Centro de información

¿Qué es el ransomware?

Piense en Simon, el representante de ventas principal de una empresa mediana. Y va camino de convertirse en el mejor vendedor del mes por segundo mes consecutivo, lo que le hará ganar otra bonificación de 1000 dólares.

Mientras está en una llamada con un cliente potencial, Simon oye una notificación de correo electrónico y la atiende. Aunque el remitente no le es conocido a primera vista, parece un viejo prospecto que revive su interés. Entusiasmado, Simon abre el correo electrónico y los archivos adjuntos sin pensarlo.

Al hacerlo, acaba de permitir que el ransomware entre en la red de su empresa. Y a menos que la empresa pague un cuantioso rescate, no podrá acceder a sus datos.

Lamentablemente, así es como la mayoría de las empresas aprenden sobre el ransomware. Pero para entonces, a menudo es demasiado tarde. Con el aumento diario de los casos de ransomware, debe tomar las medidas necesarias para salvaguardar su organización.

Y si cree que su empresa no es lo suficientemente grande como para ser un objetivo o tiene poca exposición, piénselo de nuevo. De media, el oficinista estadounidense recibe 121 correos electrónicos al día. Según los datos, casi la mitad de todos los emails enviados califican como spam.

Teniendo en cuenta que los correos electrónicos de spam son los principales vectores del ransomware y otros programas maliciosos, ese debería ser motivo de preocupación, independientemente del tamaño de su empresa.

En este artículo, hablaremos de lo siguiente:

  • ¿Qué es el ransomware?
  • Tipos de ransomware
  • El impacto de los ataques de ransomware
  • ¿Cómo prevenir los ataques de ransomware?
  • ¿Dónde obtener ayuda para la prevención contra ransomware?
  • Pasos a seguir tras un ataque de ransomware

¿Qué es el ransomware?

El ransomware es un tipo de malware (software malicioso) que pone en riesgo a su empresa al tomar sus datos como rehenes. Los ciberdelincuentes obtienen acceso a su red y cifran los archivos importantes, lo que los hace inaccesibles.

Para recuperar el acceso a sus datos, hay que pagar a los delincuentes un rescate, normalmente en criptomoneda. E incluso si paga el rescate, no hay garantía de que vaya a recuperar los datos. De hecho, algunos programas de ransomware eliminarán los datos si no reciben el pago dentro de un plazo determinado.

El ransomware es un problema grave para las empresas de todos los tamaños. Estas son algunas estadísticas sobre ataques de ransomware que debe conocer:

  • Se espera que el costo mundial del ransomware aumente significativamente en los próximos diez años, aumentando de 20 mil millones de dólares en 2021 a 265 mil millones de dólares en 2031
  • En 2021, el ransomware infiltró el 37 por ciento de todas las empresas y organizaciones
  • El costo promedio de recuperación después de un ataque de ransomware en 2021 fue de 1,85 millones de dólares.
  • Del 32 por ciento de las víctimas de ransomware que pagan el rescate, solo el 65 por ciento recupera sus datos
  • Tras un ataque de ransomware, una copia de seguridad solo consigue recuperar los datos del 57 por ciento de las empresas

Tipos de ransomware

Existen varios tipos de ransomware, cada uno con su método para infectar los sistemas y mantener los datos como rehenes. Los tipos más comunes de ransomware incluyen:

  • Bloqueadores de pantalla: Como su nombre indica, los bloqueadores de pantalla bloquean el dispositivo o la cuenta. Para desbloquearlo, hay que pagar un rescate. Este tipo de ransomware no es tan común como antes.
  • Ransomware de encriptación: este tipo de ransomware es el más común y peligroso. Cifra los datos, haciéndolos inaccesibles sin una clave. La clave solo pueden suministrarla los ciberdelincuentes, y hay que pagar un rescate para obtenerla.
  • Ransomware MBR: el ransomware MBR se dirige al registro de arranque maestro, donde la computadora almacena información sobre cómo arrancar. Este tipo de ransomware puede hacer que su equipo quede inutilizable. La única manera de solucionarlo es pagar el rescate y esperar que los ciberdelincuentes le den la clave de descifrado.
  • Ransomware híbrido: el ransomware híbrido es una mezcla de cifrado de ransomware y ransomware de bloqueo de pantalla. Bloqueará el dispositivo o la cuenta y cifrará los datos. La única manera de obtener acceso al dispositivo o a los datos es pagar un rescate.

El impacto de los ataques de ransomware

Los ataques de ransomware pueden impactar de forma significativa en su negocio, tanto a nivel financiero como de reputación.

Financieramente, el ransomware puede costarle mucho dinero a su empresa. El costo promedio de recuperación de un ataque de ransomware es de 1,85 millones de dólares. Y si no tiene una copia de seguridad de sus datos, podría tener que pagar el rescate para recuperarlos.

En el futuro, un ataque de ransomware puede dañar la reputación de su empresa. Los clientes pueden perderle la confianza y pasarse a otro proveedor. Y si sufre el cifrado de datos confidenciales, es posible que se le solicite que revele el incidente, lo que perjudicará aún más su reputación.

Las mayores amenazas de ransomware hasta la fecha

En los últimos años se han producido algunos ataques importantes de ransomware que han causado daños importantes. Estos son tres de los más grandes:

1.  WannaCry

WannaCry es un tipo de software malicioso que cifra los archivos y exige un rescate para descifrarlos. Aprovecha una falla de seguridad en el protocolo SMB de Windows. WannaCry se puede propagar entre computadoras, infectando otros equipos con los que entra en contacto.

WannaCry es un programa autónomo que parece una descarga normal. Este programa extrae los archivos del malware que contienen las claves de cifrado, el software de descifrado y el programa de comunicación Tor. Los atacantes no dificultan la identificación de WannaCry, por lo que es fácil encontrarlo y eliminarlo sin problemas.

Solo en 2017, el virus llegó a 230 000 máquinas en 150 países y provocó daños por un valor estimado de cuatro mil millones de dólares. El ataque de WannaCry fue una llamada de atención para muchas organizaciones acerca de la importancia de corregir vulnerabilidades de seguridad y tener buenas copias de seguridad.

2.  Petya y NotPetya

Petya es un virus que solo afecta a las computadoras con Windows. El proceso requiere obtener el permiso del usuario para el acceso a nivel de administrador. Después de eso, reinicia la computadora y muestra una pantalla de bloqueo falsa mientras cifra toda la tabla maestra de archivos (MFT) del disco duro en segundo plano.

Posteriormente, los atacantes crearon NotPetya, una variante de Petya, pero más peligrosa porque podía propagarse sin ayuda. El ransomware NotPetya se aprovechó de vulnerabilidades conocidas en el protocolo de transferencia de archivos SMB de Windows, llamadas EternalRomance y EternalBlue.

A partir de ahí, infecta cualquier equipo con Windows conectado al dispositivo primeramente infectado. NotPetya no sólo cifra discos duros enteros, sino que se asegura de que no se puedan recuperar, incluso si se paga el rescate.

3.  Ransomware Maze

Maze es un tipo de software malicioso que cifra los archivos y exige un rescate para descifrarlos. Aprovecha una falla de seguridad en el protocolo SMB de Windows. El ransomware Maze se puede propagar a través de los equipos, infectando otros equipos con los que entra en contacto.

Se hizo muy conocido por divulgar información confidencial de sus víctimas, especialmente de organizaciones sanitarias. Durante ese tiempo, los atacantes pudieron robar más de 100 GB de archivos. Entre sus víctimas más recientes se encuentra la Corporación Xerox.

4.  Ransomware Cerber

Cerber es un ransomware como servicio (RaaS) que los ciberdelincuentes pueden utilizar para ejecutar ataques y compartir los datos de las víctimas con el desarrollador del malware.

