Existen muchos tipos de ataques informáticos, pero hay uno que tiene especial importancia en los últimos años, los ataques ransomware. Tal y como comentamos hace meses, Ransomware bloquea ordenadores y pide rescate para el desbloqueo, un bloqueo que puede causar muertes cuando lo que se está bloqueando es la infraestructura informática de un hospital, por ejemplo.
La pregunta es ¿Hay algo que una empresa hacer para reducir la amenaza de un ataque de ransomware?
Un grupo de expertos en ciberseguridad hablaron sobre el tema en Reddit, en una discusión organizada por el Instituto de Seguridad y Tecnología (IST), con sede en California. En el evento estaban Jen Ellis y Bob Rudis, de la firma de ciberseguridad Rapid7, Marc Rogers de la firma de servicios de TI Okta, James Shank, de la empresa de seguridad informática Team Cymru y Allan Liska de la empresa de ciberseguridad Recorded Future.
En resumen podemos destacar los siguientes puntos:
– Rogers, de Okta, comentó que en la mayoría de los casos, el ransomware es una aplicación maliciosa que toma el control del sistema antes de propagarse lateralmente a todos y cada uno de los sistemas conectados. Si un ordenador se infecta, hay que desconectarlo inmediatamente de la red para que el problema no afecte al resto, sin obtener archivos del mismo para copiarlos en ninguna otra máquina.
– Rudis, de Rapid7, dijo que la mayoría de los atacantes de ransomware no necesitan herramientas avanzadas para lograr sus objetivos. Muchas veces los problemas comienzan por una acción humana, por lo que es importante usar autenticación multifactor, parcheo, protección y monitoreo, así como escaneo de infraestructura remota y búsqueda de amenazas para atacantes. Hay que entrenar al equipo para que identifique amenazas y no caiga en trampas.
– Es posible realizar configuraciones en los servidores para evitar el bloqueo a escala. Se pueden estudiar configuraciones en los servidores de Active Directory y SMB (Server Message Block), por ejemplo.
– Liska comentó que no existe una única solución de software que resuelva el problema del ransomware u otros tipos de ataques. No se soluciona con un antivirus y sí con políticas, personas y protocolos adecuados para identificar y detener rápidamente las amenazas.
Por otro lado, las personas normales, en nuestras casas, por demos ayudar si:
– Usamos contraseñas seguras que sean únicas para cada sitio o servicio que visitemos.
– Tengamos buenas copias de seguridad en varios dispositivos diferentes que nunca estén conectados al mismo tiempo.
– Prestemos atención a las cosas raras que puedan ocurrir, a enlaces sospechosos al que hemos pulsado sin querer. Desde que pulsamos en un enlace malicioso hasta que aparece el problema, pueden pasar horas, de forma que si avisamos al equipo de seguridad para que actúe antes, podemos ahorrarnos dolores de cabeza.
Ahora es necesario tener en cuenta que el pago de los rescates solo alimenta este tipo de acciones. De hecho hay países que están exigiendo que las organizaciones informen sobre los pagos de rescate y sobre una mayor regulación del sector de las criptomonedas, lo que ayudará a atajar el problema más rápido.