El ransomware se ha consolidado como una de las principales amenazas dirigidas a organizaciones. En los últimos años ha golpeado especialmente al sector público e infraestructuras críticas, lo que hace alertar aún más sobre la necesidad de reforzar defensas frente a este software malintencionado capaz de bloquear el acceso a sistemas o datos informáticos, mediante cifrado, hasta el pago de un rescate.
Proofpoint apunta que un 68% de organizaciones españolas ha sufrido al menos una infección de este tipo en 2021, y cada vez hay más ataques que logran su objetivo debido al aumento de la escala y la disponibilidad de ofertas de ransomware como servicio.
Lo habitual es que el ransomware vaya precedido de un mensaje de phishing por correo electrónico, el principal vector de ataque en la actualidad, que incite a la víctima a hacer clic en un enlace o abrir un archivo adjunto malicioso. También se suele distribuir como infección secundaria, una vez contaminado el sistema con troyanos o loaders, e incluso a través de personas de la propia empresa que deciden instalar ransomware en su lugar de trabajo por dinero.
“El ransomware seguirá existiendo mientras los ciberdelincuentes encuentren la manera de obtener un beneficio económico a través de ello”, explica Manuela Muñoz, Named Account Manager de Proofpoint en España. “Lo ideal es detener los ataques de ransomware antes de que sucedan, y esto se consigue implementando una estrategia de ciberseguridad centrada en las personas que consiga formarlas adecuadamente para que sean más resilientes y sepan actuar cuando algo vaya mal”.
Hoy en día, resulta imprescindible que todas las empresas sepan cómo enfrentarse a un ataque de ransomware en cualquiera de las etapas del mismo.
Antes se necesita mucha planificación
Prepararse para evitar el ransomware es la mejor estrategia al respecto, pero esto requiere seguir pautas previas como asegurarse de contar con las últimas actualizaciones y parches para sistemas operativos y software de seguridad. Los expertos de Proofpoint recomiendan además invertir en soluciones tecnológicas sólidas con las que proteger el correo electrónico y las cuentas cloud, formación de concienciación para empleados, tener copias de seguridad en una red independiente, así como diseñar una plan de respuesta para saber qué hacer en caso de que se consuma el ataque.
Tras la infección, ¿se debe o no pagar a los ciberdelincuentes?
En las organizaciones afectadas preocupa que los datos secuestrados se borren permanentemente, la suma del rescate se incremente o haya grandes daños reputacionales y de negocio. Por eso, según datos de Proofpoint, casi el 60% de empresas afectadas optó por negociar con los atacantes y cuatro de cada diez (39%) pagaron al menos un rescate en España durante 2021, de acuerdo a los datos de Proofpoint, aunque esto no fue suficiente para volver a tener acceso a los datos cifrados en todos los casos. Hubo un 21% que pagó un rescate inicial, se negó a pagar más y no obtuvo nada a cambio.
“El pago de un rescate por ataques de ransomware no garantiza la liberación de los datos”, asevera Manuela Muñoz. “Es muy probable además que esto sirva para echar más leña al fuego, ya que se recompensa a los atacantes por lo que hacen y les anima a seguir realizándolos. Pero está claro que ninguna organización quiere ser extorsionada y menos sufragar redes criminales, por lo que son ellas quienes deben elegir cómo actuar en base al tiempo y los recursos necesarios para volver a estar operativa, o la seguridad de clientes y empleados, entre otros factores”.
Aunque pase la crisis, queda mucho por hacer
No siempre se puede evitar el ransomware. Incluso las organizaciones más preparadas pueden caer en la trampa de los ciberdelincuentes. Pero, si eso ocurre, sirve de mucho poner en marcha el plan de respuesta anteriormente planificado, denunciar el caso ante las autoridades competentes, así como informar a los empleados de lo ocurrido y decirles cómo proceder. Del lado técnico, conviene no confiar en herramientas gratuitas de descifrado de ransomware, porque lo más seguro es que estén obsoletas y no funcionen, aislar servidores dañados y comprobar otros sistemas posiblemente infectados y, en caso de que sea posible, restaurar todo a parir de copias de seguridad previas.
Reforzar posteriormente las defensas tecnológicas con soluciones adaptadas a las amenazas del mundo real ayuda a que esta mala experiencia no vuelva a pasar. Hay que revisar el nivel de preparación frente estos incidentes, detectar en dónde se ha fallado y qué ha dado lugar a que entrara el ransomware, ver si los recursos son suficientes y crear un plan de crisis para ponerlo en práctica cuanto antes. “Si la organización no averigua cómo se produjo el ataque, difícilmente podrá detener el siguiente”, concluyen desde Proofpoint.
Más información
- Guía de defensa contra el ransomware: Preparados para un ataque
- Las 5 verdades del ransomware que actualmente desconocen las empresas españolas
- ¡Peligro ransomware! Estas son las seis medidas imprescindibles para una buena estrategia de ciberseguridad empresarial
- Ante un ciberataque de ransomware, ¿pagar o no pagar?
- Se duplica el ransomware dirigido: surgen nuevas técnicas y grupos