Utilizamos cookies propias y de terceros para mejorar nuestros servicios. Si continua navegando, consideramos que acepta su uso. Más información

 

 

 

 

 

 

BLOG

 

Martes, 12 Febrero 2019 18:09

La defensa contra el Ransomware parece no funcionar Destacado

Todo lo bien que cabe esperar

Evolución reciente del secuestro de datos (Ransomware)

En el año 2017 saltaron todas las alarmas a nivel mundial debido a la aparición de un ataque masivo de ransomware denominado wanna cry los efectos de este software malicioso, han tenido una trascendencia mediática increíble, ya que uno de las principales o reconocibles víctimas no fue otro sino Telefonica de España, a un nivel tan grave que, incluso numerosos clientes con servicios contratados con Telefónica vieron afectados sus operaciones productivas a causa de una “intrusión masiva” en sus sistemas informáticos. La noticia por aquel entonces se propagó por los medios ya que el servicio de informática de Telefónica obligaba a sus compañeros a apagar todos los ordenadores inmediatamente, mediante un sistema de mensajería interno, lo que nos da una idea de hasta qué punto en ese momento la compañía estaba desbordada y afectada por la irrupción del Virus.

 

En este punto debemos reflexionar y pensar que, si una compañía multinacional como Telefónica se ve afectada por ransomware y comprometida por este tipo de ataques, poniendo en riesgo la información y la seguridad de los datos de millones de personas y teniendo en cuenta que cuentan con una empresa filial de expertos en ciberseguridad,los cuales no han sabido defenderse de caer en estos ataques, en este punto si las grandes empresas no están preparadas para resolver vulnerabilidades en el sistema cualquiera podría ser víctima del software malintencionado, por ello nadie está libre de ser afectado, es cuestión de tiempo que los ciber delincuentes encuentren una brecha de seguridad no prevista y se aprovechen de esta.

 

Después de 2 años, tenemos una cierta sensación de seguridad ante los ataques de los ciberdelincuentes, que parecen haber, si no parado, sí frenado su actividad de intrusión y secuestro de datos. Muy probablemente esto está relacionado con el alto valor que los bitcoins han alcanzado durante este período, lo que ha favorecido hackeos, intervenciones de equipos para minar de forma fraudulenta cripotomoneda en lugar de secuestrar datos de organizaciones y particulares, ya que estos grupos organizados han visto una fuente de ingresos más rentable en estas técnicas fraudulentas que en la extorsión a organizaciones y particulares. Se han podido ver noticias de cómo algún grupo de crackers ha aprovechado las vulnerabilidades de algunos routers para instalar malware para criptominar, cómo se crean redes de ordenadores zombies (botnets) que toman control de miles de ordenadores con este mismo fin, la amenaza que persiste, puede haber llegado incluso al novedosísimo mundo de la smart domótica o Internet of things.

 

¿Se repite la historia?

 

Como el malware Matrix afecta nuestro equipo y posible solución.

 

Actualmente el valor de las criptodivisas como bitcoin se ha desplomado a valores mínimos, esto sin duda va a suponer un punto de inflexión para estos grupos de hacking, ya que encontrarán de nuevo el campo de la extorsión mediante el secuestro de datos un nuevo maná del que comer. Esto sin duda hará que numerosos de estos grupos pongan sus miras y esfuerzos en encontrar y aprovechar nuevas brechas de seguridad para penetrar, infectar y secuestrar Datos de organizaciones grandes, pequeñas o particulares.

 

Numerosas Previsiones muestran la tendencia de los crackers hacia el ransomware de nuevo ante el desplome de las criptomonedas

 

El auge de la era de la comunicación, la transparencia y de las plataformas colaborativas, han ayudado a estas organizaciones criminales a conseguir nuevas herramientas, compartirlas, aprender, difundir técnicas y comprar recursos, etc.

 

En el 2019 se han afianzado las técnicas de ataque y existen ransomware con nuevos algoritmos y servicios para atacar el sistema de los usuarios, cada vez con técnicas más avanzadas. La peligrosidad del malware es alta ya que no necesita del fallo humano para propagarse, si no que se autopropaga solo, esto puede ser debido a que los piratas informáticos se hayan aprovechado de las filtraciones de la NSA (Agencia de Seguridad Nacional), ataques que fueron filtrados desde los círculos de inteligencia.

