El secuestro de datos, más conocido como ransomware, es una modalidad en la que un ciberatacante limita el acceso a diferentes archivos de un sistema operativo y pide dinero para quitar esa restricción.
Ante este tipo de situación, hay múltiples pasos y mejores prácticas que pueden mitigar este creciente problema. Por ejemplo, BeyondTrust presenta cinco recomendaciones que cubren todas las familias de ransomware y las herramientas modernas de extorsión cibernética.
1. Educación del usuario final
Es posible que el usuario medio no sea capaz de distinguir entre un correo electrónico normal, un ataque de phishing (método de engaño en el que el atacante se hace pasar por una institución de confianza mediante un mensaje de correo electrónico o una llamada y busca obtener contraseñas o número de tarjeta de crédito). Sin embargo, sí que entienden que si hacen clic en algo equivocado, pueden perder todo su trabajo y sus archivos o infectar su ordenador. Si se puede traducir la amenaza del ransomware en términos que el usuario medio pueda entender y recordar, entonces el elemento humano de la ingeniería social puede tener alguna estrategia de mitigación definible. Debemos instruir a los miembros del equipo sobre cómo verificar la fuente antes de continuar.
2. Copias de seguridad
Realizar copias de seguridad no es una recomendación preventiva, pero es la única que puede ayudarle cuando todo lo demás falla. Todos los datos deben tener una copia de seguridad y, lo que es más importante, deben estar protegidos de forma que los activos infectados no puedan comprometer la copia de seguridad a través de unidades mapeadas o recursos compartidos de red. La copia de seguridad también debe probarse periódicamente para garantizar que puede restaurar todos los archivos en un estado no infectado.
3. Desactive las macros
Algunos de los nuevos programas maliciosos basados en la extorsión se inspiran en antiguos virus informáticos que aprovechan las macros (acción o conjunto de acciones que se puede ejecutar todas las veces que desee, por ejemplo, grabación de clics del mouse y las pulsaciones de las teclas) de Microsoft Office. Esto no es fácil de resolver, porque muchas de nuestras hojas de cálculo y documentos dependen de las macros para satisfacer los requisitos de la empresa.
La configuración “Desactivar todas las macros excepto las firmadas digitalmente”, impedirá que se ejecute una macro sin una autoridad de certificación válida. Pero, es posible que no pueda habilitar esta configuración, ya que no todas las macros pueden estar firmadas. Siempre que sea posible, insista en que cualquier proveedor que proporcione software que contenga macros las firme y establezca un proceso interno para firmar las macros, de modo que esta configuración se pueda habilitar adecuadamente para todos y mitigar la amenaza.
4. Remediación
Como si la idea de un pez pescador no fuera lo suficientemente aterradora, un kit de explotación que comparte el mismo nombre se dirige a versiones antiguas de Flash y Silverlight. Según el informe de Verizon sobre las violaciones de datos, el 99% de los ataques se dirigen a vulnerabilidades conocidas. Aunque esta vulnerabilidad específica ha sido parcheada, muchas organizaciones no parchean ni verifican las aplicaciones de terceros con regularidad, por no hablar del propio sistema operativo.
Mantener el software a sus versiones más recientes no es nada nuevo, pero seguimos viendo software anticuado en entornos de producción. Es importante tener un calendario regular para evaluar su entorno en busca de software vulnerable y tener un proceso fiable para remediar cualquier hallazgo. Esto es lo básico en materia de seguridad.
5. Privilegios de usuario estándar
El ransomware se propaga aprovechando los privilegios de los usuarios para infectar los archivos que están dentro del alcance. Si el usuario sólo tiene derechos de usuario estándar, los únicos archivos visibles son los que pueda tener localmente o a través de una red compartida. Aunque el alcance de esto puede ser grande, puede ser mucho peor si el usuario tiene privilegios de administrador. Entonces, potencialmente todos los archivos visibles para un administrador están a su alcance y por lo tanto todo el entorno es potencialmente susceptible a una infección.
La mayoría del malware de extorsión cibernética requiere privilegios de administrador sólo para lanzarse e incrustarse en un sistema. Si se reducen los privilegios de un usuario a usuario estándar, el ransomware que intenta instalar una presencia persistente se ve generalmente frustrado porque no tiene los privilegios para instalar archivos, controladores o incluso acceder al registro.
“A medida que vemos un aumento preocupante del malware de extorsión cibernética, la ciberseguridad básica es la mejor defensa para proteger a su organización de convertirse en la próxima víctima. La defensa contra un ataque requiere un enfoque combinado, desde la eliminación de los derechos administrativos hastas el manejo de los casos de uso que aprovechan la ingeniería social, las macros y las vulnerabilidades”, concluye BeyondTrust.
