Ransomware ¿Qué es y cómo protegerte?
El uso de código malicioso para el secuestro de datos (ransomware) fue una de las áreas de más rápido desarrollo en el segundo trimestre del año. América Latina sufre 5.000 ataques de ransomware por día.
El ransomware, es el uso de software malicioso para obtener acceso a información, encriptarla, secuestrarla y pedir a cambio un rescate. Se trata de una modalidad que tuvo su punto máximo en 2017 con el ataque WannaCry pero que a partir de la pandemia parece haber vuelto a tomar vuelo, especialmente en América Latina.
La compañía de seguridad informática Kaspersky registró 1,3 millones de intentos de ataque de ransomware en la región latinoamericana entre enero y septiembre de 2020, lo que significa un promedio de 5.000 ataques por día. Los países que más sufren estos ataques son Brasil, México, Colombia, Perú y Ecuador.
Durante la pandemia, el código malicioso destinado a la extorsión fue una de las áreas de más rápido crecimiento, de acuerdo con Eset. Ya en abril, Interpol alertaba un creciente número de ataques de ransomware dirigidos a hospitales y centros de salud a partir de la pandemia por el covid-19.
Las amenazas durante la pandemia
A raíz de la pandemia por el covid-19 muchos delincuentes informáticos aprovecharon la ocasión para captar a usuarios desprevenidos. Eset señala que las campañas que utilizan como señuelo el tema del covid-19 en ataques a sitios web y a través de correo electrónico “presentan una afluencia contínua”. En el segundo trimestre del año afloraron los casos de correos de phishing que se hacen pasar por servicios de entrega de paquetes o entidades financieras. También se incrementaron los ataques contra el protocolo de escritorio remoto (RPD, por sus siglas en inglés), que permite la conexión a la red corporativa desde computadoras remotas. Según Kaspersky, los ataques que intentan adivinar las contraseñas para acceder al protocolo RDP alcanzaron 517 millones en la región este año (enero-septiembre), un promedio de 1.400 intentos bloqueados por segundo.
Eset también detectó un aumento del número de usuarios que sufrieron intentos de ataque de fuerza bruta hacia redes con protección deficiente para elevar sus permisos a nivel de administrador y luego deshabilitar o desinstalar soluciones de seguridad con el objetivo de poder ejecutar programas maliciosos como ransomware.
IBM, en tanto, señala que a septiembre de 2020, uno de cada cuatro ataques detectados por IBM Security X-Force Incident Response fueron causados por ransomware, que tuvo su cúspide de incidentes en junio de 2020, mes que condensó un tercio de todos los ataques remediados por la herramienta.
¿Qué es y por qué ransomware?
Como se ha dicho, el ransomware es un programa de software malicioso que ataca a empresas y organizaciones con el objetivo de tomar control de los datos, cifrarlos y exigir el pago de cierto dinero, usualmente en criptomonedas, para restablecer el funcionamiento del sistema y devolver a los administradores el acceso a la información. Otro uso generalizado de los datos secuestrados es ofrecerlos en subasta en la Dark Web.
El malware se puede instalar a través de enlaces engañosos incluidos en mensajes de correo electrónico, mensaje instantáneo o sitio web, entre otros.
El ransomware supone un negocio muy rentable para los delincuentes que se mantiene en crecimiento en los últimos años, tanto en cantidad de ataques como en su costo. En general, alrededor del ransomware se crean organizaciones delictivas que dirigen sus ataques contra organizaciones.
Si bien desde las compañías de seguridad informáticas y hasta desde el propio Gobierno de los Estados Unidos se recomienda no ofrecer la recompensa económica ante un ataque de ransomware, algunas organizaciones y entes gubernamentales son más propensos a pagar los rescates para volver a tener acceso a su información y esconder que han sido víctimas de un ataque. El dinero solicitado por los secuestradores se ha incrementado en el tiempo e IBM detectó demandas de pagos por más de 40 millones de dólares en ataques de ransomware. De acuerdo con datos del FBI, las víctimas de ransomware ya han pagado el equivalente a 140 millones de dólares en bitcoin a los atacantes. El costo de haber recibido un ataque, en tanto, se calcula en otros miles de millones de dólares para las organizaciones víctimas de ransomware.
Cómo protegerse
Para proteger las empresas y entes gubernamentales de ataques de ransomware, se recomienda:
- Mantener los sistemas operativos, software y aplicaciones actualizadas
- Asegurar que las soluciones de antivirus y antimalware están configuradas para actualizarse automáticamente y correr comprobaciones de forma regular.
- Realizar back up de datos de forma regular y rechequear que el resguardo de información se realice de forma completa.
- Asegurar los resguardos de información y asegurar que no estén conectados con computadoras o redes que estén haciendo backups.
- Crear un plan de continuidad en caso que la organización o negocio sea víctima de un ataque de ransomware.
A esta breve lista deben sumarse algunas estrategias básicas como habilitar el doble factor de autenticación, asegurar todos los endpoints de la red, tener contraseñas robustas, instalar enlaces de redes privadas virtuales (VPN), aislar computadoras inseguras u obsoletas, tener una postura de confianza cero con el objetivo de evitar el phishing y minimizar la cantidad de servicios RDP que estén expuestos a Internet.
En América Latina, donde Kaspersky estima que dos de cada tres dispositivos cuentan con vulnerabilidades críticas. El uso de software pirata (66 por ciento en América Latina) y sistemas operativos obsoletos —Kaspersky calcula que el 55 por ciento de las computadoras de la región utilizan todavía Windows 7 —, puede ser una puerta de entrada para los delincuentes informáticos.
En tiempos de pandemia y home office, los grupos criminales intentan ganar dinero a través del ransomware. Las amenazas se disparan y la reacción de las empresas no debe esperar. Tener una estrategia de ciberseguridad adecuada puede evitar dolores de cabeza.
