Logo Computerworld University

El lenguaje de la tecnología

Escudo Computerworld University

Detener el avance del ransomware, prioridad número uno

El ransomware es un problema de proporciones cada vez mayores para empresas de todo el planeta. En 2015 los casos de ransomware aumentaron en un 35%, y este año estamos en cifras de más de 4.000 ataques diarios, en comparación a los 1000 diarios de 2015.

Ransomware en smartphone

Imagínese llegar a su mesa de trabajo un lunes por la mañana, con los ojos nublados y aún no completamente despierto, esperando que el café comience a hacerle efecto. Ahora, imagine que en la pantalla aparece un mensaje que le dice que sus archivos han sido cifrados y que los perderá para siempre si no paga un rescate. Seguro que eso sí le despierta. Imagínese que esto mismo les ha sucedido a muchos de sus compañeros de trabajo: sus datos han sido secuestrados hasta pagar el rescate.

El ransomware es un problema de proporciones cada vez mayores para empresas de todo el planeta. En 2015 los casos de ransomware aumentaron en un 35%, y las víctimas desembolsaron más de 24 millones de dólares. En 2016 se estima que se produzcan más de 4000 ataques de ransomware cada día, en comparación con los solo 1000 diarios durante 2015.

Las víctimas incluyen desde hospitales o compañías energéticas, hasta termostatos inteligentes. Algunas víctimas pagan el rescate, porque perder acceso a sus datos no es una opción viable y en algunos casos, como el de los hospitales, estos datos pueden ser de vida o muerte. No poder acceder a los datos de un paciente puede suponer no aplicar un tratamiento vital.

Hay un par de motivos que hacen que el ransomware sea una herramienta tan popular entre los ciberdelincuentes en este momento. El primer motivo tiene que ver con los privilegios. La mayoría de los programas de malware necesitan privilegios de administrador local para llevar a cabo su cometido. Pero no todos. Dicho esto, los estudios indican que el ransomware sigue buscando privilegios de administrador en la mayoría de los casos de infección. Si un usuario o equipo infectado tiene los permisos necesarios para abrir Microsoft Word y redactar y editar un documento, los permisos habituales en la mayoría de las empresas y organizaciones, el ransomware también dispondrá de los permisos necesarios para cifrar estos documentos. Aunque una organización haya seguido las diez leyes inmutables de la seguridad de Microsoft y haya quitado los derechos de administrador a los usuarios normales, la mayor parte de los programas de ransomware todavía pueden hacer su trabajo.

El segundo motivo es la forma en que está diseñado el ransomware. Por norma general, cuando un programa antivirus identifica un malware, asigna un archivo ‘hash' vinculado a la aplicación maliciosa, de forma que la próxima vez que el antivirus vea este archivo, ya esté bloqueado. Sin embargo, el ransomware es un ejemplo de malware polimórfico, que puede cambiar muy pequeños atributos para mantener su efectividad. Esto significa básicamente que cada cepa se transforma en una versión 2.0, que es desconocida y no puede ser identificada por la tecnología antivirus.

Sin embargo, existen formas de mitigar los riesgos del ransomware. Mantener copias de seguridad actualizadas es una de ellas, ya que permite recuperar versiones anteriores de los archivos. Pero esto puede resultar incómodo y llevar mucho tiempo, y en ocasiones no es una opción viable. Asimismo, las empresas deberían utilizar siempre software antivirus, aunque es improbable que resulte eficaz contra malware polimórfico como el ransomware.

La forma más eficaz de mitigar los riesgos del ransomware es a nivel del servidor: recomendamos las listas blancas de aplicaciones, ya que los servidores suelen ser estáticos y no ejecutar demasiadas aplicaciones. Sin embargo, la naturaleza dinámica de los puntos de acceso obstaculiza la efectividad de las listas blancas. En los puntos de acceso es más eficaz y eficiente utilizar control de aplicaciones, como por ejemplo mediante listas grises, que admiten entornos de aplicaciones dinámicas y a la vez evitan que aplicaciones desconocidas obtengan los privilegios necesarios para cifrar archivos.

Lo que conocemos, a partir de las pruebas realizadas sobre ransomware y el estudio de su comportamiento, es que necesita tener privilegios de lectura, escritura y modificación sobre los archivos para poder cifrarlos. Algunas herramientas que pueden restringir estos privilegios a aplicaciones desconocidas, incluidas cepas de malware polimórfico cuya malintencionalidad aún no se conoce, pueden evitar el cifrado de los archivos, mantener sus datos intactos, su dinero a buen recaudo y su empresa funcionando sin sobresaltos.

El ransomware se ha convertido en uno de los medios de extorsión favoritos de los delincuentes que realizan ataques oportunistas, por dos motivos principales. En primer lugar, muchas organizaciones no ponen en práctica unas medidas higiénicas suficientes en lo relativo a copias de seguridad y recuperación. Las copias de seguridad pueden ser poco frecuentes, lo que significa que una vez que los datos de los terminales y servidores quedan cifrados y se pide rescate por ellos, las organizaciones se ven obligadas a elegir entre perder importantes datos para siempre, o desembolsar unos bitcoins para, con un poco de suerte, recuperar sus datos. En segundo lugar, muchas organizaciones confían en soluciones antivirus tradicionales, que con frecuencia no son eficaces para bloquear el ransomware. Estas soluciones funcionan manteniendo un inventario de malware conocido y bloqueando futuras ejecuciones de este malware. Como los archivos infectados por ransomware se transforman en nuevas versiones, las soluciones antivirus tradicionales tienen escasas probabilidades de evitar una infección de este tipo. 

Es un artículo realizado por Albert Barnwell, director en España de CyberArk.



Últimas Noticias



Registro:

Eventos: