| | | | | | | |

Cómo saber si tu organización está preparada ante el Ransomware

Completá nuestro check-list y te daremos un conjunto de recomendaciones prácticas para saber si tu organización está preparada ante el Ransomware.

Introducción

See the Pen CiberSergei Pantalla de Ransomware by cibersergei (@cibersergei) on CodePen.

Los ataques hoy en día son más elaborados, dirigidos, avanzados y más amplios. En consecuencia, el impacto también es más perjudicial. Con más de 4.000 ataques de ransomware diarios, con un tiempo de inactividad promedio de 19 días, y un costo promedio de remediar este ataque de USD 732.520 no podemos quedarnos de brazos cruzados. Diversos gobiernos en el mundo han declarado al ransomware como la principal amenaza cibernética.

El primer paso para reforzar la seguridad es comprender lo que es el ransomware, cómo funciona y cómo podés proteger tu organización de un ataque.

Definición de Ransomware

Un ransomware, o “secuestro de datos” es un tipo de programa malicioso (malware) que restringe el acceso a determinadas partes o archivos del sistema operativo infectado y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware encriptan los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.

Cómo es el proceso de infección

El ransomware generalmente se propaga a través de correo no deseado, correos electrónicos de phishing o mediante esfuerzos de ingeniería social. También se puede propagar a través de sitios web o descargas no autorizadas para infectar un punto final y penetrar en la red.

Los métodos de infección evolucionan constantemente y hay innumerables formas en que la tecnología de uno puede infectarse. Una vez en su lugar, el ransomware bloquea todos los archivos a los que puede acceder mediante una encriptación fuerte. Finalmente, el malware exige un rescate, mayormente a ser pago en bitcoin, para descifrar los archivos y restaurar las operaciones completas en los sistemas de TI afectados.

5 Pasos de un ataque típico de Ransomware

Los 5 pasos típicos en un ataque de ransomware son:

  1. Infección: una vez que se ha enviado al sistema a través de un archivo adjunto de correo electrónico, un correo electrónico de phishing, una aplicación infectada u otro método, el ransomware se instala en el punto final y en cualquier dispositivo de red al que pueda acceder.
  2. Intercambio seguro de claves: el ransomware se pone en contacto con el servidor de comando y control operado por los ciberdelincuentes detrás del ataque para generar las claves criptográficas que se utilizarán en el sistema local.
  3. Encriptación: el ransomware comienza a encriptar cualquier archivo que pueda encontrar en las máquinas locales y en la red.
  4. Extorsión: una vez realizado el trabajo de encriptación, el ransomware muestra instrucciones para la extorsión y el pago del rescate, amenazando con la destrucción de los datos si no se realiza el pago.
  5. Desbloqueo: las organizaciones pueden pagar el rescate y esperar que los ciberdelincuentes descifren realmente los archivos afectados, o pueden intentar la recuperación eliminando los archivos y sistemas infectados de la red y restaurando los datos a partir de copias de seguridad limpias. Desafortunadamente, negociar con los ciberdelincuentes es a menudo una causa perdida, ya que un informe reciente encontró que el 42% de las organizaciones que pagaron un rescate no consiguieron descifrar sus archivos.

7 Mejores Prácticas para protegerse de ataques de Ransomware

Estas son las 7 mejores prácticas de expertos en seguridad para prevenir un ataque de ransomware.

  1. Realizar Backups de los archivos importantes
    La forma más efectiva de manejar los ataques de ransomware es usar la regla de backup 3-2-1: mantenga al menos tres versiones separadas de datos en dos tipos de almacenamiento diferentes con al menos una fuera del sitio. Es imporatnte mantener al menos una copia de seguridad sin conexión de los datos almacenados en ubicaciones inaccesibles desde cualquier computadora potencialmente infectada, como unidades de almacenamiento externas desconectadas o la nube, lo que evita que el ransomware acceda a ellas.
  2. Actualizar periódicamente los sistemas, dispositivos y aplicaciones a la última versión disponible y aplicar los parches de seguridad: reducir las vulnerabilidades en tus sistemas operativos, navegadores y otras aplicaciones actualizándolos de forma tempestiva y con regularidad. Instalá las últimas actualizaciones de seguridad emitidas por los proveedores de hardware/software.
  3. Utilizar software antivirus, firewall y de protección contra código malicioso: este tipo de software de seguridad ayuda a bloquear el lanzamiento de malware que pueden dar origen a un ataque de ransomware.
  4. Proporcionar la menor cantidad de privilegios posible: utilizar una administración de acceso sólida para restringir el acceso injustificado y reducir la cantidad de puntos de acceso a través de los cuales el malware puede ingresar a tu organización. Desactivar los derechos de administrador para los usuarios que no los requieran. Otorgar a los usuarios los permisos de sistema más bajos que necesitan para realizar su trabajo. Controlar el acceso privilegiado y analizar su uso.
  5. Segregar las redes lógicamente: mitigar la pérdida de datos en caso de un ataque de ransomware separando tus redes según la tarea o el departamento. Desactivar los recursos compartidos de red innecesarios.
  6. Educar a los usuarios finales: capacitar regularmente a los usuarios (empleados, clientes, proveedores y demás colaboradores) sobre cómo identificar y evitar errores comunes de ransomware, como publicidad maliciosa, correos electrónicos de phishing, visitar sitios web que no sean de confianza ni seguir enlaces proporcionados por fuentes desconocidas o no confiables.
  7. Contratar un seguro contra riesgos cibernéticos: los mismos ayudan a reducir los riesgos financieros asociados con hacer negocios en línea. Las organizaciones son responsables de los daños derivados del robo de datos de terceros, por lo que, a cambio de una tarifa mensual o trimestral, la póliza de seguro transfiere parte del riesgo a la aseguradora.

