Durante el 2017 han proliferado los ciberataques de Ransomware y algunos de ellos han sido realmente notorios como por ejemplo el Wannacry, el WannaCryptor, el Jigsaw, el Petya, etc. Además, la previsión es que durante los próximos años se incrementen este tipo de ataques. Por este motivo, en el siguiente post hablaremos de que es un ransomware, las vías que usan los atacantes para infectarnos, las precauciones que debemos tomar y como debemos actuar en caso de ser víctimas.
¿EN QUE CONSISTE UN ATAQUE DE RANSOMWARE?
Es un tipo de ciberataque en el que el atacante pretende realizar alguna de las siguientes acciones:
- Cifrar los archivos de nuestro disco duro mediante un malware.
- Secuestrar el acceso a nuestro equipo mediante un malware.
- Cifrar los archivos de nuestro equipo y además secuestrar el acceso a nuestro equipo.
Si el atacante tiene éxito, la víctima no podrá acceder nunca más a los archivos y/o acceder a su ordenador a no ser que realice un pago en bitcoins al atacante para obtener una clave de descifrado. Por esto motivo se dice los ataques de ransomware secuestran a nuestro ordenador.
Por lo tanto, se puede decir que el ransomware es un modelo de negocio para los cibercriminales que consiste en chantajear a los usuarios a cambio de quitarles lo que más valor tiene para ellos que es su información.
CONSECUENCIAS DERIVADAS DE UN ATAQUE DE RANSOMWARE
En el momento que seamos víctimas de un ataque de Ransomware es probable que perdamos de forma permanente el siguiente tipo de información:
- Nuestras fotografías y vídeos.
- Todos nuestros documentos académicos o relacionados con nuestro entorno laboral.
- Bases de datos que contienen información sobre la contabilidad de nuestra empresa, sobre nuestros clientes, etc.
- Etc.
Por lo tanto, las consecuencias que podemos sufrir a son extremadamente severas. Algunas de ellas son las siguientes:
- Pérdida de información y molestias para los usuarios.
- Bloquear la operativa de un negocio lo que ocasionará pérdidas económicas importantes.
- Cierre de un negocio o servicio.
FAMILIAS DE RANSOMWARE EXISTENTES
Existen múltiples familias y variantes de Ransomware. En el año 2017 se puede decir que existen más de 70 familias de Ransomware. Las familias más destacadas y notorias son las siguientes:
- Teslacrypt
- CryptoLocker.
- TorrentLocker.
- Locky.
- Virus de la policía.
Todas las familias de Ransomware persiguen el mismo objetivo y tienen pautas similares, pero los vectores de ataque usados por cada una de las familias son diferentes.
Cabe destacar que cada día que pasa se incrementan las familias y variaciones de ransomware existentes. Por este motivo es imprescindible educarnos en seguridad informática.
¿QUÉ DISPOSITIVOS PUEDEN VERSE AFECTADOS POR RANSOMWARE?
La gente tiene la idea equivocada que el ransomware solo afecta solo a ordenadores. Pero la realidad es que el ransomware puede afectar a los siguientes dispositivos.
- Todo ordenador personal, independientemente del sistema operativo que use, puede ser víctima de ransomware. Obviamente hay sistemas operativos más seguros que otros, pero absolutamente todos tienen vulnerabilidades.
- Cualquier dispositivo móvil como por ejemplo un teléfono móvil o tablet. Tanto para Android como para iOS, en menor medida, existe Ransomware. Los ataques de ransomware no proliferan mucho en dispositivos móviles, pero en un futuro cercano la realidad puede ser muy distinta ya que en la actualidad hay un número muy elevado de usuarios y además existen muchos dispositivos Android en que las actualizaciones de software llegan tarde o simplemente no llegan.
- Servidores de datos y servidores web que se dedican a proporcionar servicios a usuarios.
¿CÓMO SE INFECTAN POR RANSOMWARE LOS USUARIOS Y LAS EMPRESAS?
