Ataque global de ransomware: la preparación es clave

Las empresas se han visto en apuros desde el viernes por la noche, cuando se difundió la noticia de que un ataque de ransomware llamado WannaCry estaba afectando a las organizaciones a un ritmo alarmante. En menos de 48 horas, ha afectado a más de 130 000 organizaciones en todo el mundo en más de 150 países. Los primeros informes de investigación sugieren que este malware en particular se encontraba entre las herramientas de la Agencia de Seguridad Nacional (NSA) utilizadas para explotar las vulnerabilidades del sistema Windows que fueron filtradas por WikiLeaks, para las que Microsoft había lanzado un parche hace más de dos meses. Los expertos esperan que se produzcan nuevos ataques debido a infecciones residuales del sistema, virus imitadores o el lanzamiento de malware adicional derivado de las filtraciones de la NSA. El reciente ataque podría haberse evitado con una actualización que Microsoft había puesto previamente a disposición de los usuarios de Windows.

A pesar de las advertencias y los recordatorios de actualización, las empresas suelen dejar de implementar las actualizaciones disponibles necesarias para proteger sus sistemas y datos frente a nuevas amenazas. Los piratas informáticos conocen este hecho y, por lo tanto, han lanzado el primero de lo que se espera que sean numerosos ataques derivados de las herramientas de la NSA, ahora publicadas. Como mínimo, este reciente suceso vuelve a poner de manifiesto la importancia fundamental de actualizar el software y los sistemas de seguridad de manera oportuna. Dada la gravedad de este ataque, Microsoft también ha lanzado parches de emergencia para versiones antiguas de Windows que ya no reciben soporte técnico. Para cualquier organización que utilice Windows, es fundamental asegurarse de que se han instalado todos los parches aplicables. El parche original y los parches de emergencia se pueden encontrar en: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598.

Muchos servidores y estaciones de trabajo Windows siguen siendo vulnerables y las organizaciones deben seguir aplicando los últimos parches de seguridad. Sin embargo, se esperan más compromisos con el inicio de la semana laboral.

El ransomware sigue siendo una amenaza legítima y viable

Aunque algunos expertos en seguridad predijeron que los ataques de ransomware disminuirían este año, eso no está sucediendo y la filtración de la NSA sugiere que habrá más ataques. Entidades como las corporaciones multinacionales, los hospitales o las empresas energéticas son objetivos atractivos para el ransomware debido a su capacidad para infectar múltiples ordenadores en una sola red y cifrar datos valiosos. Además, la actualización del software del sistema y los programas de seguridad puede ser más compleja y costosa para estas entidades, dado su gran tamaño, lo que las expone a ataques importantes basados en la vulnerabilidad de sus sistemas.

El ransomware es un tipo de software malicioso que se infiltra en sistemas informáticos o redes y cifra los datos hasta que la víctima paga un rescate, que a menudo se exige en bitcoins, una moneda imposible de rastrear. El rescate medio exigido en 2016 aumentó de 294 a 1077 dólares.^{1 La mayoría} del ransomware se propaga cuando un usuario hace clic en un archivo adjunto malicioso de un correo electrónico o en un hipervínculo. Dos de las amenazas de ransomware más importantes de 2016 («Locky» y «Cerber») se propagaron a través de campañas masivas de correo electrónico. Sin embargo, en este último ataque, el ransomware ha tenido más éxito a través de la autopropagación, es decir, al introducirse en las empresas y buscar e infectar automáticamente otros equipos vulnerables.

Medidas preventivas para mitigar el riesgo de un ataque de ransomware

Las empresas suelen ignorar el riesgo que supone el ransomware hasta que son víctimas de un ataque. Sin embargo, si adoptan una estrategia proactiva en lugar de reactiva e invierten en algunas prácticas defensivas clave, pueden reducir considerablemente la amenaza del ransomware. Un ataque generalizado de esta naturaleza debería servir como una llamada de atención directa a las empresas sobre la importancia de utilizar software compatible y mantenerlo actualizado. Es fundamental estar al día con los parches de los productos, especialmente cuando se trata de productos de Microsoft, dada su amplia implantación en las empresas. Es especialmente importante aplicar todos los parches relacionados con vulnerabilidades conocidas. Las organizaciones que habían aplicado los parches críticos de Microsoft Windows de marzo no eran vulnerables a WannaCry. Sin embargo, las filtraciones de la NSA revelaron un número alarmante de otras vulnerabilidades en Microsoft y otros productos. Varias de ellas, como WannaCry, han sido reveladas por hackers, lo que aumenta la probabilidad de que dichas vulnerabilidades sean explotadas al igual que WannaCry.

Además de una buena «ciberhigiene», que incluye parches y actualizaciones del sistema, la formación, capacitación y concienciación de los empleados sobre los ataques de phishing debería ser obligatoria, ya que el ransomware suele llegar a través de campañas de phishing. Para complementar dicha formación, hemos elaborado un documento que ayuda al personal a interiorizar buenas prácticas de seguridad, tanto en el trabajo como en casa: Lista de verificación de seguridad de la información individual.

Crear de forma proactiva copias múltiples, seguras y físicamente separadas de todos los servidores, aplicaciones y datos es una de las medidas preventivas más eficaces que resultarán vitales en caso de ataque. Los datos deben copiarse y protegerse periódicamente, de modo que las copias de seguridad no estén conectadas a los ordenadores y redes a los que dan soporte.

Para las empresas que aún no cuentan con un plan de respuesta ante incidentes que haya sido revisado, probado e implementado, ahora es el momento de probarlo e implementarlo.

Respuesta ante un ataque de ransomware

Aunque hay una serie de medidas preventivas que una empresa puede tomar para mitigar el riesgo de un ataque de ransomware, no existe una seguridad perfecta o impenetrable. Cualquier tipo de empresa, ya sea con sede en Estados Unidos o en el extranjero, está en riesgo y es potencialmente vulnerable a un ataque. Ninguna empresa es completamente inmune. Si una organización se encuentra en la desafortunada situación de sufrir un ataque de ransomware, hay una serie de prácticas recomendadas y medidas de respuesta que pueden y deben aplicarse de inmediato. Las medidas que se tomen durante los primeros minutos y horas tras el ataque son fundamentales y pueden reducir en gran medida el impacto global para la organización, así como su capacidad para recuperar sus sistemas y datos.

——————————————–

¹ INFORME SOBRE AMENAZAS A LA SEGURIDAD EN INTERNET 2017, vol. 22 (2017), disponible para su descarga enhttps://www.symantec.com/security-center/threat-report