SEGURIDAD | Artículos | 18 SEP 2019

‘Ransomware’: la amenaza que no cesa

Protagonista de las amenazas durante el segundo trimestre del año, el ‘ransomware’ no para de evolucionar y de causar daños a usuarios y empresas. Con la novedad de que ningún dispositivo se encuentra ya a salvo de sus efectos.
Fortinet prevención Ransomware
Víctor Manuel Fernández

Pocas cosas causan tanto daño a una empresa que el ransomware. Quizás una inspección fiscal pueda estar a su altura, quizás. Y los últimos análisis revelan que su peligrosidad, lejos de disminuir, sigue aumentando.

Eso es, al menos, lo que atestiguan los investigadores de Kaspersky, que detectaron cerca de 16.000 nuevas modificaciones de ransomware durante el segundo trimestre de 2019, algunas incluidas en ocho nuevas familias de malware. Una cifra que dobla el número de amenazas detectadas hace un año por estas mismas fechas, cuando la cifra se situó en 7.620.

Y entre todos aquellos, WannaCry sigue siendo el rey, siendo el protagonista del 23,4% de los ataques registrados a usuarios entre abril y junio del presente año. Porque si bien Microsoft lanzó un parche dos meses antes del inicio de los ataques de hace dos años para cerrar la vulnerabilidad explotada por dicha amenaza en su sistema operativo, todavía permanece activo. De ahí que la compañía recomiende a sus usuarios la actualización periódica de dicho sistema operativo, no pagar rescate en caso de ser víctima y guardar copias de seguridad recientes de los archivos para reemplazarlos en caso de que se pierdan.

El escenario

“Hace ya más de dos años que hablar de ransomware es algo habitual en las empresas”, no duda en admitir Martín Trullas, director de Canal de Sophos iberia. Sobre todo, después de los muy mediáticos WannaCry y NotPetya, que tuvieron lugar a mediados de 2017, y que dieron mayor visibilidad a este grave problema de seguridad tanto para empresas como para usuarios particulares.

Desde aquellos hasta ahora, los ataques han evolucionado y también lo han hecho las tácticas para defendernos. “Así, vimos cómo SamSam el año pasado tuvo gran repercusión atacando de forma masiva a un número indeterminado de víctimas buscando volumen y un daño masivo. Hoy, los ataques son más avanzados, combinados y personalizados. Accediendo a través de una víctima concreta, consiguen moverse entre el resto de los equipos de la organización y expandirse hacia donde más daño creen que pueden hacer. Nadie está a salvo de ser víctima de uno de estos ataques, desde los CEOs, directivos o personas muy concretas dentro de la organización que manejen información sensible hasta cualquier usuario que pueda servir para abrir una puerta a la organización. Estos ataques los llevan a cabo personas, no máquinas, lo que les hace más impredecibles y complicados de detectar, aunque con las herramientas adecuadas y entrenando el sentido común, no es imposible”, completa el escenario dicho director de Canal.

Pero la cosa no acaba aquí, porque “también estamos viendo casos en los que los atacantes usan credenciales privilegiadas para encontrar y destruir copias de seguridad de datos, en las que las organizaciones suelen confiar para recuperarse del ataque y evitar pagar el rescate. Las copias de seguridad por sí solas ya no son suficientes, especialmente si las organizaciones ponen sus credenciales privilegiadas al alcance de los atacantes. Esto significa que las organizaciones pueden tener que elegir entre la pérdida completa de datos o el pago del rescate; tener que elegir entre la pérdida completa de datos o el pago del rescate”, apunta Albert Barnwell, Sales Manager para España y Portugal de CyberArk.

¿Concienciación? Pues como que no, oigan

Lamentablemente [las empresas] no lo son porque no se percibe [el ransomware] como lo que es: un crimen. Más claro que estas palabras de Ramsés Gallego, Strategist & Evangelist, Office of the CTO, Symantec, el agua. Y la explicación que nos aporta al respecto, también: “El ransomware supone una actividad delictiva desde el momento que se secuestran (no olvidemos lo terrible del verbo) activos de un tercero y se pide un rescate por su devolución. La percepción, lamentablemente, es que se trata de un problema técnico cuando, en realidad, es una amenaza para el negocio que impacta en la productividad, en la imagen pública de la compañía, en sus finanzas y, por último, en su reputación y confiabilidad (de clientes y empleados).

Y es así, y por consiguiente así hay que decirlo: la preparación para lidiar con este tipo de amenazas dista, y mucho, de ser la adecuada. “De hecho, nos encontramos con bastantes casos de empresas que, aun habiendo sido víctimas de esta amenaza, siguen sin adoptar unas medidas mínimas de seguridad y recuperación ante incidentes de este tipo”, advierte Josep Albors, responsable de concienciación e investigación en ESET España. El acabose, vamos.

Rey de reyes del ‘ransomware’

Una noticia buena y una mala. La buena es que no se puede hablar de una estrella en eso del ransomware, el rey de reyes como anunciamos en aquel ladillo. La mala, que hay para dar y tomar. “Todas las variantes de ransomware son peligrosas, pero aquellas que buscan propagarse por todos los dispositivos de la red y además usarlos en beneficio propio en actividades como la criptominería no autorizada o aquellas que aprovechan para robar información confidencial antes de cifrarla, supoen un mayor problema”, comenta Josep Albors.

Ahora, ¿cuál es el peor de todos? “La respuesta es sencilla: aquél que todavía está por venir ?se sincera José María Martín Cózar, Next Generation Technologies Manager, Tech Data Advanced Solutions?. Evidentemente, todos aquellos ransomware que han aparecido en el pasado están ya identificados, y también es posible detectar variantes de ellos, por lo que los sistemas de seguridad mínimamente sofisticados son capaces de protegernos. Pero como ocurre con el malware en general, lo que todavía no ha aparecido es de lo que más tenemos que preocuparnos, ya que a priori se desconoce su forma de actuación, así como qué tipo de acción va a efectuar: impedir acceso al sistema, cifrado de información, su exfiltración, etcétera.

Porque lo que impera es la obtención de dinero de la manera más sencilla posible, y ahí el ransomware se ha convertido en uno de los grandes chollos para los amigos de lo ajeno con conocimientos en tecnología. WannaCry, Petya, Non-Petya… son nombres ya grabados a fuegos en el subconsciente de muchas empresas. Algunas ya han sufrido sus efectos en sus infraestructuras y otras no, pero estas últimas no es que pongan mucho remedio para evitar ser pasto de su virulencia.

Puede leer aquí el resto del reportaje.



Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios