El ransomware está ahí: ¿cómo preparar la empresa para prevenir los ataques y sus daños?
- Actualidad
Los ciberataques de ransomware, como el sufrido este mismo mes por Kaseya, se suceden a diario. Sobre este tema, Eset ha analizado en un post los puntos clave a tener en cuenta para prevenir los daños provocados por esta amenaza.
Recomendados: Metallic Salesforce Backup Leer 7 consejos para proteger los datos de tu empresa y vencer al ransomware Leer Anatomía del ataque a una cuenta privilegiada Leer |
En 2020 se produjeron numerosos ataques de ransomware y en 2021 siguen siendo noticia. De ellos, el que más ha llamado la atención por su envergadura ha sido el ciberataque contra Kaseya, que aprovechó una vulnerabilidad en su software de gestión y que afectó a más de 1.000 empresas.
Para prevenir este tipo de ataques y los daños que provocan, Eset ha identificado los puntos clave que toda empresa debe tener en cuenta y que son la base para empezar a establecer mecanismos de defensa y recuperación ante incidentes.
Hacer copias de seguridad
Partiendo de la base de que la finalidad principal del ransomware es cifrar la información de sus víctimas para hacerla inaccesible a menos que se pague un rescate, contar con copias de seguridad que poder restaurar en caso de sufrir un incidente de este estilo resulta vital. Sin embargo, muchas empresas no disponen aún de copias de seguridad de la información que resulta vital para seguir trabajando con normalidad o estas no se encuentran en buen estado.
Además, los delincuentes suelen tener como objetivo también las copias de seguridad, por lo que, si estas son accesibles desde la red que sufre este ataque, es más que probable que también terminen siendo cifradas por el ransomware. Por esta razón es importante contar con varias copias de seguridad actualizadas en distintas ubicaciones, preferiblemente que no estén conectadas a la red corporativa.
Proteger el acceso a la información
Si los delincuentes consiguen robar y cifrar la información es porque primero consiguen acceder a ella. Por ese motivo, es importante limitar el acceso a la información más importante únicamente a aquellos usuarios que necesiten acceder a ella y limitar este acceso al resto. Esto se puede conseguir aplicando políticas de permisos más restrictivas de lo que se suele encontrar en la mayoría de las empresas e incorporando soluciones como el doble factor de autenticación, de modo que, aunque las credenciales de un usuario se vean comprometidas, no puedan ser utilizadas por un atacante para acceder a la red interna de la empresa y que este pueda robar y cifrar la información.
Precisamente, para que una filtración de información confidencial no suponga un problema en caso de que se produzca, existen soluciones que permiten el cifrado seguro y evitan que un delincuente nos pueda extorsionar con hacer pública la información robada, ya que no se puede acceder a ella si no se conoce la clave de seguridad establecida previamente. De la misma forma, segmentar adecuadamente las diferentes redes de la empresa evita que los delincuentes accedan a secciones de la compañía que contienen información importante solo infectando el sistema de un usuario que trabaja en un departamento que no debería tener acceso a esos datos.
Vigilar el email y los accesos remotos
Es posible incorporar medidas y procesos de seguridad que permiten la detección del ransomware (y muchos otros) tipos de incidente antes siquiera de que pueda empezar a causar problemas. Sabiendo que los principales puntos de entrada del ransomware actualmente son el correo electrónico, los accesos mediante escritorio remoto (RDP) y el aprovechamiento de vulnerabilidades en software de terceros, es posible establecer medidas para dificultar la labor de los atacantes.
En la parte del correo electrónico es importante que el servicio esté debidamente configurado y cuente con las suficientes medidas de seguridad para detectar posibles enlaces o ficheros adjuntos sospechosos antes de que estos sean abiertos por los usuarios.
A la hora de proteger el acceso remoto, se pueden añadir capas de autenticación adicionales, tanto si se utiliza una VPN para acceder a la red interna como si estamos usando RDP para trabajar remotamente en sistemas que se encuentran dentro de la red corporativa. Esto dificulta el acceso remoto de los atacantes, ya sea porque consiguen las credenciales de los usuarios mediante técnicas de phishing o robándolas usando troyanos y herramientas de control remoto de forma maliciosa.
Monitorizar las vulnerabilidades y los comportamientos sospechosos
Por lo visto en incidentes recientes, no solo es importante mantener actualizado el sistema operativo, sino también todas las aplicaciones que se utilizan en los equipos de la red corporativa, ya que dificulta que los atacantes se valgan de un agujero de seguridad en software que suele utilizarse para, por ejemplo y volviendo al caso de Kaseya, gestionar los equipos de la red.
Tampoco se deben obviar aspectos tan esenciales como contar con una solución de seguridad en cada uno de los endpoints de la empresa, puesto que muchas de ellas ya cuentan con mecanismos que permiten identificar la actividad de un ransomware.
Por último y no menos importante, cada empresa debe conocer cuál es la situación real en materia de ciberseguridad de nuestra red corporativa y la de los equipos que la conforman y de los que trabajan en remoto. Para ello es necesario realizar auditorías periódicas que identifiquen nuestros puntos débiles y nos permitan solucionarlos antes de que sean aprovechados por los delincuentes.