Ransomware y backups

Por DevTec 20 de Enero de 2022

Que es y como funciona el ransomware?

El malware de rescate, o ransomware, es un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para liberar el acceso, generalmente en criptomonedas como Bitcoin pero también de forma convencional.

El vector mediante el cual un sistema es infectado varía, pero todos los métodos comunes de propagación de malware son utilizados. Frecuentemetne mensajes no solicitados o links a sitios falsificados permiten que el usuario inadvertidamente filtre información suficiente para que un delincuente pueda tomar control de uno o varios sistemas.

Riesgos

Podría decirse que existen tres niveles de gravedad:

Mensaje de amenaza

Este tipo de “ataque” generalmente aparece en forma de un mensaje de alerta, que amenaza con proceder a una fase mas grave si no se paga en un tiempo determinado. En general este tipo de ataque es en realidad un sondeo para evaluar si la potencial víctima es viable, y muchas veces no constituye un ataque en si. Sin embargo, es posible que el atacante decida escalar realmente. Tener este tipo de “preaviso” puede ser una ventaja importante.

Bloqueo de pantalla

Este tipo de ataque implica necesariamente que el delincuente por lo menos ha tomado control de algún dispositivo dentro de la red o infraestructura. Se necesita hacer un análisis, pero mínimamente se trata de una amenaza seria que pone al descubierto alguna falla importante en el esquema de seguridad del sistema. Esta clase de ataque puede venir disfrazado de una multa o sentencia de pago, o cualquier otro mecanismo para exigir un pago por una agencia de seguridad oficial.

Encriptado de datos, bloqueo total

Este es un ataque completo. Este ataque se usa directamente cuando el delincuente sabe que la víctima enfrenta un daño potencial importante. Este tipo de ataque no tiene solución porque no existe forma de restablecer un sistema que ha sido encriptado con una clave desconocida.

Los delincuentes pueden estar en otros países y tener un conocimiento superficial o aún estar completamente confundidos acerca de la víctima, e incluso abandonar completame la operación (sin desbloquear los datos) si ven poco factible cobrar el rescate.

Por que no hay otra alternativa que un backup adecuado?

La única medida de seguridad completamente efectiva (y económicamente viable) para reponerse de uno de estos ataques es tener un backup actualizado, funcional y solo-lectura. Esto último es crucial: aún si el delincuente lograse hacerse con el control del sistema de backups, no podrá afectarlo debido a que no podrá modificarlo.

Es igualmente importante tener completa certeza de que el backup está actualizado y efectivamente funcional, es decir que se puede utilizar para restablecer el sistema afectado inmediatamente. Esto es difícil y son muchas las variables a tener en cuenta, es común ver sistemas de backup que por errores en la configuración o no estar convenientemente mantenidos, son totalmente inútiles para recuperar el sistema.

En </>DevTec tenemos el conocimiento y la experiencia necesarios para implementar mecanismos de seguridad que protegen los sistemas de este tipo de amenaza y de todo tipo de incidencias que puedan afectar los datos y recursos de su Empresa, tales como roturas de equipos, problemas con el suministro de energía eléctrica, etc.

No dude en consultarnos, pero sobretodo, no espere a tener una situación insalvable para hacerlo.