España, Portugal, Reino Unido, China, Rusia… pocos países se salvaron del que fue mayor ciberataque ocurrido a escala global hace unos años cuyo nombre respondía a WannaCry y que dejó cifras de más de 100.000 incidentes repartidos entre empresas y administraciones de 166 países. Hablamos de una de las variedades de ransomware, la principal amenaza de las empresas a nivel mundial y cuyo crecimiento se multiplica de forma exponencial.
Para aquellos que no conozcan el término de ransomware se trata de un tipo virus informático (malware) que se propagan de forma fácil y sencilla impidiendo el acceso a los datos, amenazando con destruir los documentos y otros activos de su empresa si no se accede a pagar un rescate, normalmente en Bitcoin, la moneda virtual de pago de la red.
El ransomware podría decirse que es algo así como un secuestro digital que infecta a su equipo, cifrando todos los datos que contiene siendo la prevención la principal herramienta para hacerle frente.
El ransomware afecta a todos
Saber cómo es posible infectarse, qué ha de hacer para prevenir o cómo protegerse, puede salvarle de la pérdida de información sensible en su empresa, ya que de este tipo de virus no se salva ninguna compañía, usuario, gobiernos, negocio o actividad, afectando a todas las organizaciones por igual.
En el caso de los incidentes de WannaCry, el ransomware aprovechó una vulnerabilidad de Windows a través de un correo malicioso de aquellos usuarios que no habían ejecutado la última actualización de seguridad, provocando solo en España 1.200 infecciones en ordenadores afectando a empresas como Telefónica, Iberdrola o BBVA.
El ransomware data de los años 80, concretamente de 1989, según el INCIBE (Instituto Nacional de Ciberseguridad), pero es ahora justo cuando su crecimiento se está haciendo imparable. La razón hay que verla en el desarrollo de la tecnología que permite a los ciberdelincuentes una gran rentabilidad económica y facilidad para ocultarse, “junto a la proliferación de sistemas de pago como el Bitcoin, que permiten el anonimato” según explica el INCIBE.
Esta moneda o criptomoneda permite el anonimato entre particulares facilitando a los cibercriminales la extorsión sin que se les pueda seguir la pista. Entre las consecuencias del ransomware están graves pérdidas económicas y daños en la reputación de las empresas infectadas.
¿Cómo se propaga?
El ciberdelicuente genera un archivo con código dañino que se propaga o bien a través del e-mail, por medio de documentos adjuntos, o bien a través de enlaces dañinos accediendo a los sistemas de forma inmediata con consecuencias devastadoras, al bloquear e impedir el acceso de todos los archivos.
Según el INCIBE los ciberdelincuentes suelen aprovechar los agujeros de seguridad más habituales en las empresas, “ya que los desarrolladores de malware disponen de herramientas que permiten reconocer dónde están estos e introducir el virus”.
También se suele introducir mediante engaños (phishing), a través de redes sociales o servicios de mensajería instantánea y mediante spam o por medio de un método llamado drive-by download, que “consiste en dirigir a las víctimas a sitios web infectados, descargando el malware sin que ellas perciban que lo están haciendo aprovechando las vulnerabilidades de su navegador”, y a través de anuncios maliciosos incrustados en sitios web legítimos.
¿Cómo sé que estoy afectado?
El ransomware se suele manifestar a través de un mensaje o ventana emergente avisándole de que la única manera de descifrar sus archivos es pagando, siendo habitual incluir un límite de tiempo para hacer efectivo el rescate y amenazando con la destrucción total de los archivos de no cumplirse el abono, prometiendo a cambio del pago desbloquear el ordenador y descifrar los archivos comprometidos.
¿Qué hago ahora?
En primer lugar, conviene tener claro que no sirve de nada pagar para recuperar los archivos. Las recomendaciones del INCIBE van en esta línea, ya que no existen garantías de recuperar los datos una vez realizado el abono. Por otro lado, para desinfectar el equipo sirve cualquier antivirus actualizado, pero si tiene problemas, lo mejor es contactar con el Centro de Respuesta a Incidentes CERTSI, ya que desde allí le ayudarán a resolverlo, ofreciéndole los pasos sobre cómo actuar.
En cualquier caso, las recomendaciones más habituales si está infectado son:
- Aislar los equipos desconectándolos de la red evitando así que el ataque siga expendiéndose. En el caso de las empresas españolas afectadas se procedió a la desconexión de equipos y muchos de los trabajadores fueron enviados a casa.
- Clonar los discos duros y realizar copias. Es recomendable, según señala el INCIBE, realizar un clonado previo de los discos (copia de la información del disco duro en otro soporte), según la importancia de los datos afectados. “El clonado también es importante para interponer una denuncia, pues todos los archivos serán necesarios para la investigación, además es muy probable que exista alguna herramienta capaz de descifrarlos en el futuro”.
- Denunciar el incidente tanto al grupo de delitos telemáticos de la Guardia Civil o bien a la Brigada de Investigación Tecnológica de la Policía Nacional
- Cambiar todas las contraseñas y de cuentas online
- Desinfectar equipos y recuperar archivos cifrados
- Restaurar para continuar con la actividad
La importancia de las copias de seguridad
Sin embargo, una de las cuestiones más importantes sobre las que pone el foco los expertos es tener siempre al día las copias de seguridad, tanto de ficheros como de archivos, ya que a pesar de trabajar en red o en la nube, es importante concienciarse de mantener actualizadas las mismas, teniendo duplicada toda la información para evitar sobresaltos posteriores. Por lo tanto, es extremadamente crucial vigilar el sistema de copias, así como nombrar a un responsable de las mismas para tener un mayor control.
La mejor herramienta la prevención
Sin embargo, la formación de la plantilla es una de las vías mejores para combatir este tipo de virus siendo un elemento clave para evitar cualquier infección. Las pautas a seguir pasan por:
- Desconfiar de aquellos mensajes que le soliciten una acción para evitar una multa o sanción. (Da igual que el remitente sea la Agencia Tributaria y le informe de que hay una fallo en su declaración, hay que extremar las precauciones)
- No abrir correos de usuarios desconocidos. No conteste: elimínelos
- Revise los enlaces antes de hacer clic aunque sean de contactos conocidos y desconfíe de los enlaces acortados
- Desconfíe de los ficheros adjuntos
- Tenga actualizado el sistema operativo y el antimalware.
- Utilice contraseñas robustas
Lo fundamental es limitar el acceso a los datos y archivos y para ello, utilizar herramientas de gestión de contenido empresarial o soluciones de impresión confidencial que establezcan, por ejemplo, restricciones de aquellos documentos que se necesitan sólo y únicamente para trabajar en función del departamento o tarea que se desempeñe es básico para evitar sobresaltos. También desde el INCIBE se anima a utilizar programas para impidan que los empleados se instalen aplicaciones no permitidas y configurar adecuadamente el correo electrónico.
La mejor estrategia es idear un plan de acción contra amenazas y contar con soluciones de seguridad adecuadas, estableciendo los pasos para dar respuestas a los incidentes. Esto es muy importante ya que más de un tercio de las empresas no tienen un plan de respuesta.
Recuerde que un día cualquiera se registran cerca de 250 ciberataques a las empresas españolas, siendo las pymes las más vulnerables a todo tipo de malware, cifrándose en 140 euros el precio de cada dato robado en un ciberataque.
Proteja sus datos y la información de su empresa, el ransomware también puede colarse en su oficina. Desde Grupo Korporate le recomendamos tener su información en un entorno de trabajo eficiente pero a la vez seguro, evitará sustos inesperados.