Cerber es un virus que cifra (encripta) sus archivos y detiene la ejecución de las funciones de seguridad de Windows, dificultando la restauración del sistema. Después de cifrar los archivos en el equipo, aparece una nota de rescate en el fondo del escritorio.

5.  CryptoLocker

CryptoLocker se hizo tristemente conocido en 2013. Después de que los ciberdelincuentes extorsionaran sus víctimas por cerca de 3 millones de dólares, los proveedores y especialistas en TI pudieron erradicar la botnet CryptoLocker original en mayo de 2014.

CryptoLocker cifra los archivos y evita que se ejecuten las características de seguridad de Windows, lo que dificulta la restauración del sistema. Después de cifrar los archivos en el equipo, aparece una nota de rescate en el fondo del escritorio.

Muchos ciberdelincuentes adoptan las técnicas de CryptoLocker. Sin embargo, las versiones actuales no coinciden directamente con las originales. Las nuevas versiones podrían usar el mismo o similar algoritmo de cifrado de archivos, pero no tienen la infraestructura de red que permitió que CryptoLocker se extendiera tan eficientemente.

Principales estrategias de prevención del ransomware

Sin duda, la prevención del ransomware es clave para cualquier negocio actual. Y esto no es solo para un punto de vista financiero y de reputación, sino también para el cumplimiento.

Hay muchas cosas que puede hacer para proteger su negocio del ransomware, pero aquí están las diez principales estrategias:

1.  Haga copias de seguridad de sus datos

La copia de seguridad y recuperación de datos es esencial para su empresa. Una de las formas más fáciles de mitigar el riesgo es realizar copias de seguridad de sus datos en un disco duro externo o en un servidor en la nube. Esto se debe a que, cuando se enfrenta a un ataque de ransomware, lo mejor que se puede hacer es limpiar el equipo y volver a instalar los archivos de copia de seguridad. Por lo tanto, hacer una copia de seguridad de sus datos es importante, y debe tener como objetivo hacerlo al menos una vez al día.

Un método común a considerar es la regla 3-2-1. Implica mantener tres copias de sus datos: dos en línea en diferentes tipos de almacenamiento y uno fuera de línea.

Puede hacer que su almacenamiento de datos sea aún más seguro añadiendo otro paso al proceso. Copie sus datos en un servidor en la nube inmutable e indeleble. Hacerlo garantiza que sus copias de seguridad nunca se puedan alterar ni eliminar, lo cual es esencial en caso de un ataque de ransomware.

2.  Mantenga siempre sus sistemas actualizados con los últimos parches (o use actualizaciones automáticas)

Aunque a menudo se descuida esto, mantener los dispositivos parcheados es fundamental en la ciberseguridad. Es comprensible que el despliegue manual de las actualizaciones pueda ser tedioso y consumir mucho tiempo, alejándolo de otras tareas esenciales que requieren su atención. Sin embargo, si no se aplican parches a sus aplicaciones, dispositivos y datos, correrá un riesgo cada vez mayor de ser atacado por ciberdelincuentes.

Aquí es donde entra en juego la automatización. Ya no tendrá que sacrificar su tiempo por la poco entretenida tarea de actualizar y parchear manualmente; ahora, simplemente puede permitir que se apliquen las actualizaciones y parches automáticamente. Hay que usar esta opción con prudencia, ya que a veces es mejor aplicar las actualizaciones uno mismo para evitar problemas.

3.  Instale software antivirus y firewalls

Hay varias formas diferentes de protegerse del ransomware. Pero el método más común y eficaz es instalar un software antivirus y antimalware completo. Estas soluciones están diseñadas para analizar los dispositivos y la red en busca de malware y eliminar cualquier código malicioso que encuentren.

