Hoy 12 de mayo se celebra en todo el mundo el Día Anti-Ransomware. En los últimos años e inclusos meses hemos sido testigos de un aumento exponencial de este tipo de ciberataques, tanto a administraciones públicas como a empresas multinacionales y pymes. Todas las corporaciones deben implementar medidas defensivas y de seguridad para prevenir estas agresiones y minimizar su impacto en caso de darse. La copia de seguridad es la última línea de defensa.

Esta fecha fue establecida por la Interpol a raíz de los estragos que provocó en mayo del año 2017 el ransomware WannaCry, un tipo de software malicioso (malware) con el que los cibercriminales lograron cifras millonarias por el rescate de los datos que habían bloqueado. El objetivo de esta efeméride es recordar a las empresas, administraciones públicas y usuarios la necesidad de respaldar su información y adoptar medidas de protección frente a todo tipo de ciberamenazas, malware, virus, troyanos, gusanos informáticos, etc.

La ciberseguridad ya se ha situado como uno de los principales riesgos a los que debe enfrentarse una empresa, por lo que resulta esencial el establecimiento de una estrategia global de defensa que incluya la formación a los trabajadores e incorpore copias de seguridad eficientes y monitorizadas de los datos.

Un fenómeno en alza

El porcentaje de organizaciones afectadas por el ransomware en el último año en España fue del 71%, según la encuesta El Estado del Ransomware 2022. El 38% de las empresas españolas atacadas pagaron el rescate. Incluso un 26% de empresas también accedieron al pago a pesar de disponer de una copia de seguridad con la que podrían haber restaurado los datos cifrados.

El último estudio del Instituto Nacional de Ciberseguridad (Incibe) asegura que la pérdida de datos por ciberataques para una PYME puede suponer pérdidas de entre 2.000 y 50.000 euros.

El informe 2021 de la Agencia de la Unión Europea para la Cooperación en el Cumplimiento de la Ley, o Europol, sobre la Evaluación de amenazas del crimen organizado en Internet (IOCTA) mantuvo al ransomware como la amenaza más destacada en términos de prevalencia y daño financiero.

¿Qué es el ransomware?                                                                          

Pero, ¿qué es exactamente el ransomware? Básicamente, es un tipo de ataque que bloquea archivos o dispositivos del usuario infectado para después reclamar un pago online anónimo con el fin de poder restaurar el acceso. En las empresas causa pérdidas temporales o permanentes de información, interrumpe la actividad normal, ocasiona pérdidas económicas y daños de reputación.

En caso de pagar esa suma económica siempre existe la posibilidad de que el cibercriminal vuelva a infectar nuestros equipos y entremos en un círculo de extorsión continua.

Una de las maneras más habituales de infección es el envío de emails no solicitados –spam malicioso- con archivos adjuntados (PDFs, documentos de Word, etc) o enlaces a sitios web maliciosos. Otra vía de infección es la publicidad engañosa incrustada en páginas web que visitamos que, en algunos casos, no necesitan que el usuario haga click en ningún banner o enlace para infectarse.

Hace poco más de un año se ha descubierto el nuevo malware NetDooka, que se propaga a través de resultados de búsqueda infectados y del servicio de distribución de malware de pago por instalación (PPI) PrivateLoader.

Un ataque de ransomware también podría llegar a cifrar el acceso a los datos compartidos en la red local, a otros equipos y a infectar nuestra copia de seguridad en la nube. En este último caso, dependerá en gran medida de cómo tengamos configurado ese backup online.

Si está habilitada la sincronización automática de los archivos online y estos han sido infectados también nos infectarán los equipos o estaciones de trabajo locales cuando se descarguen en el disco duro.

Tengamos en cuenta que actualmente es muy habitual compartir archivos para trabajar en equipo y deben llevarse a cabo medidas de prevención.

Medidas preventivas

Como medida de prevención INCIBE recuerda una serie de medidas básicas que toda empresa debería implementar:

  1. Realizar copias de seguridad periódicamente en dispositivos o medios que estén desconectados de manera habitual del sistema, solo deben estar conectados mientras se realiza la copia. Si tenemos una copia de seguridad en la nube con los archivos de la empresa sin que hayan sido infectados, podríamos borrar y restaurar esos equipos afectados con copias limpias y volver a la normalidad.
  2. Asegurarse del origen de los enlaces en correos, mensajería instantánea y redes sociales, aunque sean de contactos conocidos. También al descargar ficheros adjuntos aunque sean de contactos conocidos.
  3. Implementar las actualizaciones de seguridad lo antes posible. Si no se mantienen los equipos actualizados la exposición a todo tipo de riesgos es mayor: robo de información, pérdida de privacidad, perjuicio económico, suplantación de identidad, etc
  4. Uso de cuentas de usuario sin permisos de administrador. El uso de la cuenta de administrador debe limitarse a aquellas situaciones en las que necesitamos disponer de privilegios: realizar cambios en la configuración, instalar una nueva aplicación, dar de alta un nuevo usuario, etc. Al finalizar estas tareas, debemos seguir trabajando con una cuenta estándar.
  5.  Instalar software específico anti-ransomware.

Accensit puede asesorarte para implementar una estrategia de seguridad digital en tu empresa.

Imagen: pikisuperstar