Los ataques de ransomware: ¿Qué son y cómo nos podemos proteger de esta ciberamenaza?

 

La última caída de los servicios de Garmin, el fabricante de las famosas pulseras de actividad, ha terminado siendo un episodio más de un tipo de ciberamenaza conocida como ataque de ransomware.

El ransomware, cuyo origen viene de la palabra “ransom” (rescate en inglés), es un tipo de malware que tiene como objetivo el secuestro de la información, mediante cifrado, de un sistema o equipo para la petición posterior de un rescate a cambio de la contraseña para el descifrado.

El de la compañía Garmin es el último caso conocido de un tipo de amenaza cada vez más frecuente, según los últimos informes de la AEPD, que afecta a empresas de gran volumen pero también, y cada vez en mayor medida, el objetivo son las pymes. Se estima que el coste global por daños derivados del ransomware alcanzará los 20 mil millones USD en 2021.

El efecto de estos ataques suele ser la interrupción temporal de la actividad de la empresa ocasionando daños económicos y reputacionales.

Algunos de los ataques de ransomware más conocidos, como los sufridos por las compañías Yahoo (2013), eBay (2014) o Facebook (2017) han terminado con el pago de cifras millonarias y enormes daños de reputación. Una de las primeras recomendaciones ante este tipo de ataque es NO pagar el rescate que solicitan los hackers. Si pagas es muy posible que pierdas el dinero y no recuperes la información.

¿Cómo se produce el ataque de ransomware?

Las vías de entrada en el sistema son bastantes variadas, desde detectar agujeros de seguridad en el software hasta uso de ingeniería social para obtener mediante engaño el control del equipo o dispositivo de la víctima.

Uno de los ransomware más famosos de la historia, conocido como “WannaCry”, en 2017 aprovecho una brecha de Microsoft en un protocolo de seguridad para atacar a empresas e instituciones de más de 150 países. El malware se autoinstalaba en el equipo de la victima encriptando archivos con la extensión .WCRY. Se estima que más de 2 millones de equipos siguen expuestos.

Pero en la mayoría de los casos, más de un 90%, el ataque se produce por correo electrónico. La víctima del ataque de ransomware recibe un correo electrónico falso, en el que se ha suplantado la identidad del emisor (phishing), con un enlace o fichero adjunto que al ejecutarse instala el malware en el equipo.

Una vez instalado el malware se procede al cifrado de la información, y el equipo queda bloqueado, apareciendo una ventana de aviso que informa a la víctima del ataque, solicita una cantidad a pagar, y la forma de efectuar el pago (frecuentemente en criptomonedas).

¿Cómo podemos protegernos…?

Procedimientos de Seguridad, es decir, medidas técnicas que van a garantizar que los sistemas disponen de una configuración adecuada, se utilizan en las condiciones de seguridad establecidas por la empresa, y se tiene la capacidad de respuesta necesaria ante cualquier incidente interno o externo que pueda afectar a la continuidad de los servicios.

Estos procedimientos contemplan actividades esenciales como la actualización del software en los equipos; control de accesos y registros de actividad; configuración segura del uso de equipos, aplicaciones o dispositivos; copias de seguridad; medidas de respuesta ante incidentes, etc.

Muchas veces la mejor manera de protegerse es la prevención:

Se recomienda la formación continua de los empleados para que puedan reconocer el ataque y que sea más difícil que puedan ser engañados.

Sistemas antispam con filtrado de nivel alto.

Instalación de la herramienta “AntiRansom” que permite el bloqueo del proceso.

¿Qué debo hacer en caso de un ataque de ransomware…?

En cumplimiento del principio de responsabilidad proactiva del artículo 5 del RGPD, siempre que el incidente haya afectado a datos de carácter personal, el responsable del tratamiento quedará obligado a notificar la brecha de seguridad en el plazo máximo de 72 horas a la autoridad de control competente, “a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.” (art.33 RGPD).

Además, en los casos en que sea probable que la violación entrañe un alto riesgo para los derechos y libertades de los afectados, también se les deberá comunicar a estos.

Esta notificación de la brecha de seguridad se puede efectuar a través de los formularios de la AEPD, vía Sede Electrónica.

También recomendamos que se denuncie ante la Policía Nacional (BIT) o la Guardia civil (Grupo de Delitos Telemáticos). Y por último, es aconsejable reportarlo al INCIBE a través de la dirección de correo electrónico: incidencias@incibe-cert.es.

A modo de conclusión,

Según hemos visto, este tipo de ataques es más frecuente de lo que nos imaginamos, y afecta a todo tipo de empresas con importantes consecuencias no sólo económicas sino también para la continuidad del negocio. Debemos estar preparados.

Recuerda que NO debemos pagar el rescate, y tenemos que denunciar el delito por cualquiera de las vías señaladas.

Sin duda, lo mejor es prevenir, disponer de medidas de seguridad activas y no reactivas, planes de continuidad de negocio, y trabajar en la capacitación y concienciación del personal para evitar el engaño.

Compartir:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *