Protege tus archivos tomando medidas para prevenir verse afectado por un ataque de ransomware. En LegalTech además de ayudarte a adaptar tu empresa al RGPD, mediante los protocolos y documentación que exige la ley, también formamos a nuestros clientes para proteger su activo más importante, sus datos. Por eso hoy venimos a contaros que es un ransomware y que medidas debemos aplicar para evitar un ataque de este tipo, o al menos, minimizar al máximo su impacto.
El ransomware es un tipo de malware que entra en nuestro sistema y realiza un encriptado de los archivos dejando totalmente bloqueado el sistema de forma indefinida. Posteriormente, el atacante amenaza a la víctima con borrar los archivos y/o publicar el contenido al que han tenido acceso.
Este tipo de ataques se han convertido en el quebradero de cabeza de las administraciones públicas y de muchas entidades privadas que se han visto afectadas.
La importancia de estar prevenido ante un posible ataque de ransomware
Uno de los últimos casos más famoso de ataque de ransomware ha sido el del Hospital Clínic de Barcelona realizado por un grupo delictivo que se hace llamar “Ransom House”. Tras encriptar el sistema informático del Clínic y dejarlo totalmente inoperativo, ahora el grupo exige un total de 4,5 millones de euros.
Para lograr que un ransomware encripte un sistema se puede realizar a través de diferentes métodos, pero algunos de los más habituales son: aprovecharse de usuarios que utilizan programas pirateados, mediante archivos adjuntos o enlaces webs en correos electrónicos, por descargas automáticas al visitar sitios webs infectados, entrando en anuncios de publicidad engañosa o a través de unidades USB infectadas.
Independientemente de cómo se propague el ransomware, podemos prepararnos para minimizar los efectos en caso de que nuestro sistema se vea afectado por un ataque de este tipo.
Algunos de los controles que deberíamos aplicar para tratar de evitar un ataque de ransomware o, al menos, minimizar el impacto en nuestra entidad en caso de que se produzca son los siguientes:
1. Mantener el sistema actualizado
Se deben actualizar todos los sistemas operativos de los diferentes equipos y sus aplicaciones de forma regular.
Es recomendable establecer un protocolo de actualizaciones y realizar un seguimiento activo.
2. Establecer mínimos privilegios
Aplicar el principio de mínimo privilegio a todo el sistema y a los diferentes servicios de la entidad para que los usuarios solo tengan acceso a lo necesario para realizar su trabajo diario. Crear una regla que restrinja la instalación de programas en los equipos por parte de los usuarios.
Es aconsejable realizar una revisión periódica para borrar cuentas de usuario que no sean necesarias.
3. Implementar doble factor de autenticación
En la medida de lo posible se debe emplear el doble factor de autenticación en todos los servicios utilizados por la entidad que lo permitan. Por ejemplo, en el correo web, en redes privadas virtuales, en cuentas de acceso de sistemas críticos, etc ….
4. Segmentación de la red
Realizar una segmentación de la red de nuestra entidad puede llegar a ser realmente importante tanto para minimizar el daño producido por un ataque de ransomware como para evitar filtraciones de datos.
Cuando un ransomware infecta un sistema y comienza a moverse por la red, si nuestra entidad dispone de una red segmentada evitaremos que la amenaza se propague a otros puntos.
5. Realizar copias de seguridad:
Establecer un plan de copias de seguridad efectivo de forma que al menos dos de las copias realizadas permanezca totalmente desconectada físicamente de la red y ubicadas en dispositivos de almacenamiento diferentes.
La idea es ponerse en el peor de los casos y si el ataque de ransomware llega a materializarse, que seamos capaces de restaurar los datos afectados sin ningún tipo de problema.
6. Revisar puertos
Revisar algunos de los puertos más comunes utilizados en los ataques de ransomware y en caso de que actualmente la entidad no los esté utilizando, se deben cerrar o realizar las pertinentes configuraciones de seguridad.
Entre los puertos más frecuentes utilizados en ataques destacamos el puerto 3389 de RDP, el puerto 22 de SSH y los puertos 139 y 445 SMB.
7. Concienciar al equipo que trabaja con el sistema
A diario parte de la seguridad del sistema está en manos de los empleados por lo que es recomendable realizar tareas de concienciación entre el equipo de trabajo.
8. Desarrollar políticas de respuesta a incidentes
Crear una política y darla a conocer a los empleados para que sepan cómo detectar intentos de ataque de ransomware y sepan cómo actuar en caso de que se materialicen dichos ataques. Se debe establecer como realizar las comunicaciones lo antes posible tanto al administrador del sistema, cuando exista alguna sospecha, como a nuestros contactos en caso de que el ataque se llegue a materializar.
9. Implantar un Sistema de Detección de intrusiones (IDS)
Considerar la implantación de un IDS con el que poder detectar la actividad maliciosa que se produzca en la red, en algunas ocasiones previa a los ataques de ransomware.
En definitiva, es fundamental tomar medidas preventivas para proteger nuestros archivos y evitar caer en manos de los ciberdelincuentes. La prevención es la clave para evitar situaciones desastrosas como la sufrida por el Hospital Clínic de Barcelona. Por lo tanto, es importante estar siempre alerta y aplicar medidas de seguridad para evitar ser víctimas de este tipo de ataques.