Además del software antivirus, también debería considerar la instalación de un cortafuegos, también conocido por su nombre en inglés: firewall. Un cortafuegos es un equipo o un programa que ayuda a filtrar el tráfico hacia y desde su red. Esto puede evitar que el ransomware (y otros programas maliciosos) llegue a sus dispositivos.

Consejo adicional: Tenga cuidado con las falsas alertas de detección de virus. Los ciberdelincuentes a veces crean falsas alertas para atemorizarlo y hacer que haga clic en un enlace o adjunto malicioso. Si no está seguro, consulte siempre con su departamento de TI antes de hacer algo.

4.  Restrinja el acceso y los privilegios de los usuarios

Si desea reducir las posibilidades de un ataque de ransomware, es esencial restringir el acceso de los usuarios y sus privilegios. Tomar esta medida ayuda a limitar la propagación del malware si un atacante consigue entrar en su red.

Asegúrese de que solo las personas que necesitan acceso a datos y sistemas específicos los tengan. Además, vigila lo que hacen los usuarios con sus cuentas. Si ve alguna actividad sospechosa, investigue de inmediato.

5.  Capacite a sus empleados

Una de las mejores maneras de proteger su empresa del ransomware (y de otras ciberamenazas) es educar a sus empleados. Asegúrese de que sepan qué es el ransomware y cómo funciona. Además, enséñeles los peligros de hacer clic en enlaces y archivos adjuntos de remitentes desconocidos y la importancia de no compartir contraseñas.

También debe tener implementada una política de ciberseguridad. En esta, deben indicarse los pasos que deben dar los empleados para mantener la seguridad de su red. Por último, ofrezca sesiones de formación periódicas, para que todo el mundo esté al día de las últimas amenazas y de las prácticas recomendadas.

6.  Cree una lista blanca de aplicaciones

La lista blanca de aplicaciones es una medida de seguridad que permite que solo las aplicaciones aprobadas se ejecuten en un dispositivo o red. Esto puede ser extremadamente útil para prevenir el ransomware, ya que esencialmente bloquea la ejecución de cualquier código desconocido o malicioso.

Por supuesto, la lista blanca de aplicaciones no es perfecta. Siempre existe la posibilidad de que se cuele un nuevo programa malicioso. Pero, cuando se utiliza conjuntamente con otras medidas de seguridad, puede ser una herramienta poderosa para proteger su empresa contra ataques de ransomware.

7.  Formule planes de continuidad comercial y respuesta ante emergencias

Incluso con las mejores medidas de seguridad, existe la posibilidad de que su empresa esté dirigida y comprometida con el ransomware. Por eso es tan importante contar con planes de continuidad de las operaciones y de respuesta a emergencias.

Estos planes deben describir cómo seguirá operando si sus sistemas están fuera de servicio y qué medidas debe tomar en caso de un ataque de ransomware. Con estos planes, puede minimizar los daños y hacer que su negocio vuelva a funcionar lo antes posible.

8.  Invierta en un seguro de responsabilidad informática para su empresa

El seguro de responsabilidad informática protege a las empresas de las pérdidas financieras resultantes de una fuga de datos o un ciberataque. Este tipo de póliza puede ayudar a cubrir los costos de restauración de los datos perdidos y los gastos legales en los que pueda incurrir.

Aunque no es un reemplazo de las medidas de seguridad adecuadas, el seguro de responsabilidad informática puede brindarle la tranquilidad que necesita. Y, si su empresa es atacada por ransomware, puede ayudar a minimizar los daños financieros.

9.  Haga pruebas y auditorías de seguridad periódicas

Es importante probar sus medidas de seguridad con regularidad para asegurarse de que sean efectivas. Puede hacerlo a través de varios métodos, como las pruebas de penetración y el análisis de vulnerabilidades.

Además de las pruebas, también debe realizar auditorías de seguridad regulares. Estas auditorías le ayudarán a identificar los puntos débiles de su sistema para que pueda solucionarlos antes de que sean explotados.