 

Además en la conocida deepweb, existe un mercado muy amplio, malware que roba las contraseñas por unos pocos dólares, virus que se venden en el mercado negro para que cualquiera pueda lanzar un ataque, todo ello fomentando la actividad criminal cibernética, estos sistemas complejos han ido evolucionando hasta llegar el punto de ser incontrolable por cualquier sistema de seguridad.

 

este software malicioso no solo ataca a grandes empresa como se cree, sino que no discrimina y ataca a particulares y cualquier tipo de usuario en la red.

 

Los métodos para frenar el virus parecen no funcionar

 

Tenemos que ser conscientes de que se está librando una Guerra informática entre dos bandos, las organizaciones y gobiernos de una parte y estos grupos organizados que como hemos visto son muchos. Están mejor organizados que antes y gracias a los beneficios obtenidos con el fraude, ahora tienen más fondos que nunca. Del lado de los “buenos” contamos con empresas especializadas en seguridad, Marcas de antivirus, ingenieros de sistemas operativos, ingenieros de comunicaciones, etc. Cuentan con excelentes profesionales, fondos y colaboran entre ellos de manera activa y transparente. pero, si hasta ahora no han logrado erradicar el problema, ¿cómo pretenden solucionarlo en el futuro?

 

La situación es tal, que en los últimos meses ha habido un creciente interés por parte de las aseguradoras en encontrar un nicho de negocio en este campo, sabedoras de que el riesgo es real, no parece solucionable a corto plazo y resulta a veces más factible para las entidades que contratan el seguro, el pago de una póliza que garantice el patrimonio perdido, el daño a la imagen o las responsabilidades inherentes a la pérdida de estos datos, ante un ataque de Ransomware, que protegerse activamente contra él, ya que en parte las coberturas de este seguro minoran el efecto de un posible ataque. 

 

 

hacker ransomware

 

Antes de proseguir con el artículo, desde Dotcom queremos expresar nuestra opinión acerca de los métodos de protección desde nuestra experiencia, esto es una opinión que forma parte de alguna manera de nuestro particular manual de estilo, el tema puede ser controvertido, pero no tenemos intención de alimentar ninguna hoguera, hablamos únicamente con la voz de la experiencia que hemos adquirido durante más de 15 años ofreciendo servicios a empresas.

 

Lo primero que tenemos que observar es que el ransomware no afecta sólo a sistemas Windows, como comúnmente se cree, si no que, aunque en menor medida, puede atacar a Linux, MacOS o hasta un dispositivo móvil con Android o ios , ya que existen ataques dirigidos a esas plataformas, es cierto que no son tan frecuentes ni tan virulentos, debido a que el ecosistema windows está más extendido y es más rentable desarrollar malware para esta plataforma. Los secuestradores suelen secuestrar datos sensibles de organizaciones, así que no es muy probable que de momento centren sus esfuerzos en dispositivos de telefonía, que suelen estar desvinculados de los datos de la organización.

 

Existe un amplio rango de medidas de seguridad para detener este software malicioso pero cada vez son menos efectivas ya que las técnicas de seguridad se vuelven inútiles ante la creación de nuevos procesos que saltan dichos procedimientos de seguridad, lo que obliga a las organizaciones a estar constantemente implementando nuevas políticas de seguridad, lo que no garantiza en ningún caso la inmunidad de estos ataques, ya que suelen ser ataques de dia cero ante los que, por definición, ningún sistema anti-intrusión está preparado totalmente para repeler.

 

Las medidas mínimas que cualquier experto en seguridad recomienda para mantener los sistemas informáticos tienen también sus desventajas.

 

Mantener el Sistema operativo, software, drivers, firmware de dispositivos, antivirus, firewall, VPN, router, actualizados a su última versión.

 

No parece sencillo, pero se puede conseguir implementar un procedimiento que contemple todas estas tareas, necesitamos un encargado o empresa externa que constantemente supervise y ejecute estas tareas en caso necesario. pero esto tampoco es garantía, como hemos visto estos grupos suelen usar ataques día cero con lo que para cuando el fabricante del Sistema operativo, software, router etc se entere de la brecha, la infección ya habrá afectado a miles de equipos.

