¿Qué es el ransomware?
El ransomware es un malware diseñado para impedir que los usuarios accedáis a los archivos de vuestros sistemas hasta que paguéis un rescate. Los ciberdelincuentes restringen el acceso a los datos cifrándolos y solo proporcionan una clave de descifrado después de recibir el pago. El ransomware está diseñado para propagarse por los sistemas objetivo y puede detener rápidamente las operaciones normales de la empresa.
Cómo funciona el ransomware
Aunque cada ransomware es diferente, todos operan en tres pasos principales.
Primero, el operador del ransomware accede al sistema objetivo. Pueden hacerlo de varias maneras, siendo la más común los correos electrónicos de phishing. Los correos electrónicos de phishing emplean tácticas de ingeniería social para que las víctimas abran los correos, hagáis clic en enlaces maliciosos o proporcionéis información personal al atacante.
Por ejemplo, un atacante puede enviar un archivo adjunto de correo electrónico que, al abrirse, instala un ransomware en ese ordenador. El atacante también podría usar información personal obtenida a través de phishing para adivinar las credenciales de inicio de sesión de la víctima y acceder remotamente a una red informática. Luego, pueden instalar el malware ellos mismos. Además del phishing, los atacantes pueden aprovechar vulnerabilidades conocidas para atacar los sistemas directamente.
Una vez que el ransomware accede al sistema objetivo, empieza a cifrar los archivos. El ransomware no cifra los archivos necesarios para operar el sistema porque debe ser lo suficientemente estable para arrancar.
Luego, cuando se completa el cifrado, el ransomware exige un rescate a cambio de la clave de descifrado. Por lo general, se trata de un archivo de texto que contiene la cantidad de moneda o criptomonedas que la víctima debe pagar.
¿Qué es el Ransomware como Servicio (RaaS)?
En los primeros días del ransomware, los ciberdelincuentes escribían su propio código de ransomware. Ahora ha habido un cambio hacia el uso de ransomware como servicio (RaaS). En este modelo de negocio, los operadores alquilan ransomware ya codificado a afiliados, quienes luego lo lanzan a cambio de un porcentaje de los pagos del rescate. De esta manera, incluso los afiliados sin habilidades avanzadas de hacking pueden lanzar un ataque de ransomware.
Este modelo funciona de la misma manera que el software como servicio (SaaS). Después de que los proveedores de RaaS desarrollen el malware, llevan a cabo campañas de marketing y anuncios en la web oscura para atraer a los ciberdelincuentes. Incluso cuentan con un servicio de atención al cliente para ayudar a sus clientes a lanzar el malware con éxito. Al eliminar la barrera técnica, RaaS se ha convertido en un contribuyente destacado al aumento del número de ataques de ransomware.
Los efectos del ransomware
Hay numerosas maneras en que el ransomware puede afectar a las empresas, pero exploremos algunos de los impactos más importantes y significativos.
Pérdida de datos sensibles o propietarios
Según Kroll (que rastrea más de 40 sitios web de extorsión de actores de amenazas), casi el 80 % de los ataques de ransomware implican la exfiltración de datos. El aumento de estas cifras puede atribuirse a que los ciberatacantes utilizan los datos exfiltrados para amenazar a las empresas con pagar el rescate; de lo contrario, publicarán los datos.
Tiempo de inactividad extendido a las operaciones regulares
El tiempo de inactividad se refiere al período durante el cual se interrumpen las operaciones regulares de una empresa y la productividad es inferior al 100%.
Recuperarse del ransomware es caro. Incluso si las empresas pagan el rescate, deben dedicar tiempo a reconstruir sus sistemas y asegurarse de que todas sus operaciones vuelvan a estar online a plena capacidad.
Pérdidas financieras
El daño financiero del ransomware no solo incluye los pagos del rescate. También incluye los daños colaterales tras el ataque, como la pérdida de ingresos, los costes laborales para reconstruir y los gastos legales de clientes que exigen compensaciones por la pérdida de datos.
Cómo protegerte contra el ransomware
Los ataques de ransomware continúan siendo una amenaza significativa para las empresas; aquí hay algunas maneras en que las empresas pueden protegerse contra el ransomware.