Pasos a seguir tras un ataque de ransomware

Lo ideal es prevenir los ataques de ransomware. Sin embargo, incluso las mejores medidas de seguridad no siempre pueden detener a los atacantes decididos. Si su empresa se ve afectada por el ransomware, hay algunas medidas que debe tomar:

1.  Aísle los sistemas afectados

Lo primero que hay que hacer es aislar los sistemas afectados. Esto evitará que el ransomware se propague a otras partes de la red.

Si tiene un sistema de copias de seguridad, ahora es el momento de usarlo. Las copias de seguridad ayudan a minimizar la cantidad de datos que se pierden.

2.  Identifique la fuente del ataque

Una vez aislados los sistemas afectados, hay que identificar el origen del ataque. Esta información puede ayudar a prevenir futuros ataques.

También es una buena idea denunciar el incidente a las fuerzas del orden. Es posible que puedan ayudarte a localizar a los atacantes y recuperar su dinero.

3.  Notifique a las autoridades y a sus clientes

Debe notificar a las autoridades correspondientes si el ataque de ransomware afecta a los datos personales. En los Estados Unidos, esto incluye la Comisión Federal de Comercio (FTC) y el FBI. También deberá notificar a sus clientes para que puedan tomar medidas para protegerse a sí mismos.

¿Debería pagar el rescate?

No hay una respuesta fácil a esta pregunta. Depende de varios factores, como la cantidad de dinero exigida, el tipo de datos cifrados y si tiene o no una copia de seguridad.

En general, solo se debe pagar el rescate si no se tiene otra opción. Y además, aun pagando, no hay garantía de que recuperará sus datos. De hecho, hay una buena probabilidad de no recuperarlos.

También hay algunas consideraciones éticas a tener en cuenta. Al pagar el rescate, está dando dinero a los delincuentes. Esto es un estímulo a que sigan con sus ataques.

Obtenga la ayuda que necesita de Veritas Technologies

Enfrentarse a un ataque de ransomware puede ser una tarea descorazonadora. Pero no hay porqué hacerlo solo. Los expertos de Veritas Technologies pueden ayudarlo a recobrarse de un ataque y a reanudar sus operaciones.

Algunos de los servicios que ofrecemos son:

  • Recuperación de datos: Podemos ayudarle a recuperar los datos perdidos para que su empresa vuelva a funcionar.
  • Evaluación de la seguridad: Podemos evaluar sus medidas de seguridad para identificar cualquier debilidad. A continuación, podemos ayudarle a aplicar los cambios necesarios para mejorar su seguridad.
  • Continuidad de las operaciones Planificación: Podemos ayudarle a crear un plan que mantenga su negocio en funcionamiento en caso de un ataque de ransomware.

Si está luchando con un ataque de ransomware o desea mejorar sus medidas de seguridad para evitar esos ataques, póngase en contacto con nosotros hoy mismo. Podemos ayudarlo a superar este momento difícil y a proteger sus operaciones de ataques futuros.

Conclusión

Los ataques de ransomware son una grave amenaza para las empresas de todos los tamaños. Pueden provocar pérdida de datos, interrupciones en el servicio, daños a su reputación y problemas de cumplimiento normativo.

Para protegerse, es necesario que aplique fuertes medidas de seguridad. También debe tener un plan para enfrentarse a un ataque.

Si resulta ser víctima de un ataque de ransomware, la mejor acción es contactar a las autoridades y buscar ayuda profesional. Veritas Technologies puede ayudar a recuperarse de un ataque y a mejorar las medidas de seguridad. Póngase en contacto con nosotros hoy mismo para obtener más información.

 

Los clientes de Veritas incluyen el 95 % de la lista Fortune 100, y NetBackup™ es la opción número uno para las empresas que buscan proteger grandes cantidades de datos.

 

Descubra cómo Veritas mantiene sus datos completamente protegidos a través de cargas de trabajo virtuales, físicas, en la nube y heredadas con los servicios de protección de datos para grandes empresas.