Durante los últimos días hemos visto como se ha vuelto a hablar de un incidente de seguridad protagonizado por un ransomware. Sin embargo, el ataque que utilizó una vulnerabilidad en el software de gestión Kaseya para desplegar el ransomware REvil es solo uno de los últimos protagonizados por esta amenaza que, por lo general, tiene éxito debido a la falta de preparación ante ciberataques de las empresas que luego son víctimas.
La importancia de las copias de seguridad
Partiendo de la base de que la finalidad principal del ransomware es cifrar la información de sus víctimas para hacerla inaccesible a menos que se pague un rescate, contar con copias de seguridad que poder restaurar en caso de sufrir un incidente de este estilo resulta vital. Sin embargo, muchas empresas no disponen aún de copias de seguridad de la información que resulta vital para seguir trabajando con normalidad o estas no se encuentran en buen estado.
Además, los delincuentes suelen tener como objetivo también las copias de seguridad, por lo que si estas son accesibles desde la red que sufre este ataque, es más que probable que también terminen siendo cifradas por el ransomware. Por ese motivo es importante contar con varias copias de seguridad actualizadas en distintas ubicaciones, preferiblemente que no estén conectadas a la red corporativa.
Además de contar con estas copias de seguridad es importante comprobar que se están haciendo bien, su estado y saber cómo restaurarlas de forma efectiva. De nada sirve contar con uno o varios backups si luego no sabemos o no podemos restaurarlos para recuperarnos de un incidente de seguridad y seguir trabajando con normalidad.
Tampoco debemos olvidar que el cifrado de la información es solo una parte de los ataques que suelen involucrar al ransomware. Los delincuentes también pueden robar la información confidencial de la empresa antes de cifrarla y amenazar con difundirla si no se acceden al pago del rescate solicitado, lo que nos lleva a revisar también otros aspectos claves de la seguridad.
Proteger el acceso a la información
Si los delincuentes consiguen robar y cifrar la información es porque primero consiguen acceder a ella. Por ese motivo es importante limitar el acceso a la información más importante únicamente a aquellos usuarios que necesiten acceder a ella y limitar este acceso al resto de usuarios. Esto se puede conseguir aplicando políticas de permisos más restrictivas de lo que se suele encontrar en la mayoría de las empresas e incorporando soluciones como el doble factor de autenticación, de modo que aunque las credenciales de un usuario se vean comprometidas, no puedan ser utilizadas por un atacante para acceder a la red interna de la empresa y que este pueda robar y cifrar la información.
Precisamente, para que una filtración de información confidencial no suponga un problema en caso de que se produzca, existen soluciones que permiten el cifrado seguro y evitan que un delincuente nos pueda extorsionar con hacer pública la información robada, ya que no se puede acceder a ella si no se conoce la clave de seguridad establecida previamente. De la misma forma, segmentar adecuadamente las diferentes redes de la empresa evita que los delincuentes accedan a secciones de la compañía que contienen información importante solo infectando el sistema de un usuario que trabaja en un departamento que no debería tener acceso a esos datos.
De esta forma, con la creación y mantenimiento de copias de seguridad y el cifrado seguro de los datos se eliminarían las dos principales bazas con las que cuentan los delincuentes a la hora de extorsionar a las empresas que han sido víctimas de este tipo de ataques. Sin embargo, se puede mejorar más la seguridad para evitar incluso que el ataque llegue a buen puerto hasta en sus fases iniciales.
Vigilando el email y los accesos remotos
Hasta este punto hemos hablado de medidas que ayudan a mitigar el impacto producido por un ransomware y del robo y filtración de información que suele venir asociada. Sin embargo, es posible incorporar medidas y procesos de seguridad que permiten la detección de este (y muchos otros) tipos de incidente antes siquiera de que pueda empezar a causar problemas.
Sabiendo que los principales puntos de entrada del ransomware actualmente son el correo electrónico, los accesos mediante escritorio remoto (RDP) y el aprovechamiento de vulnerabilidades en software de terceros, es posible establecer medidas para dificultar la labor de los atacantes.
En la parte del correo electrónico es importante que el servicio esté debidamente configurado y cuente con las suficientes medidas de seguridad para detectar posibles enlaces o ficheros adjuntos sospechosos antes de que estos sean abiertos por los usuarios.
Por su parte, a la hora de proteger el acceso remoto, se pueden añadir capas de autenticación adicionales, tanto si se utiliza una VPN para acceder a la red interna como si estamos usando RDP para trabajar remotamente en sistemas que se encuentran dentro de la red corporativa. Esto dificulta el acceso remoto de los atacantes, ya sea porque consiguen las credenciales de los usuarios mediante técnicas de phishing o robándolas usando troyanos y herramientas de control remoto de forma maliciosa.
Monitorizando vulnerabilidades y comportamientos sospechosos
Por lo visto en incidentes recientes, no solo es importante mantener actualizado nuestro sistema operativo, sino también todas las aplicaciones que utilicemos en los equipos de nuestra red corporativa. Esto dificulta que los atacantes puedan valerse de un agujero de seguridad en software que suele utilizarse para, por ejemplo y volviendo al caso de Kaseya, gestionar los equipos de la red.
Así mismo, es importante conocer qué está pasando en los equipos de nuestra red y buscar comportamientos sospechosos incluso de herramientas propias del sistema, como PowerShell. Hace años que los delincuentes aprendieron a usar este tipo de herramientas para tratar de no levantar sospechas durante sus ataques, por lo que disponer de una solución que sea capaz de alertar cuando se detectan, a la par que contar con especialistas que sepan identificar y catalogar este tipo de eventos sospechosos, resulta indispensable a la hora de bloquear a tiempo todo tipo de ciberataques.
Tampoco debemos olvidar aspectos tan esenciales como contar con una solución de seguridad en cada uno de los endpoints de la empresa, puesto que muchas de ellas ya cuentan con mecanismos que permiten identificar la actividad de un ransomware.
Por último, nunca debemos olvidar la importancia de conocer cuál es la situación real en materia de ciberseguridad de nuestra red corporativa y la de los equipos que la conforman y los que trabajan en remoto. Para ello es necesario realizar auditorías periódicas que identifiquen nuestros puntos débiles y nos permitan solucionarlos antes de que sean aprovechados por los delincuentes.
Conclusión
A pesar de que todos los puntos comentados en este artículo deberían ser considerados como claves para la protección de la información, son pocas las empresas que los tienen implementados en su totalidad. Obviamente, estas medidas se deben adecuar a cada tipo de empresa pero, en líneas generales, sirven como base para empezar a establecer mecanismos de defensa y recuperación ante incidentes.