Realiza copias de seguridad rutinarias de datos
La exfiltración de datos es uno de los factores de amenaza que utilizan los atacantes cibernéticos. Con copias de seguridad de datos, puedes restaurar tus sistemas al estado anterior a la infección de ransomware. Para evitar que tus copias de seguridad sean afectadas por ransomware, guárdalas de forma segura sin conexión y alejadas de la red de la empresa.
Segmenta la red de la empresa
La segmentación de la red permite dividir la red en subredes, permitiendo aplicar diferentes controles de seguridad a cada una. La segmentación permite contener el ransomware en una subred y minimizar el daño si eres objeto de un ataque.
Realiza comprobaciones rutinarias de vulnerabilidades
Realiza comprobaciones de vulnerabilidades y aplica parches al software comúnmente explotado para evitar que los atacantes lo usen como puntos de acceso. Las comprobaciones de vulnerabilidades también implican rastrear actividades inusuales en el tráfico de la red para identificar posibles ataques en las etapas iniciales.
Refuerza la buena gestión de tus cuentas de usuario
Asegúrate de que todos sigan las políticas de contraseñas de la empresa. Esto significa tener un número mínimo de caracteres y rotaciones frecuentes. El uso de la autenticación multifactor también minimiza el riesgo de robo de credenciales. Además, es fundamental enseñar a los empleados a identificar los correos electrónicos de phishing.
Además, siempre se deben tomar medidas para documentar, verificar y eliminar adecuadamente el acceso de los usuarios a sistemas, bases de datos, etc. Implementar el principio de mínimo privilegio (PoLP) y la autenticación multifactor (MFA) son estrategias valiosas para garantizar que cualquier persona que acceda a información confidencial y de alto impacto lo haga de forma segura y que tenga el permiso para acceder a esa información desde el principio.
Utiliza software anti-ransomware
El software antiransomware protege contra el ransomware y elimina la infección cuando ocurre un ataque. Esto se puede implementar a nivel de toda la empresa y a escala individual. Esto es especialmente importante en la era actual del teletrabajo.
Cómo responder al ransomware
Una empresa debe contar con un plan de respuesta eficaz durante un ataque de ransomware para mitigar el ataque rápidamente. El primer paso después del ataque es aislar los sistemas afectados. Esto impide que el ransomware se propague e infecte otras partes de la red. Asegúrate de que las copias de seguridad sean seguras y estén desconectadas de la red, ya que serán cruciales al restaurar las operaciones.
Después de aislar los sistemas afectados, evalúa el ataque para identificar cómo los atacantes obtuvieron acceso a la red, el tipo de ransomware utilizado, la rapidez con la que se está propagando la infección y el alcance del daño. Determinar el alcance del ataque te ayuda a decidir tu estrategia de recuperación. Puedes elegir pagar el rescate o utilizar otras opciones de recuperación, como borrar los sistemas afectados o contratar ayuda externa para asistir en la recuperación. También se recomienda informar del ataque a los organismos reguladores pertinentes.
Conclusiones principales
El ransomware es un tipo de malware que impide a los usuarios acceder a los archivos del sistema hasta que paguen un rescate
El ransomware es una de las amenazas de ciberseguridad más devastadoras a las que se enfrentan las empresas. Sus víctimas enfrentan pérdidas financieras, pérdida de datos, tiempos de inactividad prolongados y daño a la reputación
Las empresas deben tener un plan de respuesta ante incidentes efectivo para reducir el impacto de un ataque de ransomware y asegurar que se implementen prácticas de seguridad completas, como gestionar adecuadamente a los usuarios, realizar copias de seguridad de los datos y probar regularmente las vulnerabilidades.
Fastly ayuda a las organizaciones a mitigar los riesgos de ransomware al proporcionar soluciones de edge cloud seguras y de alto rendimiento que protegen las aplicaciones web y las APIs del tráfico malicioso. Con mitigación de ataque de denegación de servicio distribuido, next-gen WAF, Protección frente a bots y observabilidad en tiempo real, Fastly potencia a las empresas para detectar y bloquear amenazas antes de que lleguen a los sistemas críticos