ransomware
Todo el mundo conoce ya la palabra ransomware: aparece en periódicos, revistas, informes de seguridad de la información y prácticamente en todas partes con una alarmante regularidad. Es posible que nombráramos el 2016 como el Año del ransomware, pero no resultó ser nada en comparación con el 2017. Después de un 2018 y 2019 relativamente tranquilos, el 2020 ha visto como el ransomware volvía a los titulares.
Nuestro blog corporativo contiene docenas de artículos sobre ransomware, casi todos con estos tres consejos generales:
- Utilizar una buena protección.
- No descargar nunca archivos sospechosos de sitios sospechosos, ni abrir archivos adjuntos sospechosos en correos electrónicos de personas sospechosas, y enseñar esto mismo a los empleados.
- Realizar copias de seguridad de los datos con regularidad.
De vez en cuando, escucho objeciones del tipo: La protección y la sensibilización de los empleados están muy bien, pero ¿por qué molestarse en fortalecer la protección y formarlos cuando podemos asegurarlo todo realizando copias de seguridad periódicas? De esta forma, si nos atacara un ransomware, simplemente restauramos todo y listo, ¿cuál es el problema?
Pues ahí va el gran problema.
Las copias de seguridad deben ser recuperables
Las copias de seguridad son, por supuesto, necesarias. Pero ¿alguna vez has intentado restaurar la infraestructura de tu empresa desde una copia de seguridad? Puede que no sea tan fácil como parece, y cuanta más heterogeneidad de ordenadores e infraestructura tengas, más difícil será esta tarea. Cualquier profesional informático que se precie se ha enfrentado alguna vez a una copia de seguridad que no se restaura del todo o que no lo hace como se esperaba. El proceso nunca es tan rápido como se cree. Y, otras veces, las copias de seguridad no funcionan para nada.
Cualquiera que haya intentado recuperar copias de seguridad sabe que tiene que comprobar la integridad de estas copias con regularidad, practicar algunas ejecuciones para resucitar el servidor en un entorno de ensayo y, en general, asegurarse de que, si es necesario, la recuperación no tarda demasiado. Y, por otro lado, aquellos que nunca han intentado ejecutar la recuperación desde una copia de seguridad no deberían estar tan tranquilos; es poco probable que sus copias de seguridad ayuden cuando las cosas se pongan feas.
Y otro problema de confiar en una copia de seguridad es que, si el servidor de la copia de seguridad está alojado dentro del perímetro de la red, el ransomware lo cifrará junto con todos los demás ordenadores, lo que arruinaría los planes de recuperación.
Conclusión: Maximiza la probabilidad de una recuperación rápida segmentando la red, realizando copias de seguridad de forma inteligente y con recuperaciones de prueba.
La recuperación significa tiempo de inactividad, y el tiempo de inactividad es caro
Para las grandes empresas con diversos dispositivos e infraestructura, es poco probable una recuperación rápida. Aunque la copia de seguridad funcione a la perfección y te esfuerces para restaurar todo, todavía te llevará bastante tiempo.
Durante esas semanas (sí, probablemente estemos hablando de semanas, no de días), la empresa estará inactiva. Algunos estimarán que el coste de dicho tiempo de inactividad es menor que el de pagar el rescate (lo que desaconsejamos totalmente). En cualquier caso, el tiempo de inactividad después de un ataque de ransomware es inevitable, ya que resulta imposible descifrar y hacer que todos los sistemas y servicios vuelvan a funcionar de inmediato, incluso aunque los ciberdelincuentes tengan la amabilidad de proporcionar un descifrador. En el mundo real, los ciberdelincuentes no son tan amables y, aunque lo sean, el descifrador no funcionará como te esperas.
Conclusión: Para evitar el tiempo de inactividad relacionado con el ransomware, lo mejor es evitar la infección. (Pero ¿cómo? ¡La respuesta está en la protección y la sensibilización de los empleados!)
El ransomware actual es peor que los simples cifradores
Las bandas de ransomware solían dirigirse principalmente a usuarios finales, exigiendo alrededor de 300 dólares en criptomonedas para el descifrado. Sin embargo, ahora han descubierto los beneficios de atacar a las empresas, que pueden pagar, y es más probable que paguen, rescates mucho mayores. Es más, algunos de estos ciberdelincuentes no tienen escrúpulos y persiguen a grandes organizaciones sanitarias: este año, muchos hospitales han recibido ataques de ransomware, de hecho, hace poco una de las víctimas ha sido una empresa en la cadena de suministro de vacunas contra el coronavirus.
El ransomware actual va más allá del cifrado: acecha en las redes y extrae todos los datos que puede detectar. Luego, los datos se analizan y se utilizan para chantajear a las empresas con el cifrado, la filtración de datos o ambos. Por ejemplo, en su mensaje, los ciberdelincuentes podrían amenazar con que el impago daría lugar a la publicación de los datos personales de los clientes o los secretos comerciales de la empresa. Aunque no sea lo peor, esto perjudicaría la reputación de la empresa, y posiblemente de una forma permanente. Además, estas filtraciones podrían suponer una serie de conversaciones muy desagradables con los reguladores del RGPD y similares.
Si un intruso decide filtrar secretos corporativos o datos personales de los usuarios, tener copias de seguridad no te ayudará. Además, si almacenas copias de seguridad en un lugar, como una nube, al que pueda acceder con relativa facilidad una persona con información privilegiada, ellos también podrían proporcionar a los atacantes la información que necesitan para chantajearte.
Conclusión: Las copias de seguridad son necesarias, pero por sí solas no son suficientes para proteger tu empresa del ransomware.
Tres pilares de seguridad contra el ransomware
Una vez más, dado que no existe una fórmula mágica contra el ransomware, nuestro consejo sigue siendo el mismo: las copias de seguridad son absolutamente necesarias, pero deben hacerse correctamente, con diligencia y con ensayos de recuperación. Parte de esa diligencia consiste en conocer los detalles de las copias de seguridad: con qué frecuencia la empresa realiza estas copias de seguridad de los datos y dónde se almacenan. Todos los empleados relevantes también deben saber exactamente cómo reiniciar las operaciones rápidamente.
La protección también es imprescindible, no solo una protección reactiva sino proactiva que evite que las amenazas se afiancen en la red. Dar a conocer a los empleados los conceptos básicos de la ciberseguridad y comprobar periódicamente sus conocimientos es igual de importante.
En resumen, tu seguridad se reduce a estos tres conceptos: copias de seguridad, protección y sensibilización. Estos tres deben estar en su lugar y, cuando lo estén, podrás afirmar con seguridad que estás empleando una estrategia de seguridad anti-ransomware óptima.
