Los ataques de Ransomware son actualmente una de las amenazas más habituales y con gran capacidad para corromper la información empresarial, generando severos daños económicos. Actualmente, ha experimentado diversos cambios en sus códigos y formas de  distribución; por lo que los profesionales de la seguridad informática deben tener presente que este cibercrimen no desaparece, solo evoluciona cada año. 

¿Qué es un ataque de Ransomware? 

Un Ransomware es un tipo de malware, cuya finalidad es infectar un dispositivo o red informática para encriptar la información y exigir un rescate económico, habitualmente cobrado en alguna criptodivisa como Bitcoin. 

A diferencia de otros tipos de ataques informáticos, la finalidad del Ransomware no es eliminar o robar la información, sino amenazar a los afectados con la pérdida de la misma si es que no pagan el monto solicitado en un determinado periodo de tiempo. 

Sin embargo, en los últimos años han aparecido variaciones de la práctica convencional de Ransomware como el “doxxing” en el cual se amenaza a la organización afectada con la divulgación o venta de información confidencial. 

¿Cómo funciona un ataque de Ransomware?

Basándonos en el funcionamiento de los códigos de Ransomware más habituales hemos podido llegar a la conclusión que este malware sigue una trayectoria de 5 pasos: 

• Entrega: El Ransomware llega al usuario final, el dispositivo en cuestión puede verse afectado por medio de un sitio web malicioso, un correo infectado o un USB corrupto, como lo describimos en nuestro artículo sobre los vectores de ataque en ciberseguridad. 

• Inicio del ataque: Sin un correcto monitoreo de la red, un filtro de navegación web o una solución de seguridad en los dispositivos de trabajo se inicia el ataque de Ransomware. 

• Identificación de información sensitiva:  El malware busca datos clave, carpetas y mecanismos de copia de seguridad y recuperación deshabilitados.

• Comando y control: Cuando está listo, establece el comando y control para comunicarse con el atacante y encriptar los archivos.  

• Propagación: Sin una segmentación interna que aísle los sistemas, la encriptación se propaga en busca de otros dispositivos conectados a la red, también es posible una distribución por medio de otros protocolos. 

Imagen basada en: “Flyer-fortinet-antiramsomware-strategy” 

Soluciones antiRansomware 

Una vez identificados los cinco procesos que conforman la trayectoria del Ransomware podemos saber qué tecnologías emplear para proteger a una organización o red empresarial de un ataque de encriptado. 

Internet seguro avanzado 

La solución de Internet seguro de Optical Networks incluye un Next Generation Firewall (NGFW), acceso remoto seguro con VPN de cliente, protección contra intrusos y diversos tipos de malware. Estos elementos brindan una navegación segura reduciendo la probabilidad de la entrega de Ransomware por medio de páginas web maliciosas. 

Correo seguro

El correo electrónico es otra forma de entrega habitual de Ransomware, además de ser el vector de ataque por el que más se realizan prácticas de phishing o robo de identidad. Por ejemplo, se detectó que en 2020 el incremento de este ataque fue de 200% siendo agosto el mes que más se registraron correos con fines perniciosos. 

De esta manera, una solución de correo electrónico permitirá evitar los ataques de Ransomware, comenzando por la entrega del código malicioso mediante archivos adjuntos por este medio. 

Secure SD-WAN 

Esta solución permite monitorear una red de Internet en favor de la productividad y la seguridad, priorizando el tráfico de aplicaciones críticas sobre las actividades prescindibles. Gracias a que Secure SD-WAN monitorea la red de una organización permite detectar y responder ante cualquier actividad sospechosa como la búsqueda de información sensitiva, el cual forma parte de un ataque de Ransomware