PUNTOS CLAVE A TENER EN CUENTA PARA PREVENIR LOS DAÑOS PROVOCADOS POR EL RANSOMWARE

/en /por

La importancia de las copias de seguridad

Partiendo de la base de que la finalidad principal del ransomware es cifrar la información de sus víctimas para hacerla inaccesible a menos que se pague un rescate, contar con copias de seguridad que poder restaurar en caso de sufrir un incidente de este estilo resulta vital. Sin embargo, muchas empresas no disponen aún de copias de seguridad de la información que resulta vital para seguir trabajando con normalidad o estas no se encuentran en buen estado.

Además, los delincuentes suelen tener como objetivo también las copias de seguridad, por lo que si estas son accesibles desde la red que sufre este ataque, es más que probable que también terminen siendo cifradas por el ransomware. Por ese motivo es importante contar con varias copias de seguridad actualizadas en distintas ubicaciones, preferiblemente que no estén conectadas a la red corporativa.

Además de contar con estas copias de seguridad es importante comprobar que se están haciendo bien, su estado y saber cómo restaurarlas de forma efectiva. De nada sirve contar con uno o varios backups si luego no sabemos o no podemos restaurarlos para recuperarnos de un incidente de seguridad y seguir trabajando con normalidad.

Tampoco debemos olvidar que el cifrado de la información es solo una parte de los ataques que suelen involucrar al ransomware. Los delincuentes también pueden robar la información confidencial de la empresa antes de cifrarla y amenazar con difundirla si no se acceden al pago del rescate solicitado, lo que nos lleva a revisar también otros aspectos claves de la seguridad.

Proteger el acceso a la información

Si los delincuentes consiguen robar y cifrar la información es porque primero consiguen acceder a ella. Por ese motivo es importante limitar el acceso a la información más importante únicamente a aquellos usuarios que necesiten acceder a ella y limitar este acceso al resto de usuarios. Esto se puede conseguir aplicando políticas de permisos más restrictivas de lo que se suele encontrar en la mayoría de las empresas e incorporando soluciones como el doble factor de autenticación, de modo que aunque las credenciales de un usuario se vean comprometidas, no puedan ser utilizadas por un atacante para acceder a la red interna de la empresa y que este pueda robar y cifrar la información.

Precisamente, para que una filtración de información confidencial no suponga un problema en caso de que se produzca, existen soluciones que permiten el cifrado seguro y evitan que un delincuente nos pueda extorsionar con hacer pública la información robada, ya que no se puede acceder a ella si no se conoce la clave de seguridad establecida previamente. De la misma forma, segmentar adecuadamente las diferentes redes de la empresa evita que los delincuentes accedan a secciones de la compañía que contienen información importante solo infectando el sistema de un usuario que trabaja en un departamento que no debería tener acceso a esos datos.

De esta forma, con la creación y mantenimiento de copias de seguridad y el cifrado seguro de los datos se eliminarían las dos principales bazas con las que cuentan los delincuentes a la hora de extorsionar a las empresas que han sido víctimas de este tipo de ataques. Sin embargo, se puede mejorar más la seguridad para evitar incluso que el ataque llegue a buen puerto hasta en sus fases iniciales.

Vigilando el email y los accesos remotos

Hasta este punto hemos hablado de medidas que ayudan a mitigar el impacto producido por un ransomware y del robo y filtración de información que suele venir asociada. Sin embargo, es posible incorporar medidas y procesos de seguridad que permiten la detección de este (y muchos otros) tipos de incidente antes siquiera de que pueda empezar a causar problemas.

En la parte del correo electrónico es importante que el servicio esté debidamente configurado y cuente con las suficientes medidas de seguridad para detectar posibles enlaces o ficheros adjuntos sospechosos antes de que estos sean abiertos por los usuarios.

Por su parte, a la hora de proteger el acceso remoto, se pueden añadir capas de autenticación adicionales, tanto si se utiliza una VPN para acceder a la red interna como si estamos usando RDP para trabajar remotamente en sistemas que se encuentran dentro de la red corporativa. Esto dificulta el acceso remoto de los atacantes, ya sea porque consiguen las credenciales de los usuarios mediante técnicas de phishing o robándolas usando troyanos y herramientas de control remoto de forma maliciosa.

Monitorizando vulnerabilidades y comportamientos sospechosos

Por lo visto en incidentes recientes, no solo es importante mantener actualizado nuestro sistema operativo, sino también todas las aplicaciones que utilicemos en los equipos de nuestra red corporativa.

Así mismo, es importante conocer qué está pasando en los equipos de nuestra red y buscar comportamientos sospechosos incluso de herramientas propias del sistema, como PowerShell. Hace años que los delincuentes aprendieron a usar este tipo de herramientas para tratar de no levantar sospechas durante sus ataques, por lo que disponer de una solución que sea capaz de alertar cuando se detectan, a la par que contar con especialistas que sepan identificar y catalogar este tipo de eventos sospechosos, resulta indispensable a la hora de bloquear a tiempo todo tipo de ciberataques.