Actualmente, una de las principales preocupaciones de las organizaciones es la seguridad de sus infraestructuras informáticas. En esta era digital «Digital First», que tiene como principal objetivo priorizar el uso de servicios digitales, es un tema clave invertir en seguridad para cuidar la data y atender a los clientes. Y es que, al digitalizar toda la información de la empresa, utilizar sitios web o realizar cualquier acción a través de internet, los datos de la compañía quedan expuestos y vulnerables a cualquier tipo de ataque cibernético.
Nelson Arbelaez, ingeniero Sénior de Hillstone Networks en Colombia, explica que el ransomware es un software malicioso que ha sido creado para acceder al sistema de un usuario y bloquear el acceso a su propia información y archivos personales. Esto se hace con el objetivo de “secuestrar la información” y exigir el pago de un rescate.
Un poco de historia
Aunque este flagelo cibernético parezca un asunto reciente, la verdad es que no lo es. Se tiene registro que los primeros tipos de ransomware fueron creados en los años ochenta; en ese entonces, los pagos por el rescate se debían realizar a través de correo postal. Claramente, estos métodos han evolucionado al pasar los años. Tanto la práctica del ransomware como el “protocolo de rescate”; hoy en día son completamente diferentes; por lo general, los ciberatacantes exigen que el pago de rescate se efectúe a través de criptomonedas.
Así se lleva a cabo un ciberataque de ransomware
Existen diversos métodos a través de los cuales un computador o servidor puede infectarse. Primero, el software malicioso ingresa en el sistema, bien sea a través de spam o phishing, que son aquellos mensajes que llegan a un correo electrónico y contienen el malware.
Este tipo de correos spam suelen incluir archivos adjuntos maliciosos, ya sea en formato PDF o algún documento en Word; aunque también, pueden contener algunos enlaces que llevan a sitios web maliciosos. Una vez la persona que los recibe abre el documento o ingresa en el enlace, el ransomware entra al dispositivo y comienza a cifrar el sistema operativo, bien sea completamente o de manera parcial, bloqueando algunos cuantos archivos.
Posteriormente, el ciberatacante procede a exigir a la víctima el pago de un rescate para liberar sus datos, pero esto no significa que el ataque fue reciente, pues los ciberdelicuentes pueden ir cifrando datos y viendo la operación de la empresa durante días, semanas y hasta meses.
Tipos de ransomware
Existen tres tipos de ransomware, los cuales se clasifican según su nivel de gravedad, en los siguientes:
Scareware. Se caracteriza por ofrecer falsas ofertas de soporte técnico y programas de seguridad que no son reales. Al activarse, la persona recibirá mensajes exigiendo el pago para la liberación.
Bloqueadores de pantalla. El software malicioso impedirá al usuario utilizar completamente su computador. Su aspecto es el de una ventana que ocupa toda la pantalla y que muestra el logo de una entidad internacional como FBI o del grupo cibercriminal que está haciendo el ataque.
Ramsomware de cifrado. Es el más nocivo de todos. Secuestra los archivos que encuentre en el PC y los cifra (bloqueándolos). La condición es pagar para descifrarlos y regresarlos a su propietario. Una vez el virus ingrese al computador, no hay manera restaurar el sistema y recuperar los archivos.
Protegerse es un tema clave. Para los expertos en ciberseguridad, la mejor manera de protegerse de este tipo de ataques es evitando la infección.
Si bien se han desarrollado algunos procedimientos para tratar un sistema infectado con ransomware, estas soluciones no garantizan una completa recuperación de los archivos.
Según Nelson Arbeláez, la microsegmentación permite a los administradores de seguridad segmentar el centro de datos en áreas distintas y, a continuación, definir y aplicar políticas de seguridad para cada segmento, hasta una máquina virtual, carga de trabajo, usuario u otra división.
Impacto del ransomware en una empresa
En el contexto actual, este tipo de programa es muy dañino, también conocido como malware, secuestra los datos informáticos de empresas o personas para solicitar un rescate económico. Las consecuencias de un ataque por ransomware en la empresa pueden ser muy graves, desde pérdidas de datos e información valiosa para la compañía, hasta serias pérdidas económicas, de reputación, y hasta el cierre de operaciones. En caso de presentar un ataque de ransomware, los siguientes pasos podrán ser determinantes para empezar a superar el problema:
1. Identifique el alcance del problema. Es decir, cuándo ocurrió, cuántos equipos se vieron afectados y qué tipo de información fue secuestrada, entre otros temas. Al tener claras estas respuestas, podrá definir con mayor certeza cómo proceder.
2. Reúna todas las pruebas posibles. El segundo es la toma de evidencias del ciberataque. En esta ocasión deben tomarse fotos o capturas de pantalla del mensaje del ataque de ransomware en el o los equipos afectados. La información captada podrá ser de gran utilidad para presentar las denuncias respectivas.
3. Poner en cuarentena los equipos afectados. Es importante aislar todos los sistemas que estén infectados, esto con el fin de evitar que otros equipos se infecten y el virus se propague. Tener en cuenta que no en todos los casos es necesario pagar por el rescate de los archivos. Existen algunos medios o empresas especializadas que pueden ofrecerte varias herramientas para descifrar los datos y recuperarlos.
4. Proteger las copias de seguridad. Mantenga a salvo las copias de seguridad que haya hecho con anterioridad. Es fundamental que, tan pronto se entere del ataque, bloquee el acceso a los sistemas de respaldo hasta cuando esté seguro que los equipos se han desinfectado.
5. Cambie las contraseñas. Dependiendo de la variante de ransomware, podría aplicar el cambio en las contraseñas de las cuentas online, luego de desconectar de la red los sistemas que se vieron afectados con el virus.
6. Finalmente, denuncia el ciberataque. La denuncia es fundamental para ayudar a la policía en sus investigaciones a mitigar la ciberdelincuencia.
Recuerde que, en cualquier caso, la prevención es lo más importante, pues será la manera más efectiva de luchar contra este tipo de ataques. Y, no pague por un ransomware, alentará a que este flagelo siga en aumento.
«Si llegamos a desarrollar conocimiento dentro de nuestra organización, incluso, dentro de nuestra vida personal, para tener estilos de vida en línea responsables, y logramos capacidad para proteger nuestra información, se podrá estar preparados para enfrentar un eventual ataque y proteger la data», comentó Marlon Mike Toro-Álvarez, Director de Tecnologías avanzadas del Center for Cybercrime Investigation and Cybersecurity.