Ransomware es un tipo de software maligno, diseñado para negar acceso a un sistema computacional o a data y el cual se utiliza para solicitar un rescate. El volumen de Ransomware que está ocurriendo se asemeja al efecto de un Tsunami.
Por Laszlo Beke
No se trata de un virus que incomoda y fastidia, sino de un secuestro que impide el uso del sistema o de data y Ransomware puede ser devastador para una persona o para una organización. La importancia de la data para una organización o persona es tal que ha llevado a la aparición de una industria del secuestro manejada por organizaciones criminales a nivel local y global e incluso dirigidas desde Estados. La idea básica detrás del Ransomware es simple: un criminal hackea una computadora, penetrando generalmente a través de correos electrónicos usando “phishing” que engañan al usuario. Una vez dentro del sistema revuelve los archivos encriptando la data y entonces exige pago por la clave de encriptación para que los archivos puedan ser descifrados y recuperados por su propietario y este pueda volver a operar.
La mayoría de los secuestrados no dan a conocer el hecho, en buena parte por temor al daño a la imagen pública de la empresa o de la persona que queda inhabilitada para continuar operando. Sin embargo, cuando un Ransomware afecta a organismos públicos cuyos servicios se ven bloqueados, allí es imposible de callar la realidad de lo que ocurre y por ello han empezado a salir a la luz pública.
Loa afectados
Un Ransomware llamado WannaCry afectó decenas de miles de computadoras en más de 100 países y voceros en Estados Unidos y el Reino Unido eventualmente acusaron a Corea del Norte del hecho. También han sufrido ataques corporaciones en el Reino Unido, Francia, Rusia, Israel, Ucrania y América Latina. En el Estado de Florida, dos ciudades atacadas por Ransomware, perdieron acceso a sus sistemas telefónicos, email o sistemas computarizados y pagaron US$573,300 y US$897,650 respectivamente como valor de rescate. Por otro lado, para recuperarse de un ataque sin cancelar rescate el costo terminó siendo de US$17 millones para Atlanta y se estima que será de US$18 millones para Baltimore.
Los secuestradores (ya muy organizados) se han venido enfocando en empresas medianas, en múltiples sectores, y es un fenómeno que está ocurriendo actualmente en América Latina. Naturalmente las empresas más grandes tiene mayor capacidad tecnológica internamente y se han venido preparando para minimizar el riesgo y con mecanismos de recuperación.
La única opción, pero mala
Si la organización víctima no tiene un plan de recuperación ni idea del impacto de la pérdida de lo que ha sido encriptado entonces “la decisión se convierte en una de desesperación” y el pago del rescate pudiera ser el menor de los costos de la respuesta al incidente. Sin embargo, la organización puede ser atacada de nuevo. Se tiene seguridad que la data es recuperable después del pago? Ha sido corrompida? Ha sido alterada? Los atacantes hicieron copias? Qué pasos se han tomado para que no vuelva a atacar y exigir otro rescate?
Cómo prepararse
Una opción mucho mejor es dificultar dichos ataques y prepararse para contrarrestar el efecto de los mismos. No se puede garantizar la perfección, para hay formas de aproximarse:
· Tener instalados y al día todos los niveles de seguridad (Antivirus, firewall, perimetral, etc).
· Con un respaldo independiente que sobreviva el ataque la organización se puede reconstruir su sistema rápidamente con un costo relativamente bajo y sin pagar el rescate. Por supuesto, es necesario hacer esos respaldos con regularidad.
· Proveer entrenamiento a los empleados para sensibilizarlos a la seguridad y hace disminuir las posibilidades que un correo electrónico de phishing entre al sistema, cuando estos representan el 91 % de los ataques.
· Aplicar políticas bien pensadas de permisología a los empleados dentro de la organización.
Seguridad
Una forma de prepararse para un ataque de Ransomware es disponer de soluciones profesionales de respaldo, que además deben converger con las actualizaciones de los sistemas operativos de la plataforma (con los parches actualizados), de forma que se puedan restaurar los sistemas completos (tanto PC, como servidores). Para aquellos que deseen aumentar su nivel de protección, y dispongan de recursos para ello, se pueden utilizar soluciones del tipo VDI (infraestructura de desktop virtual) u otras soluciones de acceso remoto para asegurar que la data sensitiva no es asequible desde las máquinas fácilmente infectables.
Contiene información proveniente de “Get Ready For A Ransomware Tsunami” http://bit.ly/2L4FvQf, “Hackers have been holding the city of Baltimore’s computers hostage for 2 weeks”http://bit.ly/31WUBy1 y “Ransomware Attack Hits 22 Texas Towns, Authorities Say” https://nyti.ms/30mUWtt. También aparece en mi blog http://bit.ly/30uZm1r .