En la lucha contra el “ransomware”: 10 cosas para hacer en el caso de un ataque

by  Publicado porACFCS -

El ransomware, secuestro de archivos a cambio de un rescate, que hasta hace muy poco era una amenaza menor en el scenario de los ciberdelitos, se ha convertido en un problema mayúsculo en los últimos años.

Los grupos dentro de la delincuencia organizada, e incluso los delincuentes extranjeros de nivel inferior, han sido capaces de embaucar a grandes empresas, empresas de atención médica, hospitales, bufetes de abogados e incluso los mismos funcionarios encargados de investigar este tipo de delitos.

En su esencia, el ransomware es un tipo de software malicioso que encripta los archivos de los usuarios o bloquea el acceso a sus sistemas informáticos hasta que el usuario pague al criminal una comisión para liberar estos archvos, rescate que en la mayoría de los casos es pagado con moneda virtual que es difícil de ser rastreada, como por ejemplo Bitcoin.

Este tipo de esquema de explotación apunta y aprovecha tanto las debilidades humanas inherentes como las vulnerabilidades técnicas, como un sistema informático o programa antivirus desactualizados, o un firewall con fallas.

En mayo de 2016, el FBI informó que las infecciones de ransomware causaron pérdidas de más de US$1.600 millones en 2015 para individuos y empresas de todos los tamaños, según la American Bankers Association.

Es por eso que la Asociación de Especialistas Certificados en Delitos Financiero (ACFCS, por sus siglas en inglés) ha resumido las cosas que puede hacer antes, durante y después de un ataque de ransomware para ayudar a sobrevivir y recuperar sus datos.

  1. Utilizar firewalls y programas antivirus, y mantenerlos al día: en algunos casos, los hackers usan vulnerabilidades de seguridad en un sistema y mantenerlo como rehén, en particular si no encuentran acceso a información financiera o de cuentas bancarias. Algunas personas incluso se olvidan de simplemente hacer clic en su firewall en Windows o posponen la actualización de software antivirus, lo que estaría invitando a un desastre.

 

  1. No haga clic en lo que no sabe: la mayoría de la gente sabe que tiene que ser cautelosa con un extraño correo electrónico diciéndoles que actualicen su contraseña bancaria. Pero los criminales son cada vez más creativos. Ese correo electrónico puede parecer que provino de un empleado de TI o de Microsoft o alguna fuente oficial. Haga clic con el botón derecho del mouse en la fuente del correo electrónico y asegúrese de que no se trata sólo de un sitio similar a su empresa o Microsoft. Si no está seguro, envíe un correo electrónico a su especialista de TI y pregúntele si provino de él o ella. Lo más probable es que no sea así. Evite habilitar macros de archivos adjuntos de correo electrónico. Si un usuario abre el archivo adjunto y activa los macros, el código incrustado ejecutará el malware en la máquina.

 

  1. No haga clic en lo que usted no sabe, parte 2: si está haciendo cosas normales en Internet, no se debería cruzar con algo que le insta a «inmediatamente» actualizar su navegador de chrome o, también de manera urgente, actualizar su Adobe PDF o algo así. Sólo cierre la ventana. Explore todos los archivos ejecutables de Internet antes de instalarlos en su computadora. Y si aparece el cuadro preguntándole si desea instalar el sistema que no está intentando instalar, haga clic en no. Tampoco debe obtener una página diciéndole que su cuenta bancaria, Facebook o la cuenta de Instagram han sido vulneradas y usted necesita llamar a un ingeniero de «Microsoft» y curiosamente tiene el número para que usted llame en la misma página que no desaparece.

 

  1. Asegúrese de guardar los archivos: utilice un servicio de terceros o, mejor aún, realice una copia de seguridad de su sistema y archivos y programas importantes en un disco duro externo que no esté conectado a ninguna de sus redes. Asegúrese de probar sus copias de seguridad periódicamente para tener certeza de que estén actualizadas. Hágalo mensualmente o al menos cada pocos meses.

 

  1. Ante un ataque, desenchúfese: si usted es atacado, desenchúfese de la energía eléctrica y de Internet. Si el ataque es capaz de obtener acceso a su computadora, desenchufarse hará más difícil la tarea de extraer más datos de su sistema. Si ve una nota de ransomware y no puede hacer clic para deshacerse de ella y el sistema no responde, desenchufe lo más rápido posible y vuelva a instalar desde una copia de seguridad.

 

  1. Conozca su enemigo, pero desde un sistema limpio: si quiere intentar averiguar qué tipo de ransomware le está atacando, no use la misma computadora u otras en su red, ya que puede correr el riesgo de una infección adicional de otros sistemas. Utilice una computadora limpia en otra red e intente ver lo que otros han hecho para descifrar el cifrado, limpiar su sistema o averiguar qué soluciones están disponibles.

 

  1. No pague, o terminará pagando más: en los ataques de ransomware, incluso si la persona paga, los atacantes pueden todavía retener a algunos o todos sus sistemas como rehenes o atacar de nuevo en otro momento, comenzando el ciclo de nuevo. Recuerde que sin importar qué tan serios y prolijos estos delincuentes hacen parecer, siguen siendo criminales y sólo quieren su dinero.

 

  1. No otorgue permiso a los atacantes, restrinja los permisos: construya su sistema pensando en que solo ciertas personas con ciertos derechos, privilegios y contraseñas pueden acceder o hacer cambios a las partes más críticas de la computadora o la red. De esta forma, puede limitar la capacidad de los usuarios para instalar y ejecutar software no deseado, lo que puede impedir la propagación de malware a uno o más equipos. El mantra debe ser el privilegio más bajo obtiene menos acceso al sistema.

 

  1. Encontraron fallas en su sistema, ahora busque defectos en los de ellos: si no hizo una copia de seguridad de su sistema, podría haber algunas opciones para desbloquear y recuperar sus datos. Algunas variantes de ransomware, aunque parezan blindados y herméticos, tienen vulnerabilidades en la forma en la que implementan el cifrado utilizado para bloquear sus archivos.

 

  1. Como último recurso, saque los grandes cañones y diga no al pago de ese rescate: una colaboración entre Intel Security, Kaspersky Lab y Europol se llama No More Ransom! Tiene una serie de herramientas de descifrado para ransomware que han sido preparadas por los investigadores. El sitio es www.nomoreransom.org.

Reconocimientos y recursos adicionales:

http://ransomware.phishme.com/

http://www.aba.com/Tools/Function/Cyber/Pages/Ransomware.aspx

https://security.berkeley.edu/faq/ransomware

https://us.norton.com/yoursecurityresource/detail.jsp?aid=rise_in_ransomware

http://avien.net/blog/ransomware-resources/