¿Y si no pago el Ransomware?

Pablo Barriga, Solutions Architect del programa Go Connect de Licencias OnLine

Hoy en día podríamos ser víctimas en cualquier momento de un ataque informático, la pregunta no es como va a pasar sino cuando pase que podemos hacer para remediarlo.

El Ransomware es el ataque que mayor éxito ha logrado en estos últimos años, impactando a organizaciones de todo tamaño y en todo segmento. Secuestran no solo dispositivos de trabajo empresariales, sino datacenters completos en infraestructuras privadas y públicas, y hasta celulares incluso dispositivos de IOT.

Una vez que el Ransomware entre en una empresa, las máquinas comprometidas se vuelven parte de una película de terror, pagar o perder la información, el problema radica principalmente en qué tipo de información fue secuestrada, es ahí donde nos damos que cuenta lo importante de políticas de seguridad de la información, o que nuestros perímetros o dispositivos no contaban con soluciones de seguridad modernas para prevenir estos ataques.

El momento que evaluamos pagar, nos damos cuenta que son cifras inalcanzables, pagos que puede ser desde miles de dólares hasta millones. Pero que puede pasar si pago, existen muchas redes de hackers que honran su palabra, una vez pagado el rescate entregan las claves de cifrado y la información vuelve a su estado natural, pero eso no significa que el hacker no robe esa información, simplemente entrega el acceso a la data que tenían en esos dispositivos. La empresa posiblemente aun tengan residuos de la amenaza en esa estación de trabajo u otros dispositivos, prácticamente una cortina de humo para poder generar en otra ocasión un nuevo ataque. El riesgo es que esa data estará circulando en una red de contrabando de información la cual es comprada o subastada al mejor postor.

Pero, ¿qué pasa si no pago?. Esta es la gran realidad de muchas organizaciones: no pagar, y después de esto ven como su información finalmente queda cifrada e inaccesible. 
Sobre este escenario hay esperanza, equipos especializados de seguridad pueden llegar a detectar si el malware que infecto la organización ya ha sido utilizado en otros ataques y validar si ya existe la cura, que en este caso sería la clave de descifrado.  Hay escenarios en que los discos de esos dispositivos son sometidos a herramientas de escaneo profundo a nivel para recuperar información antes del cifrado.

Si aún no hemos sido víctimas de este tipo de ataque lo mejor es protegernos, blindar a nuestro activo más valioso que es la información.

En ese sentido, podemos recomendar estos 5 escenarios tecnológicos a través de varias soluciones del programa GoConnect:

1.- Políticas de seguridad de la información: Aquí entramos a proteger directamente la información, con soluciones de respaldo no solamente a nivel de Datacenter sino también a nivel de dispositivos de trabajo, soluciones como Veritas, Veeam y Acronis, cuenta con varias arquitecturas para habilitar la protección de la información y aplicar la metodología 3-2-1 (3 copias de seguridad, en 2 dispositivos distintos y en un sitio remoto).

2.- Protección de día cero:  Cuando hablamos de día cero, hablamos de protegernos de Ransomware, herramientas perimetrales, o en las estaciones de trabajo, o a nivel de la nueva en aplicaciones SaaS y IaaS. Soluciones de protección avanzada de Check Point con CloudGuard y Sandblast, también soluciones con Fireeye y Sophos.

3.- Protección de aplicaciones: Muchos de los incidentes de seguridad pueden venir por la explotación de alguna vulnerabilidad. Es importante tener los sistemas al día y proteger nuestras aplicaciones que se encuentran expuestas a Internet.  Soluciones de seguridad de aplicaciones Web con Citrix, F5, A10 son una alternativa avanzada de protección. También protección a nivel de IPS con soluciones de TrendMicro.

4.- Concientización empresarial y entrenamiento: A pesar de que no sea un producto, la capacitación continua de los equipos de seguridad es primordial para construir estrategias de seguridad y proponer nuevas soluciones. Licencias Online cuenta con el área de Educación donde se encuentra un catálogo muy amplio de soluciones de seguridad.

Lo usuarios finales son clave, son parte del éxito y fracaso de un proyecto de seguridad, realizar escenarios simulados y campañas continuas de concientización en ciberseguridad. Las herramientas de colaboración permiten compartir rápidamente estos contenidos en plataformas de Office365 utilizando Teams o Sharepoint.

5.- Planes de continuidad de negocio: Que pasa si todo el Datacenter es afectado o una solo máquina, al final se traduce en pérdida de productividad, los planes de contingencia son vitales para mantener las operaciones de la empresa, se pueden tener alternativas de DRP implementados en la nube, o incluso escritorios de trabajo virtuales los cuales fácilmente pueden ser provisionados para que el empleado pueda continuar trabajando.

Lo más importante es estar preparados, son inversiones que ayudan a mantener la productividad y reputación de la empresa, no permitan que años de trabajo y experiencia se vean afectados por un click.