El ransomware es sin duda una de las mayores ciberamenazas
que afectan hoy en día a organizaciones de todo el mundo.

Los piratas informáticos han cambiado sus tácticas y, en lugar de dirigirse a los consumidores habituales de
, persiguen el dinero y centran su atención en las empresas de
, donde la rentabilidad de la inversión es mucho mayor.

Los ataques de ransomware contra empresas han aumentado un 363% en el último año y, según el informe de resumen de seguridad de Trend Micro, en 2019 se detectaron más de 61 millones de ataques de ransomware.

Entre las industrias atacadas con más frecuencia se encuentran las administraciones locales, las instituciones académicas, el sector tecnológico, la sanidad, la fabricación, los servicios financieros y las empresas de medios de comunicación. Sin embargo, todas las industrias y empresas son objetivos potenciales y deberían tomar todas las medidas necesarias para prevenir un ataque.

Por desgracia, muchas organizaciones no se toman la amenaza
suficientemente en serio, y sólo cuando se encuentran en el extremo receptor de un ataque de ransomware
paralizante invierten el tiempo y los recursos adecuados en
mejorar sus defensas de ciberseguridad. En esta fase, a menudo es demasiado tarde, pues el
daño ya está hecho.

¿Qué es el ransomware?

El ransomware es un tipo de malware que impide a los usuarios acceder a su sistema cifrando los archivos y exigiendo el pago de un rescate para desbloquear el sistema. El pago del rescate suele solicitarse en Bitcoin o en otras criptodivisas difíciles de rastrear. Los ciberdelincuentes suelen asignar una fecha límite para el pago del rescate y, si ésta se sobrepasa, el pago del rescate se duplicará o los archivos se bloquearán permanentemente.

Ciertas variantes de ransomware están diseñadas para propagarse rápidamente a otras máquinas de una red. Esto es exactamente lo que ocurrió en el ataque WannaCry de 2017, cuando el ransomware cifró cientos de miles de ordenadores en más de 150 países. En cuestión de horas, el ransomware causó estragos en todo el mundo, llevando a un tercio de los fideicomisos del NHS del Reino Unido a una virtual paralización.

¿Qué es el ransomware? MetaCumplimiento
Nota de rescate de WannaCry (Fuente: Bleeping Computer)

¿Cómo
se contagia del ransomware?

Existen varias formas en las que el ransomware puede infectar su ordenador. La forma más común es a través de correos electrónicos de phishing que contienen enlaces o archivos adjuntos maliciosos. Los correos parecerán proceder de una fuente fiable y, una vez que se haga clic en el enlace o se abra el archivo adjunto, el malware se instalará en el sistema y comenzará a cifrar los archivos.

El ransomware también puede distribuirse a través de una conexión de escritorio remoto comprometida, sitios web maliciosos, dispositivos de medios extraíbles infectados e incluso aplicaciones de mensajería de medios sociales.

Qué hacer en caso de ataque de ransomware

1. Aísle las máquinas infectadas

Cuando el ransomware ataca, la rapidez es esencial. Si sospecha que su ordenador ha sido infectado, debe desconectarlo inmediatamente de la red desenchufando el cable ethernet y desactivando Wi-Fi, Bluetooth y cualquier otra capacidad de red. El ransomware se propaga a través de su conexión de red, por lo que si puede aislar la máquina infectada, evitará que se propague e infecte a otros dispositivos de la red. Si sospecha que más de una máquina se ha visto comprometida, aplique las mismas medidas.

2. Avise a su equipo de seguridad informática

Su equipo de TI debe ser notificado inmediatamente para que puedan contener la propagación del ransomware y poner en marcha los procedimientos correctos para hacer frente al ataque. Aquí es donde entra en juego un plan de respuesta a incidentes. El plan ayudará a garantizar que el incidente se gestione adecuadamente, que se recojan, registren y conserven todas las pruebas, y que la situación se resuelva de la forma más rápida y eficaz posible. Proporcionar una cronología detallada de la brecha ayudará a identificar cualquier debilidad en los procedimientos y a mejorar las defensas de seguridad de cara al futuro.

3. Identifique el tipo de ransomware

Identificar el tipo de ransomware | MetaCompliance

Si es capaz de identificar el tipo de ransomware que se está utilizando en el ataque, le ayudará a comprender cómo se propaga, qué tipos de archivos cifra y cómo puede eliminarse. Existen muchas variedades diferentes de ransomware, pero las dos más comunes son el ransomware de bloqueo de pantalla y el ransomware de encriptación. El primero es el más fácil de resolver y, a pesar de bloquear todo el sistema, los archivos estarán a salvo hasta que se pague un rescate. El segundo es mucho más difícil de recuperar. En lugar de denegar el acceso al usuario, localiza todos los datos sensibles, los cifra y, a continuación, exige un pago para poder descifrarlos y restaurarlos.

