El riesgo de los ataques de ransomware nunca ha sido tan alto, ya que los ciberdelincuentes han hecho evolucionar sus ataques y el malware para que sean más difíciles de detectar y prevenir que nunca. El último informe de Sophos "The State of Ransomware 2021" lo resume con cerca de la mitad de los encuestados que creen que: "...los ataques de ransomware son cada vez más difíciles de detener debido a su sofisticación".
La intervención de la tecnología está ayudando un poco a prevenir los ataques de ransomware, pero no es suficiente. El informe de Sophos destaca el hecho de que los atacantes de ransomware están utilizando una mezcla de "rociar y pagar" y la focalización individual. Este tipo de ataques individuales es lo que añade una capa de dificultad al uso de la tecnología para prevenir los ataques.
Al centrarse en lo humano, los empleados individuales desempeñan un papel crucial en la defensa de una organización contra los ciberataques de todo tipo, incluido el ransomware. Estas son nuestras siete principales sugerencias para dotar a los empleados de los conocimientos necesarios para reducir el riesgo de un ataque de ransomware.
Cómo los empleados pueden ayudar a frustrar el riesgo de ataques de ransomware
Los ataques de ransomware se presentan de muchas formas, pero un objetivo habitual de un hacker es un individuo. Nuestros empleados son una puerta de entrada a la organización si un ciberdelincuente sabe cómo abrir esa puerta. La llave de esa puerta suele ser la ingeniería social y el phishing, que inician el proceso de acceso a las áreas protegidas de una red. Capacitando a nuestros empleados para que sepan cómo comienzan los ataques de ransomware, una organización puede reducir la probabilidad de acabar siendo víctima del malware. He aquí siete formas principales de que los empleados reduzcan el riesgo de sufrir un ataque de ransomware:
Formar a los empleados para que detecten los signos reveladores del phishing
El phishing es un facilitador de los ataques de ransomware. El phishing y los resultados del phishing y el spear-phishing, como las credenciales de acceso robadas, constituyen el punto de partida de muchos ataques de ransomware. Una vez que un atacante tiene derechos de acceso, puede utilizar esas credenciales para enviar correos electrónicos internos (que contienen malware o enlaces a sitios web infectados con malware) y/o iniciar sesión en los sistemas de la empresa utilizando el protocolo de escritorio remoto (RDP). Una reciente vulnerabilidad de Windows demuestra lo fácil que es escalar privilegios utilizando credenciales de acceso robadas. La vulnerabilidad, conocida como PrintNightmare, facilita el uso de credenciales de inicio de sesión sin privilegios para escalar los privilegios del usuario y permitir la instalación de malware en una red.
Capacitar a los empleados para que sepan cómo funcionan los correos electrónicos de phishing y los sitios web falsos puede ayudar a detener una infección de ransomware en el punto de partida de un ataque. Una herramienta que se utiliza para ayudar a los empleados a detectar un intento de phishing es el uso de simulaciones de phishing. Se trata de una herramienta que puede adaptarse a las necesidades específicas de su empresa para enseñar a los empleados a identificar una amenaza de phishing y reducir el riesgo de amenazas de ransomware.
Notifique inmediatamente cualquier correo electrónico sospechoso
Si se produce un incidente, por ejemplo, un empleado hace clic en un enlace de phishing e introduce sus credenciales en un sitio falso, es esencial actuar a tiempo. Una empresa tiene una corta ventana de oportunidad para mitigar la amenaza y evitar que un incidente se convierta en una infección de ransomware. Un informe de Agari descubrió que una vez que se roban las credenciales, dos tercios de las cuentas de correo electrónico se ven comprometidas el mismo día.
La notificación de incidentes debe formar parte de la cultura de su organización. Pero la notificación de incidentes debe fomentarse y simplificarse mediante el uso de un sistema de notificación basado en el flujo de trabajo que esté diseñado para tomar la información del incidente de forma rápida y sencilla antes de enviar los datos a la persona más adecuada para ayudar a minimizar el riesgo de ataques de ransomware.
No comparta información personal en exceso
Los mensajes de phishing a menudo se adaptan a empleados específicos para hacerlos más efectivos. Los atacantes pueden utilizar trucos de ingeniería social para obtener información personal para crear estos mensajes personalizados de spear-phishing. Enseñe a su personal a no dar datos personales a menos que sea necesario. Esto incluye la publicación de información en las plataformas de las redes sociales, que son rastreadas en busca de los datos de los empleados de las empresas objetivo.
