¿Debo pagar el rescate de un ransomware? Descubre todos los peligros

José Antonio Lorenzo

El mundo del cibercrimen no descansa nunca y siempre andan buscando nuevas estrategias con las que obtener beneficios. Ahora los ciberdelincuentes ya no actúan solos y a veces trabajan en grupo, lo que los hace más peligrosos. En esta ocasión, vamos hablar de los ataques de ransomware, y si nos conviene rescatar los datos pagando a los cibercriminales. Conoceremos todos los peligros, y cómo podemos evitar pagar por el rescate de los datos.

Qué es el ransomware y qué consecuencias tiene

Cuando sufrimos un ataque de ransomware, el malware se encarga de cifrar todos nuestros datos del PC donde se ha ejecutado, y también es posible que se cifren todos los datos que se comparten en la red local, por tanto, no solamente debemos proteger nuestro equipo, sino todos los equipos de la empresa y comprobar adecuadamente los permisos de escritura que se tengan.

Si queremos volver a la normalidad, deberemos borrar y restaurar los servidores y los PCs utilizando nuestras copias de seguridad, si es que hemos aplicado una buena política de copia de seguridad. La otra opción es el uso de una clave de descifrado para poder desbloquear archivos y datos. Lo malo es que, para obtener esa clave de descifrado, en la gran mayoría de los casos debemos pagar un rescate a los ciberdelincuentes.

El ransomware causa un enorme impacto negativo que interrumpe las operaciones comerciales, y además, pueden provocar una pérdida permanente de datos. Las causas que provoca a la empresa son: tiempo de inactividad, pérdida de productividad, de ingresos y de reputación. Pero eso no es todo, también su información comercial confidencial puede ser destruida o divulgada públicamente.

Evolución de los ataques de ransomware

Los ataques de ransomware en los primeros 6 meses de este año 2020 han aumentado a un ritmo vertiginoso. Según el informe de mitad de año de Bitdefender 2020, el número de informes globales de ransomware aumentó en un 715 % interanual. Si hacemos una clasificación por el número de ataques recibidos, Estados Unidos ocupa el primer puesto seguido Reino Unido. Esta es una gráfica del ransomware a nivel mundial:

En España, también durante este primer semestre de 2020, los ataques de ransomware han ido en aumento como podéis apreciar aquí:

Otra cosa a tener en cuenta es que un ataque de ransomware en muy pocas ocasiones se dirige de forma selectiva. En ese sentido, el 99% de ellos, no acechan a sus víctimas ni hacen un reconocimiento profundo. Su táctica consiste en enviar e-mails indiscriminadamente y luego esperan para ver a quién han logrado golpear.

Pagar el rescate o restaurar datos con las copias de seguridad

Como ya hemos comentado antes, los ciberdelincuentes buscan cobrar un rescate, y si lo pagamos, entonces nos entregarán la clave. Este rescate normalmente se paga en criptomonedas como el Bitcoin aunque los atacantes podrían estipular otra. A pesar de que trabajar con Bitcoin es relativamente sencillo, puede llevar días tener todo preparado. Además, durante ese plazo no podrás operar con normalidad en el sistema infectado, o al menos, lo harás de una forma muy limitada.

En el caso de pagar el rescate no hay garantía de la recuperación de los datos. A veces el descifrado del ransomware no funciona, o pierdes parte de los datos. Aún en el caso de que se descifren bien los archivos, también es probable que siga infectado por malware, troyanos y registradores de pulsaciones de teclas. Por lo tanto, nuestro sistema no estará limpio y no será confiable después de que se haya finalizado el proceso de descifrado.

Para resumir, os vamos a poner una serie de puntos negativos por los que pagar el rescate del ransomware no es una buena idea:

  • Estás ayudando a los cibercriminales con su negocio de extorsión.
  • Nadie te garantiza que la clave de descifrado funcione, primero pagas, y luego es posible que no te envíen nada o que no funcione.
  • Los cibercriminales podrían haber introducido malware adicional, para infectarte dentro de un tiempo, y que tengas que volver a pagar (porque ya has pagado una vez).
  • Siempre será más barato tener una buena política de copias de seguridad, y no tener que pagar a los cibercriminales.

Restaurar desde copias de seguridad, aunque tardemos más, puede ser la solución. Sin embargo, únicamente es posible si contamos con:

  1. Un sólido procedimiento de copias de seguridad, a ser posible con el esquema de copias de seguridad 3-2-1.
  2. Se ha cumplido con el procedimiento establecido.
  3. Las copias de seguridad se han probado en simulacros e incidentes simulados.

No obstante, los ciberdelincuentes detrás de un ransomware, también tienen formas de garantizar que nuestras copias de seguridad también están infectadas. Por ese motivo, las empresas necesitan planificar y salvaguardar sus copias de seguridad de una forma que se garantice su integridad cuando las tengamos que utilizar.

Prevención y la concienciación del personal

La prevención frente a ataques de ransomware pasa por tener un plan de respuesta a incidentes. Del mismo modo que, por ejemplo, tenemos un seguro para el hogar o de otro tipo, esperamos no tener que utilizarlo, pero en el caso de que sucediese una desgracia estamos cubiertos. Otro elemento importante es la concienciación de los trabajadores de una empresa para evitar un ataque de ransomware. La mayoría de infecciones de este tipo es debido a que algún empleado está cayendo en un ataque de phishing.

