Últimamente parece que evitar convertirse en la nueva víctima de un ataque de ransomware es Misión Imposible, en este artículo no te voy a explicar cómo ser Tom Cruise, pero si te voy a dar 10 #CiberConsejos que si aplicas en tu red o sistema informático, se lo vas a poner tan difícil a los cibercriminales que preferirán irse a otra red a cometer sus fechorías. Este es el símil de la casa y las rejas, si hay cinco viviendas en una calle, cuatro tienen rejas en puertas y ventanas y una no. – ¿Cuál creéis que será la más probable que roben?. En el ámbito cyber ocurre lo mismo. Existe una variable que no he comentado en el ejemplo anterior, esta es, el valor de lo que contenga la casa, si la que no tiene rejas apenas tiene efectos de valor en el interior, pero las que tienen rejas están llenas de obras de arte, ahora posiblemente sí que cambies de opinión ante la pregunta de: – ¿Cuál creéis que será la más probable que roben?. De nuevo, en el ámbito cyber ocurre lo mismo, una empresa u organización que sea de un alto interés para los cibercriminales, ya sea por la información que almacena o por el dinero que manejan, no cejarán en su objetivo hasta lograr culminar su ataque. Esto es lo que se conoce como APT, Advanced Persistent Threat, o Amenaza Persistente Avanzada: Es un tipo de amenaza de ciberseguridad en la que una organización criminal establece su objetivo en una empresa concreta, y hasta que no lo logre acceder a sus sistemas no parará, para ello usará todos y cuantos recursos tenga a su alcance, incluido el uso de: ingeniería social, Zero Days, contratación de isiders, campañas masivas, espionaje, spear phishing, etc…

Antes de comenzar con los ciberconsejos, creo que es importante definir lo que es un ransomware en pleno año 2023, antiguamente un ransomware era un tipo de malware que bloqueaba un equipo informático y pedía un rescate económico para el desbloqueo (100€), como ese bloqueo era básico se podía reparar sin mucha complicación. Al poco tiempo comenzaron a lanzarse campañas de ransomware que lograban cifrar los ficheros de un ordenador en vez del sistema operativo en sí, las primeras remesas de este tipo de ransomware también se podían descifrar debido a fallos del proceso de cifrado. La tercera fase comenzó cuando la única forma de lograr recuperar los ficheros cifrados era tomando el control del servidor C&C desde el cual se había lanzado el ataque, una vez intervenido el servidor se podían recuperar las claves privadas de descifrado de cada víctima. Todas estas fases formaban parte de los ataques de ransomware 1.0.

El ransomware 2.0 nació cuando además de cifrar los ficheros, los cibercriminales primero los exfiltraban y así en caso de que la víctima no quisiese pagar el rescate por la recuperación de los ficheros, la extorsionarían para que pagase el rescate a cambio de no difundir los ficheros confidenciales de la empresa que habían sido robados. Es decir, exfiltraba y cifraba.
El ransomware 3.0, en el cual nos encontramos hoy en día, es el que además de cifrar los ficheros y exfiltrarlos, en caso de que la víctima no pague, los cibercriminales lanzarán un ataque de DDoS contra los sistemas de la empresa u organización afectada, la finalidad de este nuevo ataque es dejarlos sin servicio y así presionar para que finalmente realicen el pago.

Finalmente, el ransomware 4.0 es el que una vez ejecutadas las dos o tres fases anteriores, los cibercriminales comienzan a vender los datos personales de los clientes que han sido exfiltrados de la empresa atacada, el objetivo es que un tercero los pueda utilizar para cometer fraudes a nombre de los clientes. Es decir, los perjudicados ya no solamente son las empresas atacadas, todos los clientes de esa empresa son potenciales víctimas.
Aquí os comparto 10 Ciber Consejos con los que una empresa u organización podrá protegerse contra el ataque de un ransomware, además, también la protegerán de otros muchos tipos de malware:
- Segmentación de red: Divide la red en segmentos para limitar la propagación de un posible ransomware que consiga acceder correctamente a un equipo de la red, de este modo también te protegerás de posibles exfiltraciones masivas de datos que pudieran estar almacenados en otros lugares de la red. Para realizar esta tarea se deberá separar la red a nivel lógico mediante VLAN, cada una de ellas con un gateway y direccionamiento IP independiente. En caso de tener que interconectar dos VLAN, por ejemplo para acceder a una web o cualquier otro recurso que se encuentre en la intranet, solamente se deberá permitir el tráfico en una sola dirección de una red o rango concreto al puerto y dirección IP en el que está publicado el servicio en cuestión, esto es lo que significa minimizar la superficie de ataque, de poco sirve tener la red segmentada en VLANs si después en el firewall alguien permite que todo el tráfico, por ejemplo TCP, pueda llegar de la red A a la red B, es decir, un plan sin fisuras.