Un ransomware es un malware que cifra los archivos importantes de un computador para luego pedir una suma de dinero por su recuperación. Los ataques de ransomware suelen tener como consecuencia la pérdida de información, denegación del servicio y publicación de información sensible. Por lo tanto, la reputación de la organización también puede verse amenazada.

¿Qué hacer ante un ataque de ransomware?

Aquí debemos ser cuidadosos y responsables porque una vez que la información se encuentra comprometida, ya es demasiado tarde.

Un ataque de ransomware debe tratarse como una emergencia y como tal, se recomienda lo siguiente:

• Mantener la calma y no intentar eliminar el ransomware ni manipular los archivos cifrados. Modificar los archivos cifrados suele dificultar e incluso imposibilitar la recuperación de la información, por otra parte, los binarios suelen ser útiles para los auditores de seguridad y el personal forense.
• Desconectar los dispositivos infectados de la red debido a que es muy probable que el ransomware venga equipado con un gusano diseñado para propagarse por la red de la organización e infectar la mayor cantidad de dispositivos posibles.
• Notificar lo antes posible con el departamento o empresa encargada de la ciberseguridad. Ellos serán los encargados de determinar de dónde provino el ataque y si la infección fue por medio de la explotación de una vulnerabilidad. También deberán analizar las soluciones disponibles, si es que existen, o realizar análisis de metadatos o ingeniería inversa para obtener información importante a la hora de intentar recuperar los archivos.
• Analizar las pérdidas y el daño potencial. Se debe informar del incidente al departamento de riesgo para analizar el impacto del ataque y tomar decisiones que permitan disminuir los daños en la organización.

No se recomienda realizar el pago a los atacantes para la recuperación de información. Esto por cuestiones éticas: no se debe entregar incentivos para seguir delinquiendo. Pero también por una cuestión pragmática: el pago no garantiza la recuperación íntegra de los archivos, tampoco garantiza que los ciberdelincuentes eliminarán la información sensible o realizarán un ataque a futuro.

Se estima que el 80% de las organizaciones que han pagado el rescate fueron infectadas nuevamente.

¿Cómo prevenir un ataque de ransomware?

Cuando hablamos de ransomware, la prevención es lo más importante. Aquí tenemos algunas recomendaciones a tener en cuenta:

• Mantener las aplicaciones y el software actualizado. Se debe estar atento a las noticias de ciberseguridad y publicaciones que involucren aplicaciones vulnerables.
• Implementar un sistema de recuperación no impedirá que los archivos se cifren, pero facilitará la recuperación del sistema en caso de que lleguen a cifrarse.
• Cifrar la información sensible y almacenarla en un lugar seguro con el fin de evitar el chantaje. Se ha vuelto común que los ciberdelincuentes no solo cifren la información, sino que amenacen con publicarla.
• Implementar un sistema de detección de intrusiones podría ahorrar tiempo de reacción para la ejecución de las primeras medidas y reducir el impacto del ataque.
• Inculcar la cultura de ciberseguridad y capacitar continuamente a los empleados y usuarios. Los ataques de ransomware suelen infectar dispositivos a través de phishing, ingeniería social o estafas por email.
• Realizar inspecciones y auditorías de ciberseguridad de forma periódica en búsqueda de posibles vectores de ataques, que podrían ser utilizados por cibercriminales para la ejecución de ransomware.

Es útil reconocer una realidad a la que no podemos escapar. Aunque, en un principio, los ataques de ransomware tenían la intención de infectar el mayor número de usuarios posible para luego pedir recompensas pequeñas, en los últimos años se ha visto que los ataques son muy específicos y mejor planificados.

Es decir, los atacantes analizan la organización objetivo y determinan el monto máximo de dinero que consideran que puede pagar. Incluso proporcionan un canal de comunicación para realizar negociaciones. Esto también significa que habrá pocos escenarios que los atacantes no hayan imaginado una vez que los archivos hayan sido cifrados y en consecuencia, la recuperación suele ser en la mayoría de los casos imposible.

Conclusión

Los ataques de ransomware se están volviendo más comunes, pero también han evolucionado para ser premeditados y específicos. Esto hace que la recuperación de los archivos sea cada vez más difícil. Por lo tanto, la defensa principal contra los ataques de ransomware es preventiva. Los protocolos de seguridad deben incluir capacitaciones continuas, inspecciones de ciberseguridad periódicas y planes de contingencia definidos.