Blog Grupo CFI

Cómo proteger a tu empresa de un ataque de ransomware

Escrito por Julio César Miguel Pérez | Jun 22, 2021 4:01:21 PM

Introducción

La Agencia Española de Protección de Datos (AEPD) recientemente ha comunicado que se han notificado, aproximadamente, 700 brechas de seguridad en lo que llevamos de año. Así lo publicaba el 31 de mayo en su perfil de Twitter.

 

En el último informe publicado por la AEPD “Informe de notificación de brechas de seguridad durante abril de 2021”, también podemos encontrar diferentes datos estadísticos que nos hacen reflexionar sobre el preocupante aumento de los ciberdelitos, principalmente los de tipo ransomware.

 

Fuente: AEPD “Informe de notificación de brechas de seguridad durante abril de 2021”.

 

Durante el mes de abril se han notificado 158 brechas de seguridad en el ámbito nacional. Esto no quiere decir que solo se haya producido este número, puesto que muchas de ellas no se notifican. Los dos motivos principales por los que una brecha de seguridad no se notifica son:

  1. Desconocimiento de la obligatoriedad de su notificación

  2. No conocen el procedimiento a seguir para notificarlas

En esta tabla también podemos apreciar el número de brechas de seguridad que se han producido desde el año 2019, con una tendencia al alza en el número de notificaciones de brechas de seguridad acumuladas de abril de 2020 a abril de 2021.

Fuente: AEPD “Informe de notificación de brechas de seguridad durante abril de 2021”.

 

En abril, las empresas que más brechas de seguridad notificaron fueron las empresas privadas.

La mayor parte de las brechas producidas fueron provocadas por factores externos de manera intencionada. También debemos destacar el número de brechas (22) que se han producido de manera no intencionada, pero provocadas internamente. Esto nos hace reflexionar que a los trabajadores de las empresas les falta formación en ciberseguridad.

 

 

¿Qué es un ransomware?

En términos generales, un ransomware es un tipo de malware que impide a los usuarios acceder a los sistemas infectados, así como a sus datos, archivos y a toda la información que se encuentre en el dispositivo. Generalmente los ciberdelincuentes suelen pedir un rescate para devolver al usuario el control de su sistema.

El término “ransomware” proviene de la palabra inglesa “ransom” que significa “rescate”. La traducción al español de este término sería “secuestro de datos”. 

Un ransomware es un software extorsivo. La finalidad de esta clase de malware es impedir que el usuario utilice el dispositivo infectado hasta que no pague un rescate. Este pago puede realizarse a través de criptomonedas o por tarjeta de crédito. Como dato curioso, en los años 80, apareció el primer ransomware y, el pago de los rescates se efectuaba a través de correo postal.

 

¿Qué es un malware?

El término “malware” proviene de la combinación de los conceptos “software” y “malicioso”. Este término contempla todas la acciones y ataques maliciosos, realizados a través de archivos y aplicaciones malignas, con el fin de comprometer y eliminar la seguridad de los dispositivos. 

 

Tipos de ransomware

Podemos clasificar los diferentes tipos de ransomware en función de la gravedad de las acciones que realicen. Partiendo de esta clasificación podemos agruparlos en tres tipos:

  1. Scareware: es el ransomware de menor riesgo. Suele consistir en mensajes emergentes que informan de que se ha detectado un ransomware y que debe pagar un rescate para eliminarlo. En la mayor parte de las ocasiones, sus archivos estarán a salvo. 

  2. Bloqueadores de pantalla: este tipo de ransomware bloqueará la pantalla del dispositivo impidiendo el acceso a tus archivos. Para recuperar el control se debe pagar el rescate solicitado.

  3. Ransomware de cifrado: es el más peligroso de los tres. Su modus operandi consiste en secuestrar los archivos del usuario y cifrarlos, exigiéndole que si los quiere recuperar deberá pagar cierta cantidad.

 

¿Cómo se producen los ataques de ransomware?

El desencadenante de que un ransomware ataque a un dispositivo suele ser por dos motivos:

  1. Por falta de medidas de seguridad

  2. Porque el usuario no tiene la formación adecuada

Normalmente, casi todas las empresas tienen medidas de seguridad en sus dispositivos, algunas más eficaces que otras, por ello, debemos ser conscientes de que por muchas medidas de seguridad que tenga una entidad, si el usuario no tiene la formación necesaria para identificar una acción fraudulenta, esas medidas no servirán para nada. Por algo se dice que el usuario es el eslabón más débil de la cadena de ciberseguridad. 

Para que un ransomware infecte un dispositivo, éste se debe introducir en el sistema operativo, la acción más común es a través de la descarga de un archivo que contiene el ransomware, y que, generalmente recibimos a través del correo electrónico de una dirección conocida. Una vez que este mal está en el dispositivo, dependiendo del tipo de ransomware que sea, cifrará todo el sistema operativo o solo una parte de él. Una vez que la información está cifrada, se solicita un rescate, generalmente en criptomonedas o por tarjeta de crédito.

 

 

Consecuencias de sufrir un ransomware

La principal consecuencia de ser víctima de un ransomware es la paralización de la actividad de la empresa. El ransomware puede infectar un dispositivo, y si éste está conectado a una red que conecta todos los dispositivos, el ransomware se propagará entre todos ellos. Un claro ejemplo de ello fue el ataque a la Cadena SER en noviembre de 2019. Donde el ransomware afectó a todos los dispositivos a nivel nacional, provocando la desconexión de éstos, y que solo pudiera emitir Cadena SER Madrid. A la entidad le costó semanas retomar la actividad y meses volver a la normalidad después de ser víctima de este ransomware de cifrado.

A la paralización de la actividad y la tardía vuelta a la normalidad habría que añadir las pérdidas económicas, y en el mejor de los casos la posterior inversión en medidas técnicas de seguridad y formación a los empleados. En el peor de los casos, hay empresas que no consiguen solventar estos ataques, y quiebran.

 

¿Quieres conocer como desarrollar una Auditoría de Ciberseguridad y Protección de Datos?

Descarga este completo eBook y conoce los detalles

 

 

¿Cómo protegernos de un ransomware?

Para poder protegernos adecuadamente de un ransomware es necesaria una inversión de tiempo y dinero, así como realizar un trabajo de concienciación acerca de las medidas que se deben tomar para proteger la empresa y a sus trabajadores.

Debemos tener en cuenta que no todas las empresas necesitan las mismas medidas de seguridad, por lo que habría que consultar con especialistas en la materia, que nos asesorasen cuales son las más adecuadas y eficaces para nuestra entidad y sector de actuación. 

Invertir en formación es una de las medidas de seguridad más necesarias para evitar ciberataques. Los empleados deben tener formación en ciberseguridad. La formación más adecuada es la que contiene los principales conocimientos en ciberseguridad, y aquellos que aplican las medidas de ciberseguridad en el sector de actuación de la organización. Aquí debemos destacar el concepto “hardening de usuarios”, el cual consiste en reducir las posibles vulnerabilidades relacionadas con el usuario para así proteger los sistemas operativos que utiliza.

 

 

Hardening de usuarios

En este apartado queremos destacar el concepto de “Hardening de usuarios”. El término inglés, hardening hace referencia al proceso de proteger un sistema reduciendo sus vulnerabilidades o fallos de seguridad.

El hardening de usuarios nació en 2016 cuando se creó la plataforma online “Smartfense”, cuya finalidad es la concientización y entrenamiento en seguridad de la información. 

Ahora bien, ¿cómo hacemos hardening de usuarios?

A través de la formación y la concienciación de los empleados es la manera adecuada de alcanzar el objetivo principal del hardening de usuarios, reducir las vulnerabilidades que los usuarios poseen de manera natural.

Fomentando el hardening de usuarios conseguiremos que las opiniones, comportamientos y conocimientos de aquellos que componen nuestra empresa sean seguros. 

Para llevar a cabo este proceso es necesario medir las opiniones, comportamientos y conocimientos de los empleados para conocer el estado en el que se encuentra la seguridad del personal. Dichos comportamientos se miden con simulaciones de ciberataques, como ransomware y phishing, para así conocer cómo actuaría el usuario que lo recibe.

Las opiniones y conocimientos de los empleados se medirían a través de encuestas y/o exámenes. Una vez obtenidos los resultados, debemos representarlos en los llamados “Human Risk Photograph” o fotografía de riesgo. Los indicadores representados en éstos fueron creados por “Smartfense”.

Una vez conocido el estado en el que se encuentra la capa humana de nuestros trabajadores debemos comenzar a alcanzar el objetivo del hardening de usuarios, concienciar y capacitar.

Concienciaremos y capacitaremos a nuestros empleados de la seguridad en los procesos de trabajo a través de una formación continua. Esta formación no es suficiente con impartirla una vez, sino que tiene que ser un proceso constante de fortalecimiento, a través de documentos informativos, charlas...

Para completar el proceso de hardening de usuarios, debemos analizar los resultados que vayamos obteniendo cada vez que realicemos una acción de concienciación y capacitación. Si los resultados son positivos, el riesgo de sufrir un ciberataque interno y no intencionado disminuirá gracias al hardening de usuarios.

 

Conclusión

Tenemos que tener en cuenta que, se pueden tomar muchas decisiones y realizar diferentes acciones para disminuir el riesgo de exposición a un ciberataque.

Retomando el tema principal del blogpost, no debemos olvidar que un ataque de ransomware, sea o no muy grave, perjudicará a la empresa. Recordemos que una vez que los ciberdelincuentes se hacen con el control del sistema operativo y lo encriptan, solo tenemos una solución, pagar el rescate que nos piden. Y debemos tener muy presente que, a día de hoy, no existe ningún software de seguridad ni de restauración de un sistema operativo capaz de descifrar el código de ransomware con el que se ha cifrado el sistema.

Podemos pensar que cuando paguemos el rescate volveremos a tener inmediatamente el control nuestros sistemas, pero, estamos equivocados. Los ciberdelincuentes no nos proporcionan ninguna garantía de que cuando paguemos lo que nos piden, nos devolverán el acceso a nuestros dispositivos, dándonos el código de descifrado del ransomware con el que han infectado nuestros sistemas.

Cuando anteriormente hemos hablado de las brechas de seguridad, tenemos que tener claro que éstas solo hacen referencia a aquellas que han sido notificadas a través de los diferentes canales de la AEPD. Muchas de las brechas que ocurren a pequeñas y medianas empresas no son notificadas a la autoridad de control correspondiente.

Con los datos expuesto a lo largo de este blogpost, las empresas deberían comenzar a tomar decisiones, como implantar medidas de protección, crear una cultura en ciberseguridad, fomentar el hardening de usuarios y proporcionar la formación a sus trabajadores. En Grupo CFI ofrecemos desde hace 15 años soluciones en ciberseguridad y protección de datos a todo tipo de empresas, así como la formación necesaria para sus trabajadores, a través del Instituto Superior de Ciberseguridad. 

 

Solicita presupuesto sin compromiso