La ciberextorsión es una forma de chantaje que sufre la victima de un ataque informático, mediante el cual se le fuerza a pagar para evitar sus efectos.
Uno de los métodos de ciberextorsión más extendido es el ransomware. Este ataque, cifra los datos de sus víctimas para exigirles a continuación un rescate a cambio de descifrar y recuperar la información. Una vez se accede al chantaje, pagando el rescate que solicita el cibercriminal, la víctima de una ciberextorsión generalmente recibe un mail con la clave para descifrar sus datos. El método de abono suele ser mediante Bitcoin, una moneda digital con valor de cambio real (1 Bitcoin = 336€). De hecho, suelen recurrir a este método de pago para dificultar su rastreo. Sin embargo, el pago no garantiza que la empresa no pueda ser atacada posteriormente.
Otro tipo de ataques que utilizan esta forma de extorsión son aquellos que, tras infectar tu equipo y acceden a tu webcam, chantajean a la víctima para no difundir los vídeos capturados. La mayoría de los ataques se inician con emails que incluyen documentos adjuntos, o visitando sitios web comprometidos.
Los ransomware como WanaCryptor, Criptolocker, Cryptowall o CoinVault amenazan la integridad de los archivos, que se encuentran en el equipo o en unidades de red a las que éste tiene acceso.
El malware cifra los datos para que únicamente puedan ser descifrados a través de una clave que los ciberdelincuentes solo proporcionan si la empresa paga el rescate solicitado. Si te ofrecen una fecha límite posterior y el pago no ha sido realizado, es posible que borren la clave de descifrado y por tanto sería imposible poder recuperar los archivos de tu empresa.
Incluso en el caso de que se efectúe el pago, no existe seguridad de que tus datos vayan a ser liberados. Porque es posible que el software desarrollado por los ciberdelincuentes contenga bugs que provoquen un funcionamiento corrupto que interrumpan el proceso de descifrado.
Formas de evitar un Ransomware
- Backup. Realizar copias de seguridad de los datos importantes como tarea de mantenimiento regular es la medida más efectiva para minimizar los daños en caso de ser infectado. La copia de seguridad debe alojarse en un medio externo distinto al del equipo para poder recuperar los archivos desde un sitio “limpio” y no tener que pagar el “rescate” exigido por estos ciberdelincuentes.
- Actualización del sistema y aplicaciones. Mantener el sistema operativo actualizado con los últimos parches de seguridad y todas las aplicaciones que tengamos instaladas es el mejor punto de partida. El mencionado WanaCryptor aprovechó una vulnerabilidad en sistemas Windows.
- Línea de defensa. Conviene instalar y mantener una solución antimalware, incluyendo un cortafuegos correctamente configurado para permitir el acceso exclusivo de las aplicaciones y servicios necesarios.
- Herramienta Anti Ransomware. Con una herramienta específica contra este tipo de ataques, que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando “honey files”). Realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose.
- Filtro antispam. Muchos de los ataques por Ransomware se distribuyen a través de campañas masivas de correo electrónico. Además de estos filtros, debes seguir los consejos generales como no pinchar en enlaces o abrir archivos adjuntos de remitentes desconocidos.
- Bloqueadores de JavaScript. Aplicaciones como Privacy Manager bloquean la ejecución de todo código JavaScript sospechoso de poder dañar el equipo del usuario. Esto ayuda a minimizar la posibilidades de quedar infectado a través de la navegación web.
- Políticas de seguridad. Herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit facilitan el establecimiento de políticas que impiden la ejecución de directorios comúnmente utilizados por el ransomware, como App Data, Local App Data, etc.
- Cuentas con privilegios. No utilizar cuentas con privilegios de administrador. El 86% de las amenazas contra Windows se pueden esquivar en caso de utilizar un usuario común en lugar de un administrador. Por eso es importante utilizar para tareas comunes un usuario común y solo dejar el administrador para cuando se vaya a hacer una serie de tareas relacionadas con la manipulación del sistema.
- Cuentas con privilegios. No utilizar cuentas con privilegios de administrador. El 86% de las amenazas contra Windows se pueden esquivar en caso de utilizar un usuario común en lugar de un administrador. Por eso es importante utilizar para tareas comunes un usuario común y solo dejar el administrador para cuando se vaya a hacer una serie de tareas relacionadas con la manipulación del sistema.
- Extensiones de archivos. Mostrar las extensiones para tipos de ficheros conocidos es una buena práctica para identificar los posibles ficheros ejecutables que quieran hacerse pasar por otro tipo de fichero. No es raro ver a un fichero .exe con el icono de un documento de Word. Si no se ve la extensión, el usuario posiblemente no pueda distinguir si es un documento de Word o un ejecutable malicioso, aunque también es bueno recordar que un documento de Microsoft Office también puede contener malware.
- Máquinas virtuales. Emplear máquinas virtuales para aislar el sistema principal es otra técnica efectiva. En un entorno virtualizado la acción de los ransomware no suele materializarse.