No abra archivos adjuntos sospechosos en los correos electrónicos
Los empleados no deben abrir archivos adjuntos a menos que estén seguros de que proceden de una fuente legítima. Los correos electrónicos de phishing también pueden utilizarse para enviar programas de secuestro informático directamente a través de archivos adjuntos maliciosos. Un ejemplo de entrega de ransomware a través de adjuntos de correo electrónico son las estafas de facturas. El correo electrónico parece provenir de un colega o un socio comercial, y contiene lo que parece ser una factura, normalmente como un documento PDF o Word o, a veces, un archivo zip. Si un empleado hace clic para abrir el archivo adjunto, esta acción inicia una descarga de malware a través de un enlace en el archivo adjunto. El malware aprovechará cualquier vulnerabilidad (conocida o desconocida) para ejecutar el código, infectar la máquina y mostrar una petición de rescate.
Utilice sólo fuentes verificadas y conocidas para descargar archivos
Los empleados no deben descargar nunca archivos o medios de comunicación de sitios no autorizados. La táctica conocida como drive-by-download es utilizada por los ciberdelincuentes para descargar software malicioso sin el conocimiento o el consentimiento del usuario. Los ataques drive-by-download utilizan escáneres para buscar vulnerabilidades en los navegadores y otros programas de los dispositivos que luego se aprovechan para instalar ransomware. Aunque su equipo de seguridad puede adoptar medidas como mantener los parches de software actualizados, los empleados deben recibir formación para trabajar con políticas de seguridad que reconozcan los peligros en línea de los drive-by-downloads para prevenir el riesgo de ataques de ransomware.
Utilice una VPN cuando utilice una red Wi-Fi pública
Si un empleado trabaja a distancia, debe ser consciente de los peligros que entraña el uso de puntos de acceso Wi-Fi públicos no seguros. Si no se dispone de una Wi-Fi privada y segura, los usuarios deben activar una red privada virtual (VPN) o, mejor aún, tener siempre una VPN en funcionamiento. Una VPN crea un túnel cifrado entre el navegador del usuario e Internet. La VPN evita los ataques "Man-in-the-Middle", por los que un intruso malintencionado roba datos, como las credenciales de acceso o la información personal, o incluso puede inyectar código malicioso, como un ransomware.
No reutilice las contraseñas
Las contraseñas robadas están a la venta en la web oscura y están detrás del 81% de las violaciones de datos relacionadas con el hacking, según Verizon. Estas "contraseñas en venta" proceden de credenciales previamente suplantadas y de bases de datos pirateadas. Los ciberdelincuentes que compran estas listas utilizan luego herramientas de automatización para hackear las cuentas existentes. Incluso las contraseñas con hash de las violaciones de las bases de datos pueden romperse. El restablecimiento forzado de las contraseñas tampoco funciona, ya que muchos empleados se limitan a añadir un número o una letra más al final de una contraseña utilizada anteriormente. Las políticas de contraseñas de la empresa deben aplicarse a través de una cultura de comprensión de que la seguridad es importante para todos.
Construya un campo de fuerza contra el ransomware con sus empleados
Un ataque de ransomware puede tener graves consecuencias para las organizaciones, ya que puede cifrar los archivos de la víctima, haciéndolos inaccesibles, y exigir el pago de un rescate a cambio de la clave de descifrado. Si no se paga el rescate, el atacante puede amenazar con borrar o filtrar los archivos cifrados, causando importantes daños. El ransomware es un gran negocio y los ciberdelincuentes que están detrás de los ataques se lo toman muy en serio. En una reciente revelación, se descubrió que una nueva banda de ransomware, BlackMatter, ofrecía 100.000 dólares por el acceso exclusivo a la red de una organización para desplegar ransomware y exfiltrar datos.
Sin embargo, la prevención del ransomware no es una solución sencilla; su personal puede ser una defensa eficaz de primera línea contra los ataques. Al incluir a sus empleados en un enfoque de 360 grados para prevenir el riesgo de ataques de ransomware, una organización puede esperar evitar un ataque.