple, pero sistemáticas. Las principales recomendaciones son de rápida implementación y bajo costo, y consisten en capacitar al personal para evitar conductas riesgosas, aplicar una política permanente de respaldos diarios de toda la información, y establecer medidas de protección tecnológica básicas, manteniendo actualizados los sistemas y antivirus”.
En este sentido, es una buena práctica analizar los equipos con software antimalware y establecer que se ejecuten periódicamente. Este debe ser actualizado y debe mantenerse activo.
También es recomendable realizar una auditoría o análisis de seguridad de red que permita entender las capacidades de defensa ante los ataques actuales. Estos análisis permiten tener un detalle de las vulnerabilidades activas y posibles brechas.
En conclusión, tener un programa de entrenamiento anual para todo el personal, realizar mejoras seguras en forma continua y permanente, además de analizar los equipos y las redes, minimiza las probabilidades de volver a ser víctima de un ataque y reduce drásticamente el costo de este.
En caso de ser infectado por este malware, se recomienda tomar las siguientes medidas:
• Aislar los equipos con ransomware (desconectar de la red).
• Toma un par de archivos encriptados para enviarlos a un laboratorio para su análisis.
• Enviar la nota de rescate (puede ser un archivo de texto en el escritorio o una imagen en la pantalla) para su análisis.
• Clonar los discos duros infectados.
• Denunciar el incidente a la PDI.
• Cambiar todas las contraseñas de red y cuentas online.
• Desinfectar los equipos y recuperar los archivos cifrados.
• Restaurar los equipos.
Fuente: Texto perteneciente a compañía Kepler / Edición y opiniones: Alianza Chilena de Ciberseguridad.