 

 

seguridad perimetral

 

 

Además, actualizar no es siempre una buena idea, ya que en casos, esta actualización puede tener un efecto no deseado, como acontece con algunos equipos al actualizar su sistema operativo, o al aplicar una revisión de firmware del router, o actualizando su antivirus. Muchas de estas mejoras, hacen además que nuestros equipos a la larga, rindan menos o que en los casos más graves se vean afectados directamente por el fenómeno de la obsolescencia programada por los fabricantes.

 

Monitorizar la actividad de la infraestructura informática y las comunicaciones.

Con el tiempo las organizaciones han visto cómo sus sistemas informáticos han sido ampliados, vuelto más sofisticados, ya que esto supone un incremento notable de la productividad y control de recursos de la empresa. Las organizaciones se han tornado tecnodependientes, y este hecho tiene una contrapartida negativa, al depender gran parte de sus actividades comunes de sus sistemas informáticos, cualquier falla, intrusión o pérdida de datos, hace que parte de la capacidad productiva de la empresa colapse.

La propuesta clásica de protección indica que los sistemas han de ser monitorizados y supervisados en busca de fallas de seguridad, es decir, tenemos que adelantarnos al posible fallo que los hackers están buscando, para subsanar antes de que ocurra. pensemos que los expertos de seguridad nos piden que “luchemos” contra un grupo de expertos en seguridad cuyo único objetivo es romper esa seguridad que nosotros estamos manteniendo. Es decir prácticamente necesitamos una persona o grupo de personas con herramientas específicas que actúen de antihackers, la dimensión de este departamento debería ser similar a la de los grupos que nos puedan atacar, que como vimos antes, son cada vez más numerosos, y mejor financiados.

No hay muchas empresas que se puedan permitir generar este departamento o incluso establecer rutinas o procedimientos anti-hackeo, ya que el coste tanto en tiempo de operativa y en dinero sería muchas veces inasumible.

 

 Contraseñas Robustas

 

Es de sentido común que para proteger una cerradura solo se deben repartir llaves a quien tenga que abrirla, lo mismo pasa con las contraseñas, solo deben tener acceso a ésta las personas encargadas de acceder al servicio protegido. Existen métodos de asegurarse de que los usuarios establezcan contraseñas robustas, difíciles de adivinar, y que cambien regularmente. Esta técnica es sencilla de implementar, y no es demasiado invasiva para el uso de los sistemas informáticos de la organización.

 

Los humanos tendemos algunas veces a esforzarnos lo mínimo posible y recordar distintas contraseñas para distintos servicios puede ser una tarea que requiere un esfuerzo importante. Es por esto que algunos usuarios se pueden ver tentados de usar la misma contraseña robusta que usan para acceder a los datos de la organización que para acceder a un servicio externo de mensajería, una suscripción a un blog, la descarga de una aplicación para el teléfono, etc. y a veces esta contraseña se usa acompañada de datos sensibles de la empresa. Pensemos en un empleado que necesita un software para testear, una calculadora de letra de DNI por ejemplo. El usuario hará una búsqueda en google y muy probablemente tomará la primera o segunda opción, esto nos puede llevar a una página web de origen desconocido donde hay un botón de descarga visible y muy bonito, al pulsarlo nos pide amablemente que nos registremos en su sitio para proceder a su descarga. Un usuario común puede introducir su correo corporativo y la contraseña “de siempre” como datos de registro para la descarga de ese software, (somos cómodos por naturaleza, el correo lo tenemos abierto, y la contraseña no sea que me la olvide voy a usar la misma de siempre, posiblemente sea la misma que tengo para el correo pero.... ¿tengo contraseña en el correo? no la tengo que meter nunca, no debo tener) bien, esta página web que hemos usado para descargar el software ya tiene nuestro correo corporativo, nuestra contraseña super robusta, la ip pública desde la que nos conectamos, y dependiendo de nuestro sistema puede que también nuestro usuario de escritorio remoto, si tenemos la mala suerte de que coincida con la primera parte del correo, pueden tener también el acceso de usuario a nuestro servidor???.

 

 

error humano

 

 

Los hackers usan la deepweb para comprar datos de usuario, correos y contraseñas, cuanto más detalladas, útiles y recientes sean estos datos, más están dispuestos a pagar. Muchos de estos datos son inútiles, pero otros son el detonante de un ataque programado contra una empresa en concreto. ni la robustez de la contraseña ni el cambio frecuente de la misma nos van a proteger frente a uno de estos ataques.

