Ransomware: ¿Cómo operan los cibercriminales?
Cuando escuchamos la palabra ransomware, automáticamente pensamos en una extorsión o un hackeo, pero en realidad puede ser mucho más complejo que eso. En algunos casos, este tipo de malware puede esconder un modelo de negocio gigantesco con grupos de cibercriminales y profesionales de la industria, lo que lo convierte en una amenaza muy grave para empresas y usuarios en todo el mundo.
Para comprender el mercado y funcionamiento de los grupos criminales, antes hay que contestar la siguiente pregunta.
¿Qué es un ransomware?
El ransomware es un tipo de malware que impide o limita el acceso a un sistema, ya sea bloqueando la pantalla o cifrando los archivos hasta que se pague un rescate. Este tipo de malware ha evolucionado constantemente implementando técnicas de extorsión (filtración de información), técnicas de ataque mucho más avanzadas (autorreplicación por red) y por último convirtiéndose en un servicio de alquiler.
¿Cómo operan los famosos ransomware gangs?
Ransomware gangs es un término coloquial en ciberseguridad para referirnos a las asociaciones de ciberdelincuentes que se dedican a crear y utilizar ransomwares. Estos grupos usan múltiples vectores de ataques para lograr su objetivo, desde un ataque spear-phishing, buscar vulnerabilidades o contratar personas que trabajen en el lugar que desean infectar.
Los dos últimos métodos son los más empleados en la actualidad y con mayor tasa de éxito, lo que ha ayudado a los cibercriminales a crear un modelo de negocio en el que involucran gente externa para realizar la infección.
Este modelo funciona como un servicio de alquiler para los afiliados, que pueden ser ciberdelincuentes o personas con acceso físico/remoto a la infraestructura de una empresa. Esto permite que los creadores del ransonware se enfoquen en la creación y mantenimiento del malware, mientras que las personas que no poseen habilidad o el tiempo para desarrollar su propia variante puedan atacar de forma rápida y asequible.
Estos servicios, que por lo general se ofrecen como kits, incluyen asistencia 24/7, capacitación de uso, herramientas y programa de referidos para invitar a más personas.
¿Cómo protegernos del ransomware?
Ahora que conoces como operan estos grupos y qué actividades realizan, es importante conocer cómo protegernos.
Usuarios
Aunque la mayoría de los ataques se den a empresas, nosotros como usuarios también podemos ser víctimas de este tipo de ataque. Es fundamental seguir algunas pautas para protegernos.
- Solo descargar información de sitios confiables: La principal vía de infección siempre será lo que descarguemos. Algunos ejemplos son cracks de Microsoft Office o juegos descargados de páginas misteriosas. Esos archivos pueden contener malware. El mejor antivirus es el sentido común.
- Mantén actualizados tus dispositivos: A todos nos molesta la notificación de Windows que nos pide actualizar el sistema o que al apagar el ordenador se comience a actualizar, pero esto es importante. La mayoría de las actualizaciones traen consigo parches a errores de seguridad.
- Utiliza un antivirus: Se que al comienzo dije que el mejor antivirus es el sentido común, pero somos humanos, podemos equivocarnos y descargar algo de una web no confiable. Por eso es importante utilizar un antivirus adicional a Microsoft Defender, esto nos ayudará a evitar problemas en el futuro.
Empresas
Hablar de prevención y protección contra un ransomware para empresas es un tema complejo y largo, así que trataré de explicar las bases que deben seguir las empresas.
Las organizaciones deben crear un protocolo anti-ransomware (P.A.R.). Este programa debe tener actividades como:
- Capacitaciones para los empleados: Es importante que los empleados estén al tanto de las posibles amenazas que pueden surgir y qué hacer para identificarlas y prevenirlas para no caer en ellas. Esto se consigue con capacitaciones constantes.
- Programar backups (respaldos): Toda empresa debe realizar copias de seguridad de sus archivos de manera automática y manual para proteger la integridad de los datos.
Mi consejo: si es una empresa que maneja un gran flujo de información al día, es recomendable que ejecute backups automáticos cada 15 días y manuales cada trimestre.
- Configurar roles de usuario: Es de suma importancia separar y restringir el acceso de los datos a todos los trabajadores. De esta forma evitaremos que, en caso de ataque, toda la información se vea afectada.
- Utilizar un protocolo para manipular la información: Esto funciona de modo preventivo y de protección. Es importante que las empresas que manejan información sensible apliquen protocolos estandarizados para manejar los datos y monitorear todo el proceso, desde creación hasta protección (ISO 27001).
- No pagues el rescate: Si has sido víctima de un ataque así, lo más recomendado es no pagar. Así evitamos financiar este tipo de operaciones.
¿Latinoamerica está preparada contra los grupos de ransomware?
No. Muchas gracias por llegar hasta aquí.
Hablando en serio. Por desgracia, en Latinoamérica existen muy pocas empresas o gobiernos que utilicen protocolos estandarizados y seguros para el manejo de información de sus usuarios. Ocurre que muchas empresas, bancos y gobiernos almacenan la información en archivos de texto plano, sin copias de seguridad y al alcance de todos. Esto facilita el trabajo de los delincuentes.
Pero no todo es malo, actualmente, la cultura tech en LATAM está creciendo y tomando buenas prácticas, por lo que cada día hay más empresas preparadas para afrontar estas amenazas.