Las vías de infección que usan los cibercriminales son varias. Algunas de ellas son las siguientes:
Mediante el correo electrónico
En la gran mayoría de ocasiones los atacantes utilizan archivos adjuntos en los correos electrónicos. Una vez la víctima abra el archivo nos infectaremos con el ransomware. Por este motivo hay que extremar la precauciones cuando abramos archivos adjuntos de nuestro correo electrónico.
Obviamente también hay que prestar especial atención a los enlaces que encontraremos en los correos. El hecho de clicar a un enlace nos puede dirigir a una web maliciosa o descargar el ransomware en nuestro equipo.
Acceso remoto a los equipos
Mediante el acceso remoto se pueden infectar equipos y lo más grave se puede conseguir que el ransomware se extienda por los ordenadores de toda una red local.
El acceso remoto a los equipos se puede conseguir aprovechando vulnerabilidades en servicios como por ejemplo Telnet, SSH, Samba, etc.
A través de webs maliciosas
Pueden existir webs, que consciente o inconscientemente, estén infectando con ransomware a sus visitantes.
Da igual que la web que visitamos sea muy conocida y/o tenga muchas visitas. Cualquier web que haya sido comprometida por un ciberdelincuente y sea capaz de ejecutar código en nuestro equipo es susceptible de infectarnos.
Aplicando Ingeniería social
Los ciberdelincuentes harán uso de la ingeniera social en todo momento para intentar infectarnos con ransomware.
Los ataques más comunes de ingeniería social consisten en:
- Hacer creer que el usuario ha recibido un correo electrónico de una entidad conocida y de este modo infectarlo cuando abra el archivo de correo adjunto.
- Hacer que la víctima se dirija a una web falsa que simula ser una web conocida y de este modo infectarla con ransomware.
- Llamar a la víctima vía telefónica, ganarse su confianza y manipularla hasta conseguir infectar su equipo o la red local entera con malware.
- Etc.
Mediante software pirata
Existen cibercriminales que crean aplicaciones piratas de aplicaciones conocidas por todo el mundo. En el momento que una víctima intente instalar la aplicación pirata será infectada con un ransomware.
Vulnerabilidades del software y de plugins que usamos
Los ciberdelincuentes también pueden aprovechar vulnerabilidades y agujeros de seguridad de nuestros programas, plugins y sistema operativo para infectarnos con un ransomware.
SOLUCIONES PARA PROTEGERNOS CONTRA LOS ATAQUES DE RANSOMWARE
Protegerse al 100% sobre este tipo de amenazas es imposible. No obstante, existen herramientas y buenas prácticas que podemos usar y aplicar. Algunos ejemplos son los siguientes:
Actualizar nuestro software
Actualizar de forma periódica la totalidad de software de nuestro equipo. Por lo tanto, es extremadamente importante actualizar el siguiente software:
- El sistema operativo.
- El antivirus o protección anti-malware que usemos.
- Los navegadores conjuntamente con los plugins o extensiones de los navegadores.
- La totalidad de nuestros programas.
- Etc.
Extremar las precauciones con el correo electrónico
El correo electrónico es una fuente usada frecuentemente para los ataques de malware. Por lo tanto, hay que extremar las precauciones cuando abramos los correos electrónicos. Antes de abrir un correo electrónico hay que intentar cerciorarse de los siguientes aspectos:
- Que el remitente del correo sea quien dice ser y lo conozcamos.
- Solo tenemos que clicar sobre enlaces que sean de confianza.
- No hay que abrir archivos adjuntos a no ser que sean archivos que estuviéramos esperando recibir.
En caso de duda podemos llamar a quien supuestamente nos envía el correo para asegurar que el correo es seguro.
Software y herramientas para protegernos o prevenir los ataques de ransomware
Existen varias herramientas y software para protegernos contra el ransomware. Algunos softwares antivirus que podemos usar son los siguientes:
- Diversos antivirus, como por ejemplo el antivirus Windows Defender, disponen de protección contra este tipo de ataques. A pesar que los antivirus son una herramienta efectiva siempre deben ser la última barrera a usar contra este tipo de amenazas.
