Un ransomware es un programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Este estilo de virus se caracteriza por cifrar (encriptar) los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.
Los vectores más comunes de infección son:
- Explotación de vulnerabilidad en servidores dentro de la organización, con acceso público
- Ataques de tipo phishing a usuarios de la organización (mediante correos electrónicos de apariencia reales, explotando el descuido del operador)
Utilizando algunos (o todos) los vectores de ataque detallados los atacantes logran comprometer el 100% de las organizaciones que se ponen como objetivo
De esta manera los destinatarios o receptores de este tipo de virus o amenaza nos encontramos de alguna manera rehenes de estos delincuentes informáticos que intentan cobrar un rescate a cambio de liberarnos de este inconveniente que ellos mismos causaron.
Nada indica que el pago de rescate sea la solución a este inconveniente. Tampoco estamos seguros que al pagar la suma que solicitan los delincuentes quedaremos libres nuevamente y podremos contar con nuestra información tal como estaba anteriormente.
La mejor manera de protegernos de este nuevo tipo de delito informático es desde 2 aspectos fundamentales:
- La prevención. Realizando controles periódicos de la infraestructura de la empresa y educando en las buenas prácticas a los usuarios de los sistemas
- El resguardo de la información. Ante un ataque inevitable, es importante que nuestra información sensible se encuentre debidamente respaldada.
Veamos los aspectos principales de la Prevención. Enumeramos en primera instancia 2 puntos fundamentales, considerados los puntos de ingreso más comunes o elementos más vulnerables.
- Vulnerabilidad en los servidores de la organización. Esto significa que los servidores pueden ser accedidos por estos programas maliciosos sin restricciones. Es por eso que debemos aislarnos del mundo exterior para estar exentos de problemas? Si nunca salimos de casa durante el invierno es muy probable que evitemos contagios de resfríos y afines; pero podemos vivir aislados del mundo? No, es mejor interactuar con el mundo exterior, pero tomando las precauciones pertinentes. Para ello es importante tener en cuenta ciertos aspectos:
- El sistema operativo del servidor debe encontrarse SIEMPRE debidamente actualizado. La empresa Microsoft envía periódicamente (casi semanalmente) parches o arreglos de partes de Windows para evitar vulnerabilidades o puntos de ingreso a la red desde el exterior. Por cada vulnerabilidad detectada, existe un parche publicado por la empresa que lo soluciona. Un Sistema Operativo desactualizado es un colador grueso e indefenso.
- Acceso desde el exterior y el interior de la Red a través de RDP (control remoto o Remote Desktop). Es una práctica muy utilizada, ya que es una herramienta potente que proporciona Windows para obtener acceso desde el exterior o el interior de la red, como «terminales» del mismo servidor. Se ha encontrado que muchos de estos virus encuentran un camino de ingreso a través de este recurso a los servidores. Es una práctica recomendable y altamente efectiva reconfigurar el acceso a este tipo de terminal, pero no por el puerto por defecto (3389) sino a través de un puerto distinto y no habitual para dificultar el acceso fácil desde el exterior. Este cambio debe hacerse tanto para el acceso exterior como interior. No solo modificando al Router de contacto exterior, sino modificando directamente Windows para que acepte requerimientos de terminal en un puerto distinto al original.
- Contar con una solución de anti-virus eficiente, paga y de reputación buena. Esta solución debe ser buena y que no entorpezca el funcionamiento de los sistemas aplicativos utilizados en la organización. Y decimos «paga» ya que nos aseguramos que el valor que abonamos anualmente por la licencia del anti-virus contará con una contra-prestación real y cierta. Adjuntamos un manual de instrucciones de cómo configurar un anti-virus para estos casos.
- Ataques de tipo phishing a usuarios de la organización. La expresión Phishing en inglés refiere a «salir a la pesca» de algún usuario que no se de cuenta y con buena intención y mala información, acceda a un link proveniente de una supuesta fuente confiable y visualizado en un correo electrónico o página de red social. Este es el más habitual de los ataques porque toman desprevenido al usuario quien cree que está operando de buena voluntad y accediendo a un lugar confiable. Como regla de oro en estos casos, además de mantener bien informado a los usuarios de este tipo de prácticas, es no acceder a sitios de dudosa procedencia; no responder a requerimientos de correos electrónicos que no se han solicitado. Adjuntamos una guía de Buena Práctica para el Empleado Seguro.
- Resguardo de la información. Es el último recurso para cuando han fallado todas las recomendaciones anteriores. Es importante que la información sensible de la empresa se encuentre resguardada; pero para ello debemos tener en cuenta los siguientes puntos básicos:
- El resguardo debe ser DIARIO de la información que cambia diariamente (a esto llamamos información sensible) y periódica de aquella información importante, pero de modificación eventual.
- La copia diaria debe realizarse, al menos, en un medio o carpeta distinta para cada día de la semana. Debemos contar con al menos 5 versiones anteriores de resguardo ante cualquier inconveniente. De ser posible, utilizando 5 medios distintos. De esta manera, evitamos que se rompa o extravíe el medio de copia, porque tendremos versiones anteriores en medios distintos para recuperar los datos de la organización.
- La copia debe realizarse en un medio fuera de la órbita de la organización. O en un medio extraible, que sea desconectado manualmente de la red de la entidad o a un medio externo a la organización (sistema cloud o nube, o similar). Esto asegura que ante una infección del sistema de la entidad, la copia de resguardo se encuentre fuera del ámbito de influencia del virus.
- Por más que se utilicen medios automatizados para el resguardo de la información, es muy importante que el elemento primordial de resguardo la copia manual que realiza un operador al final de la jornada. Todo el resto de sistemas de copias automáticas son complementarias a esta copia. Debemos asegurarnos de esta copia de seguridad, y tener un responsable de llevarla a cabo. La automatización es fácil, pero difícil de controlar; una falla en los sistemas de resguardo automáticos, será advertida en el momento que se necesite recurrir a ella. Adjuntamos un documento que habla de las metodologías y la importancia de las copias de seguridad.
Comments are closed