Ransomware es uno de los ataques informáticos más sofisticados que está afectando, en proporciones nunca vistas, el normal funcionamiento de los negocios en todo el mundo, inclusive en nuestro país. Conocer al enemigo es el primer paso para detener la codificación de sus archivos en una etapa temprana y minimizar el daño, que en muchos casos llega a ser total".

Aprovechando las más novedosas técnicas de ingeniería social y muy sólidos algoritmos de criptografía (codificación de información), Ransomware puede encriptar los archivos digitales de una persona en su propia PC, o en toda la red corporativa de cualquier empresa, para tomar sus datos como rehenes. Si bien es un delito que se remonta a la década del 90, en los últimos dos años se ha desarrollado en sus más sofisticadas variantes que están produciendo pérdidas millonarias en todo el mundo, en empresas de todo tipo, llamando la atención e intervención del mismísimo FBI.

Aunque Ransomware es sofisticado y está en evolución constante, hay algunas medidas básicas que las empresas pueden tomar para reducir drásticamente el riesgo a ser las próximas víctimas de un ataque.

Si bien no todas las variantes del virus o malwere (software malicioso o malintencionado) se comportan de la misma forma, la mayoría de los ataques comparten ciertas características y patrones de comportamiento. Conocer al enemigo es el primer paso para detener el proceso de cifrado de datos en una etapa temprana y, seguramente, minimizar el daño.

¿Y cómo funciona?

Para desencadenar un ataque, un usuario simplemente tiene que abrir un archivo infectado y malicioso a través de un sitio web, un adjunto de correo electrónico u otra fuente de ingreso malware como puede ser Skype o una red social. Esta simple acción, ejecuta la rutina maliciosa.

A diferencia de la mayoría del malware, ransomware puede trabajar pasando por encima de las defensas estándar de las redes informáticas de las empresas y cifrar sus datos.

Una vez activado, se almacena en el equipo de la víctima e inmediatamente inicia una conexión con el servidor del atacante para generar una clave y cifrar todos los archivos del desprevenido usuario, ya sea los que residen en su equipo, como así también, a los que este tenga acceso a través de la red de la empresa en carpetas compartidas. Es decir, puede examinar todas las unidades físicas y lógicas, locales o alojadas en la nube buscando archivos como documentos, imágenes, base de datos, comprimidos, etc.. En segundos hace una copia, cifra los archivos y luego borra los originales. Así de simple, así de rápido. Devastador.

Luego de consumado el ataque, cuando se intenta abrir un archivo cifrado, aparece una ventana emergente con instrucciones para pagar un rescate para desbloquearlo. También se da una fecha límite, amenazando con borrar los datos si el rescate no se paga. Normalmente el pago se exige a través de bitcoins (moneda digital) lo que asegura el anonimato del delincuente cibernético.

Sin embargo, un ransomware no puede cifrar todo el disco duro a la vez, la velocidad de cifrado de sus primeras variantes se estimaba en alrededor de 1.000 archivos por minuto en promedio. Pero, como en informática todo evoluciona rápidamente, una de sus últimas variantes llamada Petya, descubierta en marzo de 2016, en lugar de cifrar archivos uno por uno, la rutina toma privilegios de administrador y sobrescribe el registro de inicio del sistema, bloqueando Windows desde su arranque y, simplemente, niega el acceso a todo el sistema. Como si esto fuera poco, si Petya no puede obtener privilegios de administrador del sistema, viene con un Plan B embebido que se ejecuta inmediatamente instalando un ransomware estándar que es capaz de trabajar sin acceso a nivel de administrador.

Varias empresas de Mendoza ya sufrieron ataques. Una conocida bodega del este mendocino acaba de pagar $70.000 para recuperar la totalidad de sus datos.

En este contexto, es muy importante que las empresas tengan desarrollada una estrategia de protección basada en principios básicos de seguridad informática y que deben ser respetados a rajatablas si se pretende que dicha estrategia tenga más posibilidades de prevenir la intrusión ransomware en sus datos.

¿Qué se aconseja tener en cuenta?

1. Bloquearlo en el perímetro de la red informática.

Es vital utilizar aplicaciones de filtrado de spam y control de malware para mantenerlo fuera de su infraestructura informática. Utilizando software de marcas líderes se asegurará tener disponibles actualizaciones permanentes y efectivas. Una condición necesaria pero que lamentablemente no asegura inmunidad total.

2. Tener instalada la última versión anti-malware

Como decíamos, los productos antivirus tradicionales pueden no detectar ransomware. Para mejorar su defensa, se deben elegir soluciones anti-malware basadas en reglas heurísticas y análisis de comportamiento de los usuarios, estas aplicaciones son más efectivas que las basadas en firmas que solo actúan ante virus conocidos y registrados en sus bases de datos.

3. Limitar el acceso a datos

Uno de los errores más comunes en las organizaciones, es darle al personal derecho de acceso a información que no necesita para desempeñar su función. Ransomware puede llegar a todos los archivos y carpetas que la cuenta del usuario infectado tiene acceso. Si se limita racionalmente el acceso a la información, se achica muchísimo el universo de datos susceptibles de ataque. Solamente con la simple tarea, de administrar y controlar rigurosamente los permisos de acceso es posible detectar y eliminar los innecesarios.

4. Monitorear el nivel de actividad de los usuarios.

Aunque esta es una tarea casi utópica para Pymes que no cuentan con las herramientas y el personal idóneo para detectar rápidamente ransomware y tomar medidas correctivas inmediatas, es importante tener una solución de análisis de comportamiento y actividad del usuario para detectar picos inusuales de trabajo que haga presumir un ataque.

Asegúrese de tener la posibilidad de monitorear todos los intentos, fallidos o no, de acceso a archivos, y cualquier modificación masiva a archivos críticos, carpetas, servidores de archivos y recursos compartidos. Para esto, es importantísimo que las organizaciones tengan clasificada su información, para poner mayor atención y recursos en los datos sensibles y confidenciales.

5. Estar siempre preparado para recuperar información desde una copia de seguridad.

Dentro de su plan de continuidad de negocios, toda empresa tiene que tener claro cuál es el máximo periodo de tiempo que puede funcionar sin tener acceso a sus datos y sistemas informáticos operando. Conociendo esto, sabrá que tan sofisticado sistema de backup y recuperación de datos deben tener. Es importante contar con un software que permita cumplir con estos objetivos mínimos de recuperación. Como así también, contar con una adecuada política de backup que asegure tener copia de todos los archivos importantes almacenados fuera de línea, con las medidas de seguridad que marcan las mejores prácticas.

6. Educar a su personal

La comunicación es otro punto importantísimo. Debe entrenarse al personal para que conozca esta situación y comprenda cuales son las prácticas informáticas seguras a los efectos de reducir al mínimo la exposición y el riesgo de infección.

La construcción de una defensa eficaz contra ransomware es un reto que toda empresa debe afrontar en lo inmediato. Un factor clave para el éxito es tener visibilidad completa de todo lo que sucede en su propio entorno informático, sin olvidar todos los accesos a datos y aplicaciones en la nube.

Conocer en detalle lo que está sucediendo, asegura la posibilidad de tomar mejores decisiones para la gestión de los datos personales y corporativos permitiendo identificar patrones de amenaza antes que se conviertan en incidentes difíciles de revertir y remediar.