- Si no os gusta usar el antivirus de Windows 10 hay otras opciones. Algunas de ellas pago como por ejemplo Kaspersky anti-ransomware. Otras son gratuitas como por ejemplo Avast, CryptoPrevent, Malwarebytes Anti-ransomware, Bitdefender anti-ransomware, Anti Ransom, etc.
Hay que concienciarse que el uso de estas herramientas no es infalible. Nunca debéis tener sensación de seguridad por usar este tipo de herramientas. Los antivirus siempre son la última barrera de defensa contra los ransomware.
Otras herramientas y buenas prácticas a usar antes que los antivirus son, EMET (Enhanced mitigation Experience Toolkit), Applocker, implementar Honeypots, UAC (User account control), establecer políticas de grupo, concienciación y formación de los usuarios, etc.
Extremar las precauciones cuando navegamos por Internet y usamos el ordenador
Cuando navegamos hay que usar el sentido común y no clicar en anuncios ni realizar ningún tipo de acción que pueda poner en peligro nuestro equipo y nuestra información. Por lo tanto, cuando navegamos hay que intentar no caer en los ataques de ingeniería social diseñados por los atacantes.
El hecho que no visitéis páginas web de adultos, sitios de descarga y otras webs sospechosas no disminuirá el riesgo de infección. Como hemos visto y dicho anteriormente, cualquier web es susceptible de infectar a un lector.
Instalar software original de sitios seguro
Tanto en dispositivos móviles como en ordenadores hay que instalar software original comprado en sitios de confianza. Esto es así por los siguientes motivos:
- Existe software malicioso que se hace pasar por otro.
- Existen aplicaciones y programas que traen malware incorporado.
- Instalar software pirata siempre entraña riesgos de seguridad.
Aunque el software no sea pirata y lo instalemos de una tienda reconocida no hay que confiarse. Existen casos conocidos de aplicaciones que contenían ransomware y han estado publicadas en la PlayStore de Google.
Instalar únicamente el software y plugins que necesitamos
Únicamente hay que instalar el software y extensiones que usamos. Tener instalado software que no usamos incrementa los riesgos de seguridad y perjudica al rendimiento de nuestro equipo.
Disponer de copias de seguridad
La medida más importante que debemos aplicar es realizar copias de seguridad. Es crucial realizar copias de seguridad periódicamente de la totalidad de datos e información que no queramos perder. En mi caso siempre dispongo de 2 copias de seguridad de la información que considero importante:
- Una de las copias de seguridad la almaceno en la nube. Almacenar la copia en la nube no es la opción más recomendable porque existe la posibilidad que también se nos cifre la copia de seguridad. Por este motivo guardo una segunda copia de seguridad.
- La segunda copia de seguridad la almaceno en un disco duro extraíble que está aislado de la red local en la que trabajo. Cabe recordar que hay ransomware capaces de cifrar todo el contenido de una red local. Por este motivo tengo una copia de seguridad completamente aislada de la red local y de Internet.
De esta forma estoy más o menos protegido. En el momento que sea víctima de un ransomware únicamente tendré que formatear el ordenador y restaurar mi copia de seguridad.
Periódicamente hay que comprobar que la copia de seguridad se pueda restaurar. Existen casos que cuando necesitamos usar la copia de seguridad nos encontramos con la desagradable sorpresa que no podemos restaurarla.
Utilizar cuentas de usuario y grupos de usuarios sin privilegios de administrador y contraseñas robustas
Es importante que los usuarios y grupos de usuarios no tengan permisos de administrador. Si usamos un usuario con permisos de administrador:
- Se incrementan las posibilidades de infección.
- Las consecuencias que puede tener un malware o ransomware son más importantes.
Los usuarios únicamente deben tener los permisos mínimos e indispensables para realizar su trabajo. Asimismo, es importante que las contraseñas de las cuentas usuario sean robustas.
