Josep Albors.
Josep Albors Director de Investigación y Concienciación Eset España

Protección frente al ransomware, la amenaza que no cesa

Ransomware red button on keyboard, 3D rendering

Durante los últimos meses hemos visto cómo prácticamente ningún sector se libraba de sufrir ciberataques que ponían en jaque sus sistemas informáticos y que afectaban directamente a su capacidad operativa. En este tiempo se han observado varios de estos ataques en España y en países de Latinoamérica como Argentina y Chile que han afectado a varios sectores, como el sanitario, el bancario o incluso el control de fronteras.

Principal responsable

Al leer información sobre los incidentes de seguridad sufridos recientemente es fácil darse cuenta de que parece estar relacionado con el ransomware, aunque en algunos de ellos no se cite directamente esta amenaza. Pero ¿en qué consiste? Detengámonos un momento para conocer un poco mejor este malware.

El ransomware es un tipo específico de software malicioso que se usa para cifrar datos almacenados en los sistemas de las víctimas y luego solicitar un rescate. Esto último es lo que da la pista de que nos encontramos ante este tipo de ataque, ya que, en la mayoría de los casos, al infectarse el dispositivo se mostrará un mensaje en la pantalla y/o añadiendo un archivo de texto (mensaje) en aquellas carpetas con archivos afectados que suelen ver su extensión modificada por una elección de los delincuentes.

Si tomamos por ejemplo el ciberataque al Hospital Moisès Broggi de Barcelona acontecido recientemente vemos cómo se hace mención a un programa malicioso diseñado para secuestrar los servidores del centro sanitario y solicitar un rescate.

Declaraciones como la del director de la Agencia de Ciberseguridad de Cataluña indican que, en este ataque, se ha utilizado «una técnica muy efectiva y sofisticada, donde la víctima se encuentra con que los sistemas ya no funcionan. Tratándose de un hospital, puede ser una situación crítica, pero en este caso no hay peligro».

Un dato importante es que, según los responsables del centro sanitario, los atacantes no habrían conseguido acceder a los datos privados de los pacientes y profesionales que trabajan allí. Simplemente afectó a sistemas secundarios. Este punto es importante puesto que, tal y como venimos observando desde finales de 2019, muchos de los delincuentes que se encuentran detrás de estas amenazas no se conforman solo con cifrar la información, sino que también roban datos confidenciales y amenazan con hacerlos públicos en el caso de que no se ceda a su extorsión.

Otro incidente reciente donde el ransomware ha provocado problemas ha sido el sufrido por la Dirección Nacional de Migraciones Argentina. Según se supo, este organismo oficial habría sufrido un ataque a finales de agosto en el cual se habría utilizado el ransomware Netwalker para dejar inoperativos los sistemas, obligando a suspender el tránsito de personas en las fronteras durante cuatro horas.

La responsable de este organismo presentó una denuncia en la que se reconocía que se vio afectada la confidencialidad, integridad y disponibilidad de la información. Esto podría indicar que la información relacionada con los ciudadanos que estuviese almacenada en estos sistemas afectados podría haberse visto comprometida. Sin embargo, fuentes de ese organismo oficial indicaron que no se vio afectada ni la infraestructura crítica ni la información sensible, personal o corporativa.

Una problemática que no cesa

A pesar de que los casos de ransomware no son especialmente nuevos, no dejamos de ver ejemplos de todo tipo de empresas que caen víctimas de esta amenaza. Es cierto que los delincuentes han ido evolucionando sus técnicas para ser cada vez más efectivos y que han incluido nuevas maneras de sacar beneficios, como pueden ser el ransomware como servicio o la ya mencionada amenaza de filtrar la información robada. Precisamente, estas dos tendencias son las principales novedades que encontramos si comparamos el ransomware actual con el de hace apenas un par de años.

La posibilidad que tienen muchos delincuentes inexpertos de hacerse con muestras de varias familias de ransomware contratando el servicio que ofrecen los desarrolladores de estas amenazas hace que incluso personas con poco conocimiento informático sean capaces de lanzar campañas de infección que pueden causar serios problemas.

Por otro lado, aquellas campañas dirigidas a empresas y organismos oficiales que almacenan información confidencial sensible con la finalidad de robarla y chantajear a la víctima han estado aumentando desde finales de 2019. Esta técnica añade presión a los afectados, puesto que no vale solo con restaurar las máquinas afectadas, sino que también se debe lidiar con el daño reputacional y las multas por incumplimiento normativo relacionado con la protección de datos.

ransomware, candado, ciberataques, ciberamenazas

La importancia de la protección frente al ransomware

Para evitar estos ataques podemos adoptar varias medidas de seguridad que también pueden utilizarse para combatir otras amenazas:

  • Contar con copias de seguridad y asegurarse de que funcionan correctamente. Esto nos permitirá volver en el menor tiempo posible a una actividad cercana a la normalidad mientras se investiga el incidente.
  • Instalar soluciones de seguridad y protegerlas de modificaciones no autorizadas. Esto se puede conseguir estableciendo una contraseña que sea necesaria para modificar cualquier parámetro o incluso desinstalar la solución, haciendo el trabajo de los delincuentes más difícil.
  • Disponer de soluciones de detección y respuesta en los endpoints que permitan saber cuándo se está haciendo un uso malicioso de herramientas legítimas.
  • Limitar los permisos y accesos de los usuarios a los activos críticos de la empresa. Los atacantes consiguen, en multitud de ocasiones, hacerse con el control de la red y robar información confidencial accediendo a través de un equipo de un usuario normal que tiene demasiados permisos otorgados y que puede acceder a numerosos recursos sin ningún motivo justificable.
  • Utilizar el doble factor de autenticación, especialmente a la hora de acceder a sistemas o recursos críticos de la empresa. De esta forma, aunque se consiga obtener o romper por fuerza bruta las contraseñas, habrá otra capa adicional de seguridad que los delincuentes tendrán que sortear.
  • Revisar periódicamente la seguridad de la red en busca de puntos débiles. Las auditorías continuas son una parte esencial a la hora de mantener nuestra empresa protegida. Constantemente aparecen nuevas vulnerabilidades que deben ser gestionadas para evitar que las usen en nuestra contra. Eso y otros puntos débiles son los utilizados por los delincuentes, por lo que conviene identificarlos lo antes posible para poder solucionarlos.

Conclusión

Si algo hemos podido comprobar durante los últimos meses es que el aumento de este tipo de casos está normalmente relacionado con la falta de protección a diferentes niveles.

La ampliación de la superficie de ataque provocado por la necesidad de permitir conexiones no lo suficientemente protegidas desde el exterior a causa del aumento del teletrabajo ha sido un factor importante, pero no debemos olvidar otros como una defectuosa segmentación de las redes corporativas, una mala política de copias de seguridad o una protección de los endpoints mejorable.

Todos estos agujeros de seguridad son y serán aprovechados por los delincuentes a menos que se tomen las medidas adecuadas, ya que el ransomware no parece que vaya a desaparecer a corto y medio plazo. Es más, posiblemente siga evolucionando y haciéndose más peligroso.