Una de las principales y temidas amenazas actuales en el mundo de la informática son los denominados ransomware, es decir, uno de esos programas dañinos que infectan nuestros equipos modificando (encriptando) o restringiendo el acceso a los ficheros almacenados y piden un rescate a cambio de quitar dicha restricción.
Desde Aixa Corpore, queremos dar recomendaciones para reducir el riesgo de sufrir una brecha de este tipo.
Existen muchos tipos de ransomware y cada día aparecen nuevas versiones, lo que impide que los antivirus puedan trabajar con la misma velocidad para elaborar soluciones para cada uno de ellos.
Hay que tener en cuenta que todas las Empresas deben tomar medidas técnicas y organizativas para evitar que se produzcan brechas de seguridad.
No obstante, aún aplicando las medidas de seguridad oportunas dichas brechas de seguridad pueden ocurrir, por lo que las organizaciones deben estar capacitadas para detectarlas y actuar para minimizar el daño causado en los derechos y libertades de las personas.
Con respecto a la notificación de brechas de seguridad le sugerimos un antículo ya publicado en nuestra Web titulado La brecha de seguridad y el nuevo Reglamento General de Protección de Datos.
Teniendo en cuenta el alto número de notificaciones de brechas de seguridad recibidas durante el 2018 (un 10%) desde la fecha de aplicación del RGPD (25 de mayo de 2018) cuyo motivo fue la actuación de algún ransomware, creemos necesario proporcionar algunas recomendaciones para reducir el riesgo de sufrir una brecha de este tipo.
Pueden parecer unas recomendaciones sencillas, pero nos ayudarán a reducir drásticamente las posibilidades de sufrir un ataque ransomware:
1. Control de los accesos remotos a los sistemas de información
Una práctica no recomendada, pero muy habitual por su sencillez de implementación, es redirigir los puertos en el router para permitir ese acceso remoto a algún equipo de la organización. Al permitir esta conectividad se está exponiendo un servicio normalmente protegido sólo por usuario y contraseña. Se puede comprobar que en menos de una hora la exposición del servicio es detectada y se realizan cientos de ataques por fuerza bruta.
Desde el sistema operativo Windows NT se incorpora un sistema de acceso remoto denominado Remote Desktop Protocol (RDP) utilizado por muchas empresas para acceder a otros equipos en una interfaz gráfica para trabajar como si estuviéramos en la máquina remota. Simplemente se necesitan unos datos de red (IP o DNS), unas credenciales gráficas y un puerto TCP que, por defecto, se utiliza el 3389. Dicho puerto 3389 no suele ser modificado por la empresa, convirtiéndolo en una puerta de acceso para posibles ataques por fuerza bruta.
La recomendación en este caso sería utilizar credenciales de acceso robustas (alfanuméricas, mayúsculas, minúsculas, símbolos y una longitud superior a 8 caracteres), cambiar dichas credenciales periódicamente y no utilizar los puertos por defecto (en este caso el mencionado 3389). Lo ideal es evitar cualquier conexión remota al exterior mediante redireccionamiento de puertos y establecer algún tipo de servicio tipo VPN en la que solo se exponga un único sistema que vigilaremos con mayor ahínco.
En los últimos años han cobrado una especial importancia los Ataques «Ransomware», en los que se busca cifrar información para posteriormente solicitar un rescate por la contraseña de descifrado. Aunque parezca una actividad en descenso, sigue siendo una gran amenaza a tener en cuenta especialmente en el caso de las pymes, uno de sus grandes objetivos. La forma en la que se produce este ataque es tradicionalmente mediante phishing, en el que, a través del envío de un correo suplantando al emisor, se remite un malware como fichero adjunto que acabará cifrando los archivos del equipo.
Pero en la actualidad también se utilizan otras técnicas como, por ejemplo, algunos ransomware como Crysis/Dharma o Matrix cuyo vector de entrada es precisamente el protocolo de escritorio remoto. Utilizando buscadores como SHODAN, encuentran equipos accesibles que tengan contraseñas débiles y usuarios por defecto habilitados como “invitado”, “backup”, etc. Una vez acceden al equipo, proceden a deshabilitar sistemas de protección como instantáneas de volumen o puntos de restauración y cifran toda la información del sistema pidiendo un rescate para entregar la contraseña de descifrado.
