Ransomware ese gran conocido

¿Qué es el Ransomware?

El ransomware es un tipo de un software malicioso que  actualmente se está propagando de forma muy activa por internet. Su objetivo es infectar el equipo dándole al ciberdelincuente la capacidad de bloquear un dispositivo desde una ubicación remota y encriptar todos los archivos impidiendo el control de toda la información y datos almacenados. El virus con la promesa de devolver toda la información secuestrada pide el pago de un rescate, dicho pago se hace generalmente en moneda virtual (bitcoins por ejemplo).

¿Qué daños ocasiona?

El daño que ocasiona este tipo de malware es muy grave ya que puede afectar tanto a la confidencialidad, la integridad y la disponibilidad de la información y de los datos personales. Cabe indicar que en las Organizaciones el daño que puede provocar afecta tanto a los recursos de la propia organización (pérdidas financieras, imagen, clientes, etc) como a los derechos y libertades de las personas (como no poder acceder a los servicios sanitarios de un Hospital ante una urgencia médica, perdida irrevocable de sus datos personales, etc).

Asimismo, debemos de saber que si los daños y perjuicios ocasionados afectan a los derechos y libertades de las personas existe la obligación de notificar dicha brecha de seguridad a la autoridad de control dentro de las 72 horas siguientes a que el responsable sea consciente de que el hecho se ha producido.

¿Qué medidas preventivas podemos aplicar?

A continuación, vamos a exponer un listado de controles de seguridad recomendados por el Centro Criptológico Nacional que nos ayudaran a en orden de prioridad, para prevenir, detectar y/o mitigar parcialmente la acción de un ransomware:

  1. Mantener copias de seguridad periódicas (backups) de todos los datos importantes. Es necesario mantener dichas copias aisladas y sin conectividad con otros sistemas, evitando así el acceso desde equipos infectados.
  2. Mantener el sistema actualizado con los últimos parches de seguridad, tanto para el sistema operativo como para el software que hubiere instalado. Recordemos que el ransomware WannaCry afecto a miles de Organizaciones debido a no tener sus sistemas actualizados con los últimos parches de seguridad.
  3. Mantener una primera línea de defensa con las últimas firmas de código dañino (antivirus), además de disponer de una correcta configuración de firewall a nivel de aplicación (basado en whitelisting de aplicaciones permitidas).
  4. Disponer de sistemas antispam a nivel de correo electrónico, y establecer un nivel de filtrado alto, de esta manera reduciremos las posibilidades de infección a través de campañas masivas de ransomware por mail.
  5. Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el Ransomware (App Data, Local App Data, etc.). Herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit, permiten crear fácilmente dichas políticas.
  6. Bloquear el tráfico relacionado con dominios y servidores C2 mediante un IDS/IPS, evitando así la comunicación entre el código dañino y el servidor de mando y control.
  7. Establecer una defensa en profundidad empleando herramientas como EMET, una solución que permite mitigar exploits (incluidos 0-days) y que será descontinuada en 2018. Existe una guía para su correcta configuración, denominada Guía de Seguridad de las TIC CCN-STIC 950 “Recomendaciones de empleo de la herramienta EMET” [Ref.78]. Se propone, como alternativa, utilizar las herramientas que Windows 10 provee por defecto.
  8. No utilizar cuentas con privilegios de administrador, reduciendo el potencial impacto de la acción de un ransomware.
  9. Mantener listas de control de acceso para las unidades mapeadas en red. En caso de infección el cifrado se producirá en todas las unidades de red mapeadas en el equipo víctima. Restringiendo los privilegios de escritura en red se mitigará parcialmente el impacto
  10. Se recomienda el empleo de bloqueadores de JavaScript para el navegador, como por ejemplo «Privacy Manager», que impide la ejecución de todos aquellos scripts que puedan suponer un daño para nuestro equipo. De este modo reduciremos las opciones de infección desde la web (Web Exploit Kits).
  11. Mostrar extensiones para tipos de fichero conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de fichero.
  12. Adicionalmente, se recomienda la instalación de la herramienta «Anti Ransom», que tratará de bloquear el proceso de cifrado de un Ransomware (monitorizando «honey files»). Además, esta aplicación realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte se hallará la clave de cifrado simétrico que estuviera empleándose.
  13. Finalmente, el empleo de máquinas virtuales evitará en un alto porcentaje de casos la infección por ransomware. Debido a las técnicas anti-debug y antivirtualización comúnmente presentes en este tipo de código dañino, se ha demostrado que en un entorno virtualizado su acción no llega a materializarse.

Certificarse en un Sistema de Gestión de la Seguridad de la Información (SGSI) como la norma ISO 27001 puede ayudar a prevenir infecciones de malware, incluido el ransomware. La certificación ISO 27001 es una norma reconocida internacionalmente que establece requisitos para establecer, implementar, mantener y mejorar un SGSI dentro de una organización

Sueca. CP 46410 València
96 203 41 21