Formación y concienciación
Más de la mitad de ataques de ransomware se producen mediante ataques de ingeniería social. Por lo tanto, la formación y conocimientos de seguridad de las personas que utilizan el ordenador en una red local es vital para minimizar los riesgos de infección.
¿QUE HACER EN EL CASO QUE SEAMOS VÍCTIMAS DE UN ATAQUE DE RANSOMWARE?
En caso que seamos víctimas de un ataque de ransomware deberemos plantearnos realizar las siguientes acciones:
Aplicar el plan de respuesta contra incidentes
En el momento que nos enteramos de una infección por ransomware debemos aplicar las medidas necesarias para evitar el que el ransomware se propague dentro de nuestra red local.
Toda empresa con cara y ojos debe tener un protocolo de actuación en caso de ser atacados por un malware.
Denunciar que hemos sido víctimas de un ataque de ransomware
A día de hoy es recomendable que empresas y particulares denuncien que han sido víctimas de un ataque de ransomware. Cuantas más denuncias existan sobre este tipo de problema, más recursos van a emplearse para intentar solucionar el problema.
Cuando en 2018 entre en vigor la nueva ley de protección de datos, entonces las empresas que reciban un ataque de este tipo estarán obligadas a denunciarlo. En caso contrario no estarán cumpliendo la ley.
Aunque denunciemos los hechos, podemos afirmar que en el 99% de los casos no se van a recuperar nuestros datos ni tampoco van a detener a los ciberdelincuentes que se lucran con el malware.
Nota: Antes de realizar la denuncia hay que obtener evidencias que hemos sido víctimas de un ataque de ransomware.
Desinfectar los equipos y restaurar la copia de seguridad
Una vez contenido el ataque llega el momento de desinfectar los equipos y restaurar la copia de seguridad.
Lo más recomendable para desinfectar los equipos es formatearlos y realizar de nuevo la instalación del sistema operativo y todos los programas. Una vez reinstalado el sistema operativo y programas hay que restaurar la copia de seguridad.
Pagar o no pagar a los atacantes
En principio no hay que caer en el chantaje. Lo recomendable es no pagar a los ciberdelincuentes para obtener la clave de descifrado. Los motivos son los siguientes:
- En ocasiones pagaremos y no podremos descifrar la información. Además, perderemos nuestro dinero porque al pagar con Bitcon nunca podremos llegar a rastrear quien recibe el dinero.
- En el momento que pagamos estamos dando aliento a los cibercriminales. Si caemos en el chantaje, lo único que haremos es fomentar a que los cibercriminales ataquen a más gente.
- Existen ocasiones en que al pagar podemos recuperar la información. No obstante, existe la posibilidad que el software de descifrado nos introduzca otro malware que se activará en un periodo determinado. De esta forma el atacante podrá seguir extorsionando a la víctima.
A pesar de todo lo detallado, el pagar o no pagar es un punto muy delicado. Existen casos en que la información secuestrada es vital. Por lo tanto, pueden existir casos en que la mejor opción sea ceder y realizar el pago para intentar recuperar la información.
Nota: Queda muy bonito decir que nunca hay que pagar. Pero habrá casos particulares en que no habrá más remedio.
¿Qué hacemos si no tenemos copia de seguridad?
Si no tenemos copias de seguridad nos tendremos que plantear 2 opciones:
- Realizar una copia de seguridad de los archivos cifrados y esperar que salga una herramienta de descifrado fiable para intentar recuperar la información.
- Plantearnos realizar el pago para recuperar la información.
AMPLIACIÓN DE LA INFORMACIÓN SOBRE EL RANSOMWARE
Si precisan información adicional sobre el ransomware pueden consultar los siguientes enlaces:
https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/2877-ccn-cert-ia-11-18-medidas-de-seguridad-contra-ransomware/file.html
https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_rware_metad.pdf
Notable y detallado análisis de este tipo de infecciones. El factor más débil es el usuario estándar, el segundo factor es el uso de Windows combinado malamente con programas de dudosa procedencia y un mal criterio general de gestión del apartado «Actualizar nuestro software» Gracias!