RANSOMWARE: Cómo defenderse del ransomware: prevención y mejores prácticas

En nuestro artículo anterior describimos las técnicas de ataque más recientes y sofisticadas utilizadas por Ransomware, que hoy en día representan la amenaza más grande y frecuente para las empresas de todo el mundo.
Como explicamos, los ataques de ransomware representan el 67% de todos los ataques de malware en 2020 y se espera que, en 2021, en todo el mundo, se produzca un ataque de ransomware dirigido a empresas cada 11 segundos.

Medidas de “ciber higiene”

Este tipo de ataque está teniendo un gran éxito porque demostró ser extremadamente rentable para los perpetradores. Y, como se lleva a cabo de forma remota, el riesgo de ser descubierto es, para los ciberdelincuentes actualmente muy bajo.

Sin embargo, los ataques de ransomware no muestran formas especiales de alcanzar sus objetivos: como explicamos en el artículo mencionado anteriormente, las formas en que un ataque de ransomware puede penetrar en nuestras computadoras son son esencialmente las mismas que con muchos otros tipos de ataque.

Por tanto, las medidas de protección y prevención que debemos adoptar para evitar ser objeto de un ataque de ransomware son las mismas que utilizamos para defendernos de cualquier otro tipo de ciberataque.

En la mayoría de los casos, podemos hablar de “ciber higiene”, es decir, acciones que deben formar parte de nuestra práctica diaria. También porque estos pequeós gestos pueden protegernos no solo de los ataques de ransomware sino de cualquier tipo de ataque.

Protéjase del ransomware: prevención

Muchas de las medidas de protección preventiva que sugeriremos a continuación pueden parecer incluso elementales y obvias.
Pero no los subestimamos: en la mayoría de los casos, el ransomware puede penetrar en nuestros sistemas informáticos explotando errores humanos, a vece incluso triviales.
La técnica de ataque más extendida, ya que desafortunadamente funciona y es fácil de realizar para el ciberdelincuente, todavía hoy está representada por correos electrónicos de phishing: esta técnica, que explota la ingeniería social, se utiliza en más del 50% de los ataques de ransomware.

A continuación, centrémonos en cómo protegernos de los ataques de ransomware.

»  Nunca te dejes llevar por los “clics compulsivos“: en general, siempre es mejor dedicar unos segundos a examinar el correo que recibimos ya que la mayoría de las veces los correos de phishing tienen algo extraño e inusual. Por lo tanto, podríamos notarlos si tuviéramos la paciencia suficiente para observar el correo electrónico antes de actuar de una manera que pudiera ser peligrosa.

»  Nunca abra archivos adjuntos de origen incierto. Si tienes dudas, cuando recibimos un correo electrónico sospechoso, es recomendable preguntarle al remitente si ese correo era auténtico.

»  Preste atención también a los correos electrónicos que provienen de direcciones conocidas (podrían haber sido pirateados utilizando una técnica de falsificación llamada “spoofing”).

»  Habilite la opción “Mostrar la extensión del nombre del archivo” en la configuración de Windows: los archivos más peligrosos tienen las siguientes extensiones: .exe, .zip, .js, .jar, .scr, etc. Si esta opción no está habilitada, no podrá ver la extensión real del archivo y podría ser engañado más fácilmente.

»  Desactivar la opción de auto ejecución para dispositivos USB  y otros dispositivos móviles y, más en general, evitar insertar estos objetos en nuestro portátil si tenemos dudas sobre su origen. Este modo de ataque se conoce como “cebo”: implica el uso de un cebo dirigido a alguien que tiene la posibilidad de acceder a un sistema informático determinado (como un troyano). Un dispositivo de memoria externa, como una llave USB o un disco duro, que contiene malware que se activará automáticamente tan pronto como el elemento se conecte a la computadora, se deja a propósito sin vigilancia en un lugar común (como la sala de la empresa, el comedor o estacionamiento). La curiosidad humana hará el resto. En la mayoría de los casos es la curiosidad humana la que hace que este cebo funcione: la persona insertará el dispositivo desconocido en su computadora portátil. En la mayoría de casos es la curiosidad humana la que hace que este cebo funcione: la persona insertará el dispositivo desconocido en su computadora portátil. Como comentamos en otro artículo, ¡fue exactamente a través de una llave USB que los atacantes pudieron activar las centrifugadoras de una planta de energía nuclear en Irán y hacerlas explota! Es el conocido ataque de Stuxnet a la central eléctrica iraní de Natanz de 2010.
Hoy en día, esta amenaza se ha vuelto real, es por eso que algunas empresas han aprobado políticas muy restrictivas y han desactivado los puertos USB en las computadoras portátiles que se les da a los empleados. De esta manera, el puerto USB se puede usar para conectar el mouse o cargar su teléfono, pero no podrá enviar ni recibir datos. En otros casos, más frecuentes, no se alcanza este nivel de restricción ya que es difícil hacer de entender y aceptar a los usuarios. No obstante, siempre es útil formar a los usuarios sobre cómo tener cuidado al utilizar dispositivos móviles y concienciarlos de los riesgos a los que se enfrentan.

