El ransomware es un tipo de ataque que tiene como objetivo “secuestrar información” de la víctima. Los ciberdelincuentes logran esto utilizando software que encripta archivos y/o sistemas informáticos de modo de bloquear la disponibilidad de acceso a los mismos y la continuidad de las operaciones normales. Dejan un aviso y piden un “rescate” a cambio de información para recuperar la normalidad. El rescate es un pago que habitualmente se debe realizar en criptomoneda.
Existen diferentes variantes de ransomware y atacan a sectores como servicios, salud, financiero, gobierno, entre otros, sin dejar de lado alimentarias y automotrices. Es decir que nadie está exento de convertirse en víctima y tener que afrontar cuantiosas pérdidas económicas, no por pagar el rescate, que no garantiza nada, sino por los recursos necesarios para recuperar la disponibilidad de acceso a la información.
Un agravante del ataque tiene que ver con la exfiltración de información sensible previo a la pérdida de disponibilidad. Esta información la comercializarán y otros la utilizarán para planificar nuevos ataques posiblemente sobre la cadena de suministros.
El ransomware se propaga, como otros tipos de malware, por múltiples vectores. Algunos de ellos tienen que ver con campañas de spam, vulnerabilidades, malas configuraciones de software, actualizaciones de software falsas, canales de descarga de software no confiables y herramientas de activación de programas no oficiales.
La evidencia muestra que cotidianamente aparecen nuevas y mejoradas versiones que requieren de la asistencia de técnicas de ataques, como ingeniería social y otros malware, para ingresar en un sistema. Es por ello que debemos trabajar en la creación de una Internet segura y estar preparados para enfrentar la recuperación de las operaciones frente a un ataque de este tipo.
No estar preparado conduce a tiempos de recuperación de semanas e incluso meses, con las consiguientes pérdidas económicas.r
¿Cómo prevenir un ataque de ransomware?
- Bloquear el acceso remoto: Asegurarse de que los activos digitales no sean accesibles desde internet, a menos que sea absolutamente necesario y estén protegidos con una configuración segura.
- Crear un plan de respaldo a prueba de bombas: No solo hacer copias de seguridad; también hacerlas fuera de línea. Si el atacante no puede acceder a los backups, no puede secuestrarlos.
- Actualizar todo: Mantener el software y los sistemas operativos al día. Los parches de seguridad corrigen las vulnerabilidades que los atacantes usan para entrar. Si un equipo no puede ser actualizado, es hora de reemplazarlo.
- Limitar los permisos de acceso: No todos necesitan acceso a todos los servidores. Restringir los derechos de acceso a un grupo limitado de usuarios reduce drásticamente la superficie de ataque.
¿Qué hacer durante un ataque de ransomware?
- Mantener la calma: Evitar tomar decisiones apresuradas. Desconectar el equipo afectado de la red, pero no apagarlo. Apagarlo puede borrar información clave para una futura investigación.
- Ser discreto: No compartir información en redes sociales o con los medios de comunicación. La divulgación puede generar pánico y, en el caso de empresas, afectar el valor de sus acciones.
- No divulgar muestras: Evitar subir el malware a herramientas públicas de análisis, ya que podría exponer información confidencial de tu organización.
¿Qué hacer después de un ataque de ransomware?
- Aprender la lección: Una vez que la situación esté controlada, hacer una sesión de «lecciones aprendidas» para entender qué falló y cómo evitar una reinfección.
- Monitorear: Realizar un monitoreo exhaustivo de la red durante al menos tres meses para asegurarte de que no queden rastros del atacante.
- Cazar amenazas ocultas: Ejecutar ejercicios de búsqueda de amenazas avanzadas para identificar cualquier malware similar que pueda estar escondido en la red.
- Educar a tu equipo: Implementar una campaña de concientización para que todos en la organización entiendan la importancia de seguir los lineamientos de seguridad.
La batalla contra el ransomware es constante. La mejor defensa es una combinación de tecnología robusta y una cultura de seguridad digital consciente y bien informada.
Para más información, puedes consultar la fuente original en el siguiente enlace: https://blog.scilabs.mx/recomendaciones-en-2025-antes-durante-y-despues-de-un-incidente-de-ransomware/