4. Informar a los empleados

Debe informar inmediatamente a sus empleados de que se ha producido una brecha, explicarles lo que significa para la empresa y exponerles las medidas que tomará para mitigar el incidente. Tanto si sus ordenadores han sido directamente infectados como si no, es probable que se produzca algún centro operativo mientras se investiga el incidente. Como es natural, los empleados se preocuparán por el impacto que el ataque tendrá en su trabajo, por lo que es importante ser transparente y mantenerles plenamente informados de la evolución de la situación.

5. Cambiar las credenciales de inicio de sesión

El ransomware puede propagarse rápidamente reuniendo direcciones IP y credenciales. Si los hackers consiguen comprometer las credenciales administrativas pueden moverse lateralmente por las redes, cifrar archivos y borrar las copias de seguridad en el proceso. Para asegurarse de que su sistema está protegido y evitar que los hackers frustren sus esfuerzos de recuperación, debe cambiar inmediatamente todas las credenciales de administrador y de usuario.

6. Tome una foto de la nota de rescate

Tome una foto de la nota de rescate | MetaCompliance

Si es posible, debería hacer una foto de la nota de rescate con su teléfono móvil. Puede utilizarla como prueba cuando vaya a denunciar el incidente a la policía. Esta prueba es necesaria si va a presentar una reclamación al seguro cibernético y la foto también puede proporcionar más información sobre el método de ataque.

7. Notifique a las autoridades

Es importante notificar a la policía si ha sufrido un ataque para que puedan investigar a fondo el incidente y ayudar a evitar que otras empresas corran la misma suerte. Si su organización maneja datos que pertenecen a ciudadanos de la UE, está obligada legalmente por el GDPR a informar a la ICO en un plazo de 72 horas desde que se produzca una violación. No hacerlo podría acarrear multas de hasta el 4% de la facturación global anual o 20 millones de euros (lo que sea mayor).

8. Nunca pague el rescate

Nunca pague el rescate | MetaCompliance

La Agencia Nacional contra el Crimen aconseja encarecidamente a las organizaciones que no efectúen el pago de un rescate, ya que envalentona a los ciberdelincuentes para lanzar nuevos ataques y el círculo vicioso continúa. Si decide efectuar el pago de un rescate, no hay garantías de que vaya a recuperar sus archivos y, en todo caso, aumenta las posibilidades de que vuelvan a atacarle en el futuro.

9. Actualice los sistemas de seguridad

Una vez superado el incidente, deberá realizar una auditoría de seguridad y actualizar todos los sistemas. Las actualizaciones deben instalarse en cuanto estén disponibles para evitar que los piratas informáticos aprovechen las vulnerabilidades de las versiones anteriores del software. La aplicación regular de parches garantizará que las máquinas se mantengan actualizadas, estables y a salvo del malware.

10. Recuperarse de las copias de seguridad

La clave para recuperarse rápidamente de un ataque de ransomware es asegurarse de que dispone de copias de seguridad actualizadas de los archivos importantes. La regla 3-2-1 es un enfoque de buenas prácticas para las copias de seguridad y la recuperación. Siguiendo esta regla, debería tener 3 copias de sus datos en dos formatos de almacenamiento diferentes, con al menos una copia ubicada fuera de sus instalaciones. Esto le permitirá recuperar sus datos rápidamente sin que le chantajeen para que pague un rescate.

Cómo prevenir los ataques de ransomware en

  • Los empleados deben recibir formación periódica de concienciación sobre ciberseguridad para educarles sobre la evolución de las ciberamenazas y cómo detectar las primeras fases de un ataque.

  • Realice copias de seguridad de los datos con regularidad.

  • Restrinja los permisos de los usuarios para instalar y ejecutar aplicaciones de software. Esto puede limitar la capacidad del malware para propagarse por una red.

  • Actualice regularmente el software y asegúrese de instalar los parches en cuanto estén disponibles.

  • Instale software antivirus en todos los dispositivos.

  • Analice todos los correos electrónicos entrantes y salientes para detectar amenazas.

  • Siga buenas prácticas de seguridad para minimizar el riesgo de infección – Evite hacer clic en enlaces o descargar archivos adjuntos de fuentes desconocidas.

  • Configure los cortafuegos para bloquear el acceso a direcciones IP maliciosas.

  • Cree contraseñas seguras y active la autenticación multifactor para mayor seguridad en las cuentas.

El phishing es la causa número uno de todos los ciberataques y sigue demostrando ser una de las formas más fáciles de robar datos valiosos y distribuir ransomware. MetaPhish, el software de simulación de phishing de MetaCompliance, ha sido creado para proporcionar una poderosa defensa contra estas amenazas y permite a las organizaciones averiguar lo susceptible que es su empresa al phishing. Póngase en contacto con nosotros para obtener más información sobre cómo puede utilizar MetaPhish para proteger su empresa.