El ransomware está convirtiéndose en el desafío principal para las empresas en México y en todo el mundo. ¿Qué puede hacer para protegerse?
CIUDAD DE MÉXICO.- La ciberdelincuencia pasó de simples estafas realizadas por los llamados príncipes nigerianos a sofisticadas operaciones multinacionales, y una de sus herramientas más útiles es el ransomware, que encripta sus archivos y solicita un pago para desbloquearlos.
Muchos de los primeros atacantes de ransomware reclamaban el pago en “e-gold,” que fue la primera moneda digital con respaldo en activos tangibles: oro y plata.
En la actualidad, muchos hackers exigen el rescate en bitcoin (u otras criptodivisas), ya que de este modo aumenta la probabilidad de que los atacantes permanezcan en el anonimato y eviten ser procesados.
Asimismo, cabe destacar que los intercambios de criptodivisas, por este motivo, son el objetivo. Para muchos atacantes, estas plataformas son menos seguras que los bancos y las redes de pago, como el sistema SWIFT.
Durante el 2019, las empresas mexicanas ocuparon el sexto lugar como blanco de ataques de ransomware. Alrededor del mundo, estos ataques le cuestan a la economía global más de $170 mil millones al año. Más que nunca es importante proteger su negocio de los ataques de ransomware y la mejor manera de hacerlo es entender cómo funcionan.
La anatomía de un ataque de ransomware
Los ataques de ransomware generalmente se dividen en 6 etapas diferentes:
1.ª etapa: entrega
Para que un atacante pueda poner en peligro su empresa, primero tiene que entrar en el sistema. El procedimiento más común es un ataque de ingeniería social, o de suplantación de identidad (“phishing”). Un atacante intentará simular que es un proveedor, un compañero de trabajo o incluso un directivo. Entonces enviará un correo electrónico que incluya un enlace infectado.
La clave para que un correo electrónico de “phishing” tenga éxito es que parezca legítimo, pero que obligue al usuario a responder con urgencia para que no piense demasiado antes de hacer clic. De esta forma, se infecta con un troyano la red de destino y puede comenzar la siguiente etapa.
Consejo profesional: La entrega es el momento más adecuado para detener un ataque de ransomware. Una formación adecuada en materia de higiene informática puede aminorar el riesgo, pero recuerde que basta un solo error para que un ataque de ransomware tenga éxito.
2.ª etapa: infección
Al hacer clic en el enlace, el hacker accede a su sistema. El encriptado todavía no comienza. En este momento, el ransomware se incrusta en su sistema. Si un virus es capaz de llegar a este punto, ha evadido todos los sistemas de detección automática.
3.ª etapa: tomar el control
En cuanto el ransomware se encuentre en su sistema, comenzará a incrustarse para asegurar la conexión con su servidor del tipo “command and control”, operado por el atacante. Mientras lo hace, el trojanware introduce varios cambios en el sistema para garantizar que el malware persiste después de que se reinicie el sistema. Ahora el atacante tiene el control de esta máquina y comenzará a encontrar otros equipos para comprometerlos en su red.
4.ª etapa: escaneo
Este es el momento en el que el ataque comienza a disminuir. Ahora el malware empieza a escanear su sistema para buscar archivos que puedan ser encriptados. Asimismo, intentará encontrar archivos que puedan ser compartidos, y seguirá propagándose por todo el sistema, encontrando más objetivos a su paso.
5.ª etapa: encriptado
Una vez que el atacante ha terminado de escanear la red, se dirigirá a los archivos. Esto puede tardar entre unos minutos y unas horas. Cuando el malware haya encriptado todos los archivos, generalmente borrará los archivos originales.
6.ª etapa: la demanda
Solo en este punto recibirás la demanda. El atacante pedirá normalmente un pago en criptomoneda para hacer más difícil su rastreo. El importe de esta solicitud varía. En el caso de las empresas, puede ascender a millones. Por ejemplo, cuando se atacó a Foxconn, los hackers solicitaron alrededor de $32 millones.
¿Cómo proteger mi empresa contra el ransomware?
El ransomware resulta difícil de erradicar una vez que está en su sistema y los costos en pérdida de productividad y el propio pago del rescate pueden ser difíciles de asumir. Por eso tiene sentido que las empresas implementen una serie de medidas de defensa contra el ransomware:
- Formación de los trabajadores: Haga que el equipo de TI practique periódicamente ejercicios con correos electrónicos de suplantación de identidad para acostumbrar a los empleados a ellos. No castigue a los que no superen la prueba, sino tómelo como una oportunidad para educarlos.
- Prepárese para lo peor: Aun con una gran formación, la gente se equivoca. Esto quiere decir que debe poner en marcha planes para que un ataque de ransomware tenga éxito. Cree regularmente copias de seguridad fuera de línea de los sistemas esenciales y manténgalos separados de sus sistemas principales.
- Haga una evaluación del impacto en el negocio: Para comprender la exposición de su negocio a un ataque de ransomware, garantice que da la prioridad a que los sistemas de importancia crítica estén de nuevo en línea, y elimine su motivación para pagar.
Programas de recompensa por errores
Otro aspecto a tener en cuenta es el uso de programas de “recompensas por errores”. Estos programas incitan a los hackers de “sombrero blanco” a detectar vulnerabilidades en el código de una empresa. La empresa entonces negocia un pago de buena fe con la persona a cambio de información sobre la vulnerabilidad que debe ser corregida.
Muchas empresas recurren a programas de recompensas por fallos como HackerOne. Entre ellas, Amazon, AT&T y Google, así como plataformas financieras como Bitmex.
Recomendación: En la medida de lo posible, no pague el rescate, pues no hay garantía de que los atacantes liberen su sistema. Además, esto les anima a atacar a otros.
La principal protección contra el ransomware es la preparación
El ransomware ha sorprendido a muchas empresas mexicanas. Lo triste es que muchos de estos ataques, como el de Pemex, pudieron haberse evitado. Con la planificación y los procedimientos adecuados, puede garantizar que es poco probable que su empresa sea víctima de un ataque de ransomware y minimizar cualquier daño si se produce alguno.
