¿Cómo reducir el riesgo de ataques de «ransomware»? Algunas sugerencias prácticas

Security Awareness
22 agosto 2021
rischio-ransomware

El riesgo de ataques de «ransomware» ha aumentado enormemente. Los ciberdelincuentes han mejorado sus técnicas de ataque, por lo que cada vez es más difícil detectar e impedir la propagación del «malware». Los últimos informes, elaborados por observadores especializados, muestran que los ataques de «ransomware» de 2021 se han vuelto cada vez más difíciles de detener debido a la complejidad con la que se realizan.

El «ransomware» supone un gran negocio para la ciberdelincuencia. Un negocio tan rentable que el cibergrupo conocido como BlackMatter está dispuesto a pagar 100 000 dólares en la «dark web» a quien proporcione acceso autorizado a la red de una empresa.

Prevenir los ataques de «ransomware» no es una solución sencilla y, como ya ha quedado demostrado, la tecnología por sí sola no es suficiente. Las técnicas de ataque varían desde el «spray phishing», con la esperanza de que algún usuario distraído caiga en la trampa, hasta ataques personalizados bien dirigidos. En este último caso, los ataques son mucho más elaborados y, por tanto, mucho más difíciles de reconocer.

Sea cual sea la técnica utilizada, el ser humano sigue siendo el objetivo principal del ataque. Por tanto, cada empleado individual puede desempeñar un papel crucial en la defensa de una empresa. Por tanto, resulta fundamental que los empleados dispongan de todos los conocimientos necesarios para reconocer y prevenir un posible ataque. Esto significa realizar cursos de formación para que puedan transformar su percepción digital y cuenten así con todas las herramientas que necesiten para evitar convertirse en víctimas involuntarias de la ciberdelincuencia.

Detectar correos de «phishing» y archivos adjuntos sospechosos

Sin duda, el «phishing» es la forma más fácil de llevar a cabo un ataque de «ransomware». El objetivo de muchos correos de «phishing» suele ser robar las credenciales de acceso, el punto de partida de muchos ataques de «ransomware». Una vez robados, un ciberdelincuente puede utilizarlos para enviar correos electrónicos con «malware» o enlaces a sitios web infectados a compañeros de la empresa, o utilizarlos para acceder directamente a los sistemas de la empresa. En efecto, al explotar las vulnerabilidades de los sistemas, es posible aumentar los privilegios de las credenciales robadas y, por tanto, instalar programas maliciosos directamente en la red.

Los correos de «phishing» también pueden utilizarse para enviar «ransomware» oculto en archivos adjuntos. Entre las diversas estrategias utilizadas por la ciberdelincuencia, la más consolidada es la del robo de identidad. El engaño se basa en la recepción de un correo electrónico que parece provenir de un compañero o socio con lo que a primera vista podría parecer una factura clásica en un formato estándar. Si, por un descuido, se abre el archivo adjunto, se empieza a descargar automáticamente el «malware» a través de un enlace en el archivo adjunto. El «malware», una vez instalado, aprovechará cualquier vulnerabilidad (conocida o desconocida) para ejecutar el código e infectar el dispositivo.

Formar a los empleados para que reconozcan los correos de «phishing» y los sitios web falsos resulta fundamental para bloquear y prevenir un ataque de «ransomware». Una formación verdaderamente eficaz debe actuar en tres áreas específicas: la percepción del peligro, la prontitud a la hora de actuar correctamente y el reconocimiento de la amenaza. Las simulaciones de «phishing», muy utilizadas para este fin, deben ser capaces de adaptarse automáticamente al perfil de comportamiento de cada usuario individual para resultar realmente eficaces y adecuarse a lo largo del tiempo a la evolución de las estrategias de ataque de los ciberdelincuentes.

Comprender el valor de la información sensible

Los ataques de «phishing» «dirigidos» son obviamente los más insidiosos, porque su contenido se ha personalizado para engañar al empleado «objetivo». Para obtener información sensible útil para este fin, la ciberdelincuencia suele utilizar sofisticadas técnicas de ingeniería social. También se aprovechan mucho los entornos sociales, en los que compartir información personal suele ser algo realmente natural.

El robo de información sensible también se produce por las malas costumbres, aún muy extendidas, que se siguen al gestionar las contraseñas. Las contraseñas demasiado sencillas o utilizadas para varias cuentas son un objetivo fácil para apropiarse de una cuenta y de su información.

Las listas de contraseñas robadas también se utilizan a menudo para sustraer información. Este es, sin duda, un mercado muy atractivo para cualquier ciberdelincuente, dada la facilidad con la que se pueden vender o comprar directorios robados. Las contraseñas en venta pueden provenir de acciones previas de «phishing» dirigidas precisamente a robar credenciales o de comprometer bases de datos enteras. Los ciberdelincuentes pueden comprar listas enteras de credenciales robadas y, con la ayuda de herramientas de automatización, intentar hackear las cuentas existentes para obtener toda la información sensible posible.

Está claro que cualquier información sensible puede utilizarse para crear mensajes de «phishing» personalizados, lo que hace que lleguen a ser extremadamente engañosos. Por tanto, la formación de todos los empleados sobre el valor de los datos e información sensibles y los riesgos que conllevan se convierte en algo básico. Una formación verdaderamente eficaz debe basarse en metodologías cognitivas e inductivas, ambas necesarias para crear una mayor conciencia y, en consecuencia, una menor exposición de las personas y las empresas al riesgo de ataques de «ransomware».

Teletrabajar con total seguridad

Sin duda, el teletrabajo es una solución excelente para combinar las necesidades laborales y los hábitos impuestos por la pandemia. No obstante, todos los empleados deben ser conscientes de que ciertos comportamientos pueden poner en riesgo su propia seguridad y la de su empresa. La posibilidad de abrirle la puerta a los ciberdelincuentes puede esconderse tras comportamientos aparentemente inofensivos, como emplear una red wifi pública sin protección o protegida con contraseñas débiles, hacer un uso mixto del propio dispositivo, dejar sin protección el acceso al propio dispositivo y, por último, reaccionar «sin cuidado» ante situaciones potencialmente sospechosas.

Únicamente un enfoque de formación integral, diseñado para toda la plantilla, puede prevenir y contrarrestar el riesgo de que cualquier empresa sufra un ataque de «ransomware».

Artículos relacionados