Incluso los recién nacidos parecen conocer la palabra ransomware en estos días: aparece en los periódicos, revistas, informes de seguridad y casi en todas partes con una regularidad alarmante.
Y quizás hemos bautizado en el 2016 como el año del ransomware, pero esto resultó ser nada en comparación con el 2017. Después de un 2018 y un 2019 relativamente tranquilos, en 2020 vio que el ransomware volvió a los titulares.
Se ofrecen casi los tres consejos generales:
Utilice una buena protección: No descargue nunca archivos sospechosos de sitios web sospechosos ni abra archivos adjuntos sospechosos en los correos electrónicos de personas sospechosas y enseñe a sus empleados a hacer lo mismo.
Realice una copia de seguridad de sus datos con regularidad: De vez en cuando, escuchamos objeciones de la siguiente naturaleza: la protección y la concienciación de los empleados es buena, pero ¿por qué molestarnos en reforzar la protección y formar a los empleados cuando podemos hacer una copia de seguridad de todo regularmente?
De todas formas, hacemos una copia de seguridad todo el tiempo, y si nos afecta el ransomware, ¿lo restauraremos todo, pues, cuál es el problema? ¡Aquí tiene el gran problema!
Las copias de seguridad deben ser recuperables: Las copias de seguridad son, por supuesto, necesarias. ¿Pero ha intentado nunca restaurar su infraestructura empresarial desde una copia de seguridad?
Puede que no sea tan sencillo como parece, y cuanto más ordenadores e infraestructuras heterogéneos tengas, más difícil será la tarea.
Es probable que los profesionales informáticos experimentados se hayan enfrentado a una copia de seguridad que no restaura todo o que no restaura todo como se esperaba.
Sin duda, el proceso nunca es tan rápido como esperaban. Y en ocasiones las copias de seguridad no funcionan.
Cualquier persona que haya pisado el proverbial rastreo de copias de seguridad sabe que debería comprobar regularmente la integridad de sus copias de seguridad, realizar algunos ejercicios para resucitar su servidor en un entorno de prueba y, en general, asegurarse de que, si es necesario, la recuperación no tarda demasiado grandes.
Y aquellos que nunca han intentado realizar una restauración desde una copia de seguridad no deberían ser fáciles.
Aquí hay otro problema para confiar en una copia de seguridad
Si el servidor de copia de seguridad reside dentro del perímetro de la red, el ransomware lo cifrará junto con todos los demás ordenadores de la red, lo que significa adiós a los planes de copia de seguridad recuperación.
Su resultado final: maximice sus posibilidades de una restauración rápida segmentando la red, haciendo copias de seguridad con prudencia y realizando restauraciones de prueba.
¡La recuperación significa tiempo de inactividad, y el tiempo de inactividad es caro!
Para las grandes empresas con varios dispositivos e infraestructura, es poco probable una rápida recuperación. Incluso si la copia de seguridad funciona perfectamente y sude sangre para restaurarlo todo, todavía tardará un tiempo.
Durante estas semanas (sí, probablemente estamos hablando de semanas, no de días), el negocio va a estar inactivo. Algunos encontrarán que el coste de ese tiempo de inactividad es inferior al de pagar los rescates (no lo desaconsejamos).
De cualquier modo, el tiempo de inactividad después de un ataque de ransomware es inevitable; es imposible descifrar y reiniciar todos los sistemas y servicios de inmediato, incluso si los ciberdelincuentes tengan la amabilidad de proporcionar un descifrador.
En el mundo real, los ciberdelincuentes no son legales, y aunque lo sean, el descifrador no necesariamente funciona como se esperaba.
Su resultado final: para evitar tiempo de inactividad relacionado con el ransomware, no se infecte con el ransomware. (Pero cómo? ¡La respuesta es la protección y la concienciación de los empleados!)
El ransomware moderno es peor que los cifradores simples
Las bandas de ransomware se dirigieron principalmente a los usuarios finales, exigiendo unos 300 dólares en criptomoneda para el descifrado.
Sin embargo, ahora han descubierto la alegría de atacar a empresas, que pueden pagar, y tienen más probabilidades de pagar, rescates mucho mayores.
Y algunos de estos ciberdelincuentes no tienen ningún escrúpulo en perseguir a las organizaciones médicas de primera línea: muchos hospitales han sido atacados este año y, recientemente, una empresa de la cadena de suministro de vacunas contra el coronavirus ha sido afectada.
El ransomware moderno hace más que cifrar: se esconde en las redes y elimina todos los datos que pueda detectar.
A continuación, los datos se analizan y se utilizan para chantajear a las empresas con cifrado, filtraciones o ambas cosas. La falta de pago, puede decir el mensaje del rescate, comportará la publicación de datos personales de los clientes o secretos comerciales de la empresa.
Aunque no es fatal, contaminaría la reputación de la empresa, quizá de forma permanente.
Si un atacante decide filtrar secretos de la empresa o datos personales de los usuarios, las copias de seguridad no serán útiles. Además, si almacena las copias de seguridad en una ubicación, como una nube, a la que es relativamente fácil acceder, también pueden proporcionar a los atacantes la información que necesitan para chantajear.
Su resultado final: las copias de seguridad son necesarias, pero no suficientes por sí solas para proteger su empresa del ransomware.
Tres pilares de la seguridad del ransomware, de nuevo, dado que no hay ninguna bala mágica contra el ransomware, nuestro consejo sigue siendo el mismo: la copia de seguridad es absoluta.
