Actualmente, uno de los incidentes de seguridad que más afecta a las empresas es la infección por ransomware, que secuestra nuestra información y pone en peligro la continuidad del negocio. ¿Sabes cómo protegerte y actuar frente a este tipo de incidentes?

¿Qué es el ransomware?

El ransomware es un tipo de malware que se introduce en los equipos y dispositivos móviles impidiendo el acceso a la información, generalmente cifrándola, y solicitando un rescate (ransom, en inglés) para que vuelva a ser accesible. Después de la infección inicial, el malware intentará propagarse al resto de los sistemas conectados a la red, incluyendo unidades de almacenamiento compartidas.

¿Cómo se produce la infección?

En la mayoría de los casos la infección se produce por:

Correos electrónicos que utilizan la ingeniería social para que la víctima descargue adjuntos infectados o acceda a un sitio web malicioso a través de un enlace.
Ataques usando el protocolo de escritorio remoto (RDP), ya sea aprovechando alguna vulnerabilidad en el sistema o con ataques de fuerza bruta.
Vulnerabilidades de servicios expuestos a internet (FTP, SSH, TELNET, etc.).
Vulnerabilidades en los sistemas operativos y en navegadores que facilitan la infección al visitar sitios fraudulentos.
Dispositivos externos infectados que se conectan a los equipos corporativos.
Por medio de otro malware que previamente ha entrado en nuestro dispositivo, como por ejemplo en el caso de Emotet.

¿Cómo funciona el ransomware?

El ransomware identifica las unidades de un sistema infectado y comienza a cifrar los archivos dentro de cada unidad. Por lo general, el software de rescate añade una extensión a los archivos cifrados, como .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault o .petya, para mostrar que los archivos han sido cifrados. La extensión de archivo utilizada es específica para cada tipo de ransomware. El ransomware se manifiesta cuando el dispositivo está infectado y ya no se puede acceder a la información. Una vez que ha cifrado todos los archivos, muestra por pantalla un mensaje que contiene instrucciones sobre cómo pagar el rescate, similar al de la imagen siguiente:

¿Cómo prevenir una infección?

Nunca haga clic en enlaces peligrosos: evite hacer clic en enlaces de mensajes de spam o en sitios web desconocidos. Si hace clic en un enlace malicioso, se podría iniciar una descarga automática, lo que podría provocar la infección de su equipo.
Evite revelar información personal: si recibe una llamada, un mensaje de texto o un correo electrónico de una fuente que no sea de confianza en donde se le solicita información personal, no responda. Los ciberdelincuentes que planean un ataque de ransomware pueden intentar recopilar información personal con antelación, que luego utilizarán para personalizar los mensajes de phishing específicamente para usted. Si duda sobre si el mensaje es legítimo, póngase en contacto directamente con el remitente.
No abra archivos adjuntos de correos electrónicos sospechosos: el ransomware también puede llegar hasta su dispositivo a través de archivos adjuntos en el correo. No abra archivos adjuntos que parezcan dudosos. Para asegurarse de que el correo electrónico sea de confianza, preste especial atención al remitente y compruebe que la dirección sea correcta. Nunca abra archivos adjuntos que le soliciten activar las macros para poder verlos. Si el archivo adjunto está infectado, al abrirlo se ejecutará una macro maliciosa, lo que dará al malware el control absoluto sobre el ordenador.
No utilice nunca memorias USB desconocidas: nunca conecte memorias USB u otros soportes de almacenamiento a su ordenador si no sabe de dónde provienen. Es posible que los ciberdelincuentes hayan infectado el soporte de almacenamiento y lo hayan dejado en un lugar público para incitar a que alguien lo use.
Mantenga sus programas y sistema operativo actualizados: la actualización periódica de programas y sistemas operativos le ayuda a protegerse del malware. Al instalar las actualizaciones, asegúrese de que cuenta con los parches de seguridad más recientes. Esto dificulta que los ciberdelincuentes puedan aprovechar las vulnerabilidades de sus programas.
Utilice solo fuentes de descarga conocidas: para minimizar el riesgo de descargar ransomware, no descargue nunca software ni archivos multimedia de sitios desconocidos. Confíe en sitios verificados y de confianza para las descargas. Puede reconocer los sitios web de este tipo por los sellos de confianza. Asegúrese de que la barra de direcciones del navegador de la página que visita utilice «https» y no «http». El símbolo de un escudo o un candado en la barra de direcciones también puede indicar que la página es segura. Tenga también cuidado si descarga cualquier cosa en su dispositivo móvil. Puede confiar en Google Play Store o en el App Store de Apple, según su dispositivo.
Utilice servicios VPN en las redes Wi-Fi públicas: un uso consciente de las redes Wi-Fi públicas es una medida de protección sensata para evitar el ransomware. Cuando utiliza una red Wi-Fi pública, su equipo es más vulnerable a los ataques. Para mantener la protección, evite utilizar una red Wi-Fi pública para realizar transacciones sensibles o use una VPN segura.

¿Cómo recupero la información?

Es necesario saber que no siempre se consigue descifrar los archivos y, por consiguiente, recuperar la información secuestrada. Cada tipo de ransomware tiene sus particularidades y puede que todavía no exista una solución para revertir sus efectos. Por este motivo, es importante que hagas siempre copias de seguridad y compruebes que puedes restaurarlas, ya que es la única forma de garantizar que siempre podrás recuperar tu información y garantizar la continuidad de negocio.