Durante las últimas semanas un incidente de seguridad protagonizado por un ransomware ha llamado la atención de miles de personas en todo el mundo. Sin embargo, el ataque que utilizó una vulnerabilidad en el software de gestión Kaseya para desplegar el ransomware REvil es solo uno de los últimos protagonizados por esta amenaza que, por lo general, tiene éxito debido a la falta de preparación ante ciberataques de las empresas que luego son víctimas. En este sentido, ESET, compañía pionera en protección antivirus y experta en ciberseguridad, ha desvelado los puntos clave a tener en cuenta para prevenir los daños provocados por el ransomware.
La importancia de las copias de seguridad
Partiendo de la base de que la finalidad principal del ransomware es cifrar la información de sus víctimas para hacerla inaccesible - a menos que se pague un rescate, contar con copias de seguridad que poder restaurar en caso de sufrir un incidente de este estilo resulta vital. Sin embargo, muchas empresas no disponen aún de copias de seguridad de la información que resulta vital para seguir trabajando con normalidad o estas no se encuentran en buen estado.
Además, los delincuentes suelen tener como objetivo también las copias de seguridad, por lo que, si estas son accesibles desde la red que sufre este ataque, es más que probable que también terminen siendo cifradas por el ransomware. Por ese motivo es importante contar con varias copias de seguridad actualizadas en distintas ubicaciones, preferiblemente que no estén conectadas a la red corporativa.
Proteger el acceso a la información
Si los delincuentes consiguen robar y cifrar la información es porque primero consiguen acceder a ella. Por ese motivo es importante limitar el acceso a la información más importante únicamente a aquellos usuarios que necesiten acceder a ella y limitar este acceso al resto de usuarios. Esto se puede conseguir aplicando políticas de permisos más restrictivas de lo que se suele encontrar en la mayoría de las empresas e incorporando soluciones como el doble factor de autenticación, de modo que, aunque las credenciales de un usuario se vean comprometidas, no puedan ser utilizadas por un atacante para acceder a la red interna de la empresa y que este pueda robar y cifrar la información.
Precisamente, para que una filtración de información confidencial no suponga un problema en caso de que se produzca, existen soluciones que permiten el cifrado seguro y evitan que un delincuente nos pueda extorsionar con hacer pública la información robada, ya que no se puede acceder a ella si no se conoce la clave de seguridad establecida previamente. De la misma forma, segmentar adecuadamente las diferentes redes de la empresa evita que los delincuentes accedan a secciones de la compañía que contienen información importante solo infectando el sistema de un usuario que trabaja en un departamento que no debería tener acceso a esos datos.
Vigilando el email y los accesos remotos
Es posible incorporar medidas y procesos de seguridad que permiten la detección del ransomware (y muchos otros) tipos de incidente antes siquiera de que pueda empezar a causar problemas. Sabiendo que los principales puntos de entrada del ransomware actualmente son el correo electrónico, los accesos mediante escritorio remoto (RDP) y el aprovechamiento de vulnerabilidades en software de terceros, es posible establecer medidas para dificultar la labor de los atacantes.
En la parte del correo electrónico es importante que el servicio esté debidamente configurado y cuente con las suficientes medidas de seguridad para detectar posibles enlaces o ficheros adjuntos sospechosos antes de que estos sean abiertos por los usuarios.
Por su parte, a la hora de proteger el acceso remoto, se pueden añadir capas de autenticación adicionales, tanto si se utiliza una VPN para acceder a la red interna como si estamos usando RDP para trabajar remotamente en sistemas que se encuentran dentro de la red corporativa. Esto dificulta el acceso remoto de los atacantes, ya sea porque consiguen las credenciales de los usuarios mediante técnicas de phishing o robándolas usando troyanos y herramientas de control remoto de forma maliciosa.
Monitorizando vulnerabilidades y comportamientos sospechosos
Por lo visto en incidentes recientes, no solo es importante mantener actualizado el sistema operativo, sino también todas las aplicaciones que se utilizan en los equipos de la red corporativa. Esto dificulta que los atacantes puedan valerse de un agujero de seguridad en software que suele utilizarse para, por ejemplo y volviendo al caso de Kaseya, gestionar los equipos de la red.
Tampoco debemos olvidar aspectos tan esenciales como contar con una solución de seguridad en cada uno de los endpoints de la empresa, puesto que muchas de ellas ya cuentan con mecanismos que permiten identificar la actividad de un ransomware.
Por último, nunca debemos olvidar la importancia de conocer cuál es la situación real en materia de ciberseguridad de nuestra red corporativa y la de los equipos que la conforman y los que trabajan en remoto. Para ello es necesario realizar auditorías periódicas que identifiquen nuestros puntos débiles y nos permitan solucionarlos antes de que sean aprovechados por los delincuentes.
Josep Albors, director de investigación y concienciación de ESET España, concluye: “A pesar de que todos los puntos comentados en este artículo deberían ser considerados como claves para la protección de la información, son pocas las empresas que los tienen implementados en su totalidad. Obviamente, estas medidas se deben adecuar a cada tipo de empresa, pero, en líneas generales, sirven como base para empezar a establecer mecanismos de defensa y recuperación ante incidentes”.