2. No caer en suplantaciones de identidad
Una de las formas más habituales de los ransomware es utilizar el denominado Phishing (suplantación de identidad) mediante correo electrónico u otros métodos para hacernos abrir un archivo o redireccionarnos a una Web donde nos piden las credenciales. Habitualmente viene desde un usuario supuestamente de confianza que ha sido infectado e inconscientemente nos envía un correo con el virus.
Hay que tener en cuenta que este tipo de ataques no solo ocasiona una brecha de disponibilidad que se soluciona restaurando los datos desde la copia de seguridad. También se han podido poner en riesgo cuentas de usuarios de otros usuarios de la organización e incluso ha podido enviar algún tipo de información al exterior.
La recomendación es no confiar en correos cuyo remitente sea desconocido y nos envíe algo como si lo esperáramos. Eliminar cualquier correo publicitario del que tengamos sospechas. Leer la redacción de los correos con el fin de detectar incongruencias en el texto que nos lleven a sospechar de él. Si conocemos al remitente y sospechamos del correo recibido, llamarlo para confirmar que su envío es legítimo.
3. ¿Qué puedo hacer para evitar o combatir los ataques «Ransomware»?
Cuando se sufre un ataque de este tipo, se suele pensar únicamente en que se ha sufrido una brecha de disponibilidad hasta que se consigue recuperar la información, habitualmente desde las copias de respaldo, si se dispone de ellas. Pero no siempre se tiene en cuenta que han sido comprometidas diferentes cuentas de usuario, que se ha podido acceder a otros equipos de la organización o conseguir credenciales diferentes a las del servidor afectado. Además, se desconoce si el malware ha podido enviar parte de la información almacenada en nuestros sistemas hacia el exterior.
La primera medida preventiva a llevar a cabo para evitar estos ataques es no exponer los servicios de escritorio remoto directamente a internet mediante la redirección de puertos, al considerarse una práctica insegura. Sería recomendable establecer al menos un servicio como Remote Desktop Gateway, o mejor aún implementar un sistema de red privada virtual (Virtual Private Network – VPN) en la que se consoliden los accesos desde el exterior. De esta manera tendremos un único sistema expuesto que es el que deberemos vigilar con mayor diligencia. Además, no debemos olvidar recomendaciones básicas como deshabilitar cuentas de usuario innecesarias o credenciales simples, tener los sistemas actualizados e implementar sistemas de doble autenticación. Como medida correctiva, disponer de varias copias de seguridad de los datos es la medida más eficaz.
4. Copias de seguridad
Actualmente es nuestra principal y más fiable arma contra la pérdida de datos por un ataque ransomware. Definir unas copias seguras, con una periodicidad baja y en soportes que no estén expuestos directamente a los sistemas vulnerables es la mejor forma de asegurar la información.
Hay que tener en cuenta que estos ataques son muy capaces de navegar por la red de la empresa, por lo que las copias más seguras son las que no están conectadas a los equipos. Es altamente recomendable definir el sistema de copias de seguridad de manera que siempre haya una copia reciente en un lugar seguro, desconectado y apartado del lugar en que se encuentras los sistemas de información.
Contamos en nuestra Web con varios artículos referente a las copias de seguridad. Recomendamos su lectura.
5. Antivirus actualizado
A pesar de que los antivirus no nos garantizan al 100% la erradicación total de estos virus, pueden ayudar a la hora de detectar posibles movimientos extraños en nuestro sistema y alertarnos de que algo inusual está pasando. No obstante, algunas empresas han desarrollado herramientas específicas para este tipo de ataques que están resultando efectivas.
Mantener el antivirus actualizado es la principal recomendación en este aspecto.
Para mayor información sobre medidas preventivas y cómo actuar ante un ransomware que haya cifrado tus dispositivos, desde Aixa Corpore te recomendamos consultar la guía sobre Ransomware publicada por INCIBE, el informe de buenas prácticas del CCN-CERT y las recomendaciones de medidas de seguridad ante ransomware también del CCN-CERT .