»  Deshabilitar la ejecución de macro por programas de Office (Word, Excel, PowerPoint). Los archivos adjuntos de Office que incluyen macros maliciosas representan hoy una de las técnicas de ataque más extendidas. Habilitar la macro permitirá que se active automáticamente y, por lo tanto, inicie el proceso de infección a través de ransomware.

»  Siempre preste atención antes de hacer clic en banners o ventanas emergentes en sitios web inseguros. Como ya explicamos, el ransomware puede afectarnos no solo a través del phishing, sino también al visitar sitios web que han sido infectados, con una técnica conocida como “descarga drive-by”.

»  Actualice siempre los sistemas operativos y navegadores. En general, es bueno actualizar siempre de inmediato a los parches de seguridad que ofrecen los productores de los softwares que tenemos instalados. Un navegador actualizado es más seguro y representa por sí mismo una capa de protección, especialmente contra los ataques de “descarga directa”, también conocidos como “abrevadero”, que pueden tener lugar cuando navega en sitios web comprometidos.

»  Asegúrese de que los complementos que está utilizando (Java, etc) estén siempre actualizados. Se sabe que estos complementos representan un punto de acceso preferido para la mayoría de los cibernéticos. Mantenerlos constantemente actualizados reduce las vulnerabilidades que les afectan (aunque no las elimina por complemento).

»  Utilice, cuando sea posible, cuentas que no gocen de derechos de administrador: si se viola una cuenta de administrador, el atacante podrá disfrutar de los privilegios que el administrador y realizar más acciones que resulten en mayores. Viceversa, un usuario no administrador tiene privilegios limitados y los mismos límites se aplicarán al atacante. Este es el “principio de privilegio mínimo” básico, que toda empresa debe adoptar sistemáticamente con sus usuarios.

»  Dado que los correos electrónicos de phishing representan la técnica de ataque más frecuente, es importante instalar sistemas antispam efectivos y actualizados, que implementen protocolos SPF (Sender Policy Framework), DKIM (Domain Keys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting and Conformance). No podrán bloquear todos los correos electrónicos de phishing, pero los mejores sistemas pueden alcanzar una eficiencia, sin embargo, superior al 95%.

»  Preste atención al uso del Protocolo de Escritorio Remoto (RDP): representa un puerto expuesto en la red, que – si no es necesario – debe cerrarse. Si por el contrario lo utilizamos (sobre todo en estos momentos en los que el Smart working es tan frecuente) tendremos que proteger este acceso con contraseñas seguras y posiblemente con doble autenticación 2FA.

»  Instale Antimalware (antivirus) y manténgalos siempre actualizados. Sin embargo, debemos tener en cuenta que los antivirus “tradicionales”, es decir, los definidos como “basados en firmas” garantizan una protección bastante limitada (no superior al 50/60%), ya que pueden ser fácilmente evadidos por virus polimórficos, es decir modificado.

»  En su lugar, implemente soluciones “Análisis de comportamiento del usuario” (UBA) en la red corporativa (análisis de anomalías de tráfico web) con sistemas IDS (Sistema de detección de intrusiones), IPS (Sistema de prevención de intrusiones) y EDR (Detección y respuesta de puntos finales). Estas herramientas representan la protección más avanzada contra ransomware en la actualidad. Se sabe, de hecho, que estos malware presentan una serie de comportamientos típicos (acceso / escritura a carpetas del sistema, conexión a servidores externos para descargar archivos encriptados, etc.). Por lo tanto, las UBA analizan el comportamiento de cada computadora de la empresa y son capaces de comprender si se están produciendo eventos “anómalos” (como por ejemplo un tráfico de datos superior al promedio, acceso a direcciones IP clasificadas como maliciosas, acceso y escritura en carpetas del sistema que no debería ser usado). Tras la detección de eventos anómalos y sospechosos, pueden aislar la computadora infractora y bloquear (al menos limitar) el ataque.