 

Los metodos clasicos de protección ante ransomware no son siempre efectivos, debido al alto coste que implica mantener esta protección actualizada y supervisada constantemente

No pagar

 

Puede parecer raro, pero no pagar es el único camino a seguir para parar los ataques de ransomware, una vez que la organización está infectada, y sus datos comprometidos. Pagar es la manera más cómoda de devolver aparentemente el sistema a la normalidad, sí, recuperaremos los datos, los hackers cumplen su palabra, no les interesa la mala prensa en este aspecto.

 

Si tomamos esta alternativa estamos financiando a un grupo de maleantes que tendrán más dinero para mejorar sus técnicas, comprar mejores bases de datos de víctimas, comprar equipos más potentes para aumentar el alcance de sus actos, etc. Por otro lado, si nadie paga, los hackers no verán recompensado sus esfuerzos y dirigirán sus actividades por otro camino.

 

Copia de seguridad

 

 

nube portatil

 

 

En Dotcom consideramos ésta como la única alternativa viable para muchas organizaciones de protegerse contra un ataque dirigido o indiscriminado de Ransomware. Nuestra propuesta es simple, implementar un sistema de copias que el malware no pueda cifrar. en principio la premisa es sencilla, pero requiere de ciertas técnicas y procesos para que la copia sea efectiva contra estos ataques.

 

La experiencia que hemos adquirido tras 10 años proporcionando servicios de mantenimiento a empresas medianas y pequeñas, han culminado con el desarrollo de un servicio específico de copia de seguridad para estar a salvo de ataques de cifrado, y por ende de cualquier otra contingencia que los datos de nuestras organizaciones puedan sufrir.

 

 

 

El sistema DARIS, bautizado al usar las letras iniciales de sus características ( desubicada, autónoma, redundante, inerte y supervisada) cumple con los requisitos para que nuestros datos estén en todo momento resguardados y sean fácilmente recuperables, sea cual sea el escenario que cause una posible catástrofe en nuestros sistemas. El servicio genera copias de los datos muy frecuentemente, en distintas ubicaciones, con diferentes soportes para cubrir todas las posibles causas de pérdida, secuestro o negligencia por un agente propio o externo. Este servicio incluye la supervisión del sistema, ya que ningún equipo funciona a perpetuidad y estas copias han de ser testadas una vez se generen.

 

 

Acerca de Dotcom

Dotcom Factory nace de la necesidad de las empresas por disponer de un servicio informático ajeno que responda mejor que uno propio, que se pueda equiparar al de una gran multinacional. La formación de nuestros profesionales y la experiencia hacen que elegir Dotcom Factory sea la más inteligente de las decisiones.

Nos ponemos enContacto SolicitaAyuda

Contacta con Nosotros

Nos preocupamos por solucionar sus problemas informáticos de la manera más rápida y eficaz.

Calle Gutemberg, 32A
15007 - A Coruña

981 23 35 35

Formulario de contacto

Información básica sobre protección de datos

El responsable del tratamiento es Dotcom Factory S.c. La finalidad del tratamiento es la de atender la consulta realizada. La base legal del tratamiento es el cumplimiento de una prestación solicitada por el interesado así como el interés legítimo del responsable del tratamiento. No se prevén comunicaciones datos salvo en los supuestos legalmente previstos. Puede Acceder, rectificar y suprimir los datos y otros derechos según consta en la información adicional. 

Formulario Contacto

Información básica sobre protección de datos

El responsable del tratamiento es Dotcom Factory S.c. La finalidad del tratamiento es la de atender la consulta realizada. La base legal del tratamiento es el cumplimiento de una prestación solicitada por el interesado así como el interés legítimo del responsable del tratamiento. No se prevén comunicaciones datos salvo en los supuestos legalmente previstos. Puede Acceder, rectificar y suprimir los datos y otros derechos según consta en la información adicional.

Formulario Ayuda

Información básica sobre protección de datos

El responsable del tratamiento es Dotcom Factory S.c. La finalidad del tratamiento es la de atender la consulta realizada. La base legal del tratamiento es el cumplimiento de una prestación solicitada por el interesado así como el interés legítimo del responsable del tratamiento. No se prevén comunicaciones datos salvo en los supuestos legalmente previstos. Puede Acceder, rectificar y suprimir los datos y otros derechos según consta en la información adicional.