En ese sentido, el personal de una empresa debe tener una capacitación en concienciación sobre ciberseguridad, de esta forma, podrá identificar correos electrónicos de phishing, otras estafas y amenazas de diversa índole. Una forma de reducir los riesgos, es intentar reducir el correo electrónico interno, así será más fácil concentrarse y prestar atención al correo electrónico externo que son los que llevan peligro. Algunas aplicaciones como Slack podrían contribuir a esta reducción de e-mails internos.

Por otra parte, los empleados deben estar preparados haciendo cursos de concienciación de seguridad. Además, si contratamos una empresa privada que ponga a prueba a los trabajadores con una campaña de phishing por sorpresa, puede añadir un plus de seguridad. No supone ningún riesgo, y así comprobamos si han aprendido a actuar de forma correcta.

Cómo mejorar la seguridad en nuestra empresa

Un elemento importante es la aplicación del principio de privilegio mínimo. Aquí debemos asegurarnos que los empleados tengan los derechos de acceso mínimos para realizar las funciones definidas por su rol. No deben poder acceder a funciones que no les corresponden, así, si su cuenta se ve comprometida, como sus funciones están más delimitadas es menos peligroso. En este sentido, hay que limitar adecuadamente las personas que tienen acceso a una cuenta de administrador.

Una buena configuración del filtro de spam también puede ayudar, así, al reducir el volumen del correo no deseado, permitirá dedicar más tiempo a la búsqueda de anomalías en los emails que recibimos.

También debemos contar con un buen antivirus y antimalware que deben ser actualizados todos los días. Además, el sistema operativo y los programas que usamos deben estar al día con los últimos parches de seguridad. A esto también debemos añadir que nuestro equipamiento de red tenga instalado el último firmware disponible para evitar brechas de seguridad.

En cuanto a la topología de la red, lo mejor es trabajar con secciones segmentadas en VLANs y con controles de acceso. En caso de problemas, si un segmento es infectado es más sencillo de solventar, y de mitigar el impacto, que una red donde tengamos todos los equipos conectados.

Buena política de copia de seguridad

En un ataque de ransomware, una de las cosas que nos permitirá salir triunfantes del ataque, es tener una buena política de backup o copia de seguridad. Esto se debe basar en:

  • Debemos tener tres copias de nuestros datos: el sistema en vivo, más dos copias de seguridad.
  • Esos dos backups deben estar en medios diferentes.
  • Una de esas copias de seguridad debe realizarse fuera de las instalaciones de la empresa.

La regularidad con la que hagamos esos backups determinarán la información que podemos perder, por tanto, es muy recomendable hacer copias de seguridad diarias, y para los sistemas críticos, es fundamental hacer copias de seguridad cada hora.

Además, un detalle muy importante es que las copias de seguridad deben estar cifradas. Sin embargo, nada de esto servirá si los ciberdelincuentes consiguen infectar sus backup. El ransomware está configurado para demorarse un tiempo antes de que se active por lo que sus copias podrían estar infectadas. Si queremos combatir esto, podemos utilizar copias de seguridad inmutables. Se trata de backups en los que no se puede escribir una vez realizados. Esto significa que no pueden ser infectados por ransomware o cualquier otro tipo de malware. El problema que tiene es que es caro, pero podría llegar a salvar su negocio.

Hay que denunciar y tener un plan de respuesta a incidentes

Si queremos garantizar una respuesta coordinada y eficiente frente a un ataque de ransomware, deberemos tener un plan de respuesta a incidentes. Este plan debe comprender las siguientes fases:

  • Preparación. Poner a punto lo que se ha mencionado en este tutorial es un buen punto para empezar. Además, ensayar el plan con incidentes simulados y ver cómo un atacante podría atacar nuestra empresa, puede ser un buen punto de partida.
  • Identificación. Hay que identificar lo antes posible qué está sucediendo, quién y qué está infectado, cuál es el alcance del problema, y si se han filtrado datos.
  • Contención. Debemos evitar que la infección se propague y poner en cuarentena los sistemas infectados.
  • Erradicación. Tenemos que asegurarnos de que el software dañino se haya eliminado de todos los equipos comprometidos.
  • Recuperación. Aquí debemos restaurar datos desde las copias de seguridad inmutables si las poseemos. En caso contrario, debemos comprobar que las copias de seguridad estén libres de malware antes de restaurarlas.
  • Análisis final. Una vez que hayamos solventado el problema, debemos averiguar cómo ocurrió la infección y qué la habría podido detener. También habría que discernir si fue consecuencia de una vulnerabilidad explotada, o de un error humano. Por último, tomar las medidas para que no se vuelva a repetir.

Cuando suframos un ataque de ransomware debemos denunciarlo, ya que se trata de un delito. Además, es posible que tenga que informar el incidente a su autoridad de protección de datos regional o nacional. Por último, recordad que el pago del rescate no suele ser la mejor opción porque vuestro sistema podría seguir infectado después del descifrado.

Lo último en RedesZone

Noticias

Análisis

Tutoriales

Reportajes

Sobre Nosotros

Test de velocidad

Fabricantes