»  Implementar el uso de Sandbox, que literalmente se refiere a la caja de arena para niños, en el vocabulario de IT identifica un entorno de prueba, aislado del sistema principal. Se utiliza para desarrollar y probar aplicaciones y para ejecutar operaciones que representan un peligro potencial para la integridad del sistema.

Estos instrumentos suelen estar disponibles en los sistemas UBA comentados anteriormente y permiten analizar y ejecutar en un entorno aislado, el sandbox, archivos sospechosos antes de abrirlos en el sistema principal, donde podrían causar daños.

»  Adopte procedimientos de copia de seguridad precisos de sus datos. Esta es una medida de seguridad fundamental, incluso vital: si, a pesar de todo, un ransomware logra atacarnos, la única forma de salvarnos es si hemos guardado nuestros datos en otro lugar. Y es importante hacer una copia de seguridad sus datos completa y con frecuencia. Cuando la copia de seguridad no está disponible, te queda la única opción de pagar el rescate.

 

Y finalmente, nunca debemos olvidar que el punto más débil de la seguridad lo representa el factor humano.
Por tanto, es fundamental formar e informar a los usuarios para que no sean víctimas de intentos de phishing, la técnica más utilizada en estos ataques. En la práctica, los factores humanos y la conciencia de los usuarios se subestiman con demasiada frecuencia.

En conclusión:
En cada ciberataque hay al menos un error humano: en la mayoría de las técnicas de ataque, los ransomwares no pueden actuar a menos que una acción de nuestro lado lo permita.
Los sistemas antivirus simples ya no son suficientes y no pueden garantizar una defensa completa (debido al fenómeno de polimorfismo mencionado).
Nunca subestimes el factor humano: es importante formar a los empleados todos los niveles. Lamentablemente, los errores o la negligencia de una sola persona pueden comprometer los datos de toda la empresa.

En resumen: la primera y mejor protección es siempre el usuario.

 


El autor

Giorgio Sbaraglia (https://www.giorgiosbaraglia.it), ingeniero, es consultor y formador en temas de ciberseguridad y privacidad.

Realiza cursos de formación sobre estos temas para numerosas empresas italianas importantes, entre ellas ABIFormazione y la 24ORE Business School .
Es el coordinador científico del Máster “Ciberseguridad y Protección de Datos” de 24Ore Business School
Es miembro del Comité Científico CLUSIT (Asociación Italiana de Ciberseguridad) y Gerente de Innovación certificado por RINA.
Ocupa cargo de DPO (Delegado de Protección de Datos) en empresas y Colegios Profesionales.

Es el autor de los siguientes libros:

»  GDPR kit di sopravvivenza” – “GDPR kit de supervivencia” (Editado por goWare),
»  Cybersecurity kit di sopravvivenza. Il web è un luogo pericoloso. Dobbiamo difenderci!” – “Kit de supervivencia de ciberseguridad. La web es un lugar peligroso. ¡Debemos                   defendernos!” (Editado por goWare),
»  iPhone. Come usarlo al meglio. Scopriamo insieme tutte le funzioni e le app migliori” – “iPhone. Cómo utilizarlo en todo su potencial. Descubramos juntos todas las funciones y          las mejores aplicaciones” (Editado por goWare).

Colabora con CYBERSECURITY360  una revista online especializada del grupo Digital360 centrada en Ciberseguridad.
Escribe también para ICT Security MagazineAgenda Digitale y para la revista CLASS.

 


En cualquier Router y Firewall puede activar la protección FlashStart® Cloud para asegurar dispositivos de escritorio y móviles y dispositivos IdC en las redes locales.

> Para más detalles haga clic aquí
> Para una prueba gratuita haga clic aquí
> Para descubrir los precios haga clic aquí

 

Artículos relacionados

Copy link
Powered by Social Snap