Recurso Didáctico de CiberSergei para cómo saber si tu organización está preparada ante el Ransomware

CiberSergei se sumó a diversas iniciativas como la de Stop Ransomware de CISA (Cybersecurity & Infrastructure Security Agency del Gobierno de los Estados Unidos).

Se trata de completar un checklist para que podamos realizar un análisis de preparación ante ataques de ransomware. Son 18 consideraciones básicas (nivel inicial) que evaluaremos utilizando la herramienta Cyber Security Evaluation Tool (CSET®), desarrollada por expertos de Ciberseguridad de la Industria, para ayudar a identificar qué tan bien tu organización está equipada para defenderse y recuperarse de un incidente de ransomware.

De forma adicional a los resultados de la herramienta, te brindaremos recomendaciones y consejos prácticos aplicables a organizaciones de América Latina para mejorar tus defensas contra el ransomware.

    Completa los siguientes 9 dominios de seguridad con 18 consideraciones básicas para realizar el Análisis de Preparación ante Ataques de Ransomware de tu organización basado en CISA

    1. Backup de Datos Robusto (Copia de seguridad)
    1.1. Se realiza una copia de seguridad diaria de los sistemas y los datos importantes en una ubicación externa con la capacidad de restaurar varias versiones de al menos 30 días atrás?

    1.2. Se prueban las copias de seguridad de datos anualmente?

    2. Gestión del Navegador de Internet y Filtrado de DNS
    2.1. Se bloquea el contenido web malicioso mediante el filtrado de DNS a través de métodos como resolvedores de DNS y firewall (cortafuegos) de DNS?

    2.2. Se administra la configuración de seguridad del navegador web?

    3. Prevención y concientización sobre el phishing
    3.1. Se realizan ejercicios anuales que incluyen escenarios de respuesta de phishing?

    3.2. Están los usuarios capacitados para reconocer las amenazas cibernéticas como el phishing?

    3.3. Se filtra el correo electrónico para protegerlo contra contenido malicioso?

    4. Monitoreo del perímetro de la red
    4.1. Se monitorea el tráfico de la red de perímetro?

    5. Gestión de activos
    5.1. Se han inventariado los activos de hardware y software de la organización y se gestiona el inventario?

    5.2. La organización ha eliminado todo el hardware y software no compatible de su entorno operativo?

    5.3. Se utilizan configuraciones seguras documentadas y aprobadas para administrar los activos de hardware y software de la organización?

    6. Gestión de parches y actualizaciones (Patch & Update)
    6.1. Se repara todo el software accesible por internet para resolver vulnerabilidades en un plazo de 15 días para las vulnerabilidades calificadas como "críticas" y en 30 días para las vulnerabilidades calificadas como "altas"?

    6.2. Se repara todo el software accesible internamente y los firewalls para resolver vulnerabilidades en un plazo de 30 días, tanto para vulnerabilidades calificadas como “críticas” como para vulnerabilidades calificadas como “altas”?

    7. Gestión de usuarios y accesos
    7.1. Se implementan contraseñas fuertes y únicas en toda la organización?

    7.2. Se aplica el principio de privilegio mínimo a través de políticas y procedimientos?

    8. Integridad de la aplicación y Lista de Permitidos
    8.1. Existe una lista de software indebido (una "Lista de bloqueo") y está siendo bloqueando el software de esa lista?

    9. Respuesta a incidentes
    9.1. Ha desarrollado la organización un plan de respuesta a incidentes?

    9.2. La organización realiza ejercicios de respuesta a incidentes anuales que incluyen escenarios de respuesta al ransomware?

    Observaciones Adicionales (opcional)

    Cómo saber si tu organización está preparada ante el Ransomware: Conectando los puntos

    Analizar el grado de protección ante ataques de ransomware es como un espejo. Puede ser que no nos guste ver el resultado, pero no tiene sentido que discutamos con nuestro reflejo. Precisamos concentrar nuestros esfuerzos en aplicar las 7 mejores prácticas de protección ante ataques de Ransomware y mantenerse al día con las amenazas de seguridad actuales. Con esto podremos mitigar el riesgo de ransomware y mantener nuestros datos seguros.

    Frase para Guardar en el Bolsillo

    “El ransomware trata más de manipular vulnerabilidades en la psicología humana que de la sofisticación tecnológica del adversario” – James Scott

    Si querés conocer más recursos de CiberSergei para mejorar tu productividad, te invito a que explores la sección de Hacks de Productividad. Si querés enviar un mensaje a CiberSergei, visita la página de contacto aquí.

    Publicaciones Similares

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *