Otra vez ha vuelto la psicosis con el nuevo Ransomware (del inglés ransom, 'rescate', y ware, por software). Hace algunos meses hablábamos del CryptoLocker y desde el viernes pasado todo el mundo habla del WCry 2.0 (también conocido como WannaCry, WanaCrypt0r y WannaCrypt). Desde Telemira llevamos mucho tiempo avisando de la proliferación de este tipo de ataques y, por desgracia, en los próximos meses seguiremos viendo en las noticias casos como el de los últimos días que han desestabilizado grandes compañías como centros hospitalarios y de telefonía móvil como Telefónica.
No tenemos más remedio que afrontar una realidad. La tecnología nace y evoluciona con sus ventajas e inconvenientes. Y es que cualquier empresa o particular es objetivo de estos delincuentes cibernéticos, por lo que se convierte en una necesidad tomar todas las precauciones posibles para proteger nuestra información y datos confidenciales y preservar intacta nuestra identidad, muchas veces suplantada por este tipo de agentes.
A continuación, os trataremos de enumerar las principales recomendaciones, especialmente para las empresas, quienes más información manejan:
1. Primero, y quizá lo más importante, es que todo el personal de la empresa sea consciente de este peligro y use el sentido común a la hora de descargar ficheros o acceder a sitios web. Parece una norma sencilla, pero al final detrás de la mayoría de infecciones informáticas hay un error o despiste humano. Cuando nos llega un correo electrónico o un mensaje de un destinatario desconocido se recomienda no abrirlo y, mucho menos, descargar el contenido adjunto.
2. Mantener nuestros equipos actualizados. El malware WannaCry se ha aprovechado de una vulnerabilidad de Windows que Microsoft ya solucionó en su boletín de seguridad MS17-010 del 14 de marzo del 2017. Es decir, aquellos que llevaran la actualización al día no se habrán visto igualmente afectados que el resto. Un caso especialmente grave son aquellos equipos que utilizan sistemas operativos que ya no están soportados y sobre los cuales ya no se aplican actualizaciones. ¿Cuántos PCs tienes que aun trabajan con Windows XP? Esta es una brecha de seguridad importantísima.
3. Implementar políticas de seguridad adecuadas dentro del dominio. Es decir, no todos los usuarios de una empresa tienen por qué tener derecho a instalar aplicaciones en sus equipos o tener permisos para acceder a cierta información dentro de los servidores. Recordemos que si, por ejemplo, mi equipo puede acceder a las copias de seguridad de la empresa y éste es infectado, es muy probable que acabe encriptando las copias de seguridad, siendo imposible recuperar la información.
4. Tener un sistema de copias de seguridad a la altura de las necesidades. Un sistema que, en caso de infección, nos garantice que podremos recuperar la información y que nuestras copias de seguridad no se verán comprometidas. Algunas características importantes que debieran tener estos sistemas de copias de seguridad son la capacidad de generar Snapshots (lo que nos permite almacenar diferentes versiones de un mismo fichero) y la posibilidad de hacer una réplica en la Nube. TE lo contamos más detalladamente aquí.
5. Tener un Antivirus instalado y actualizado en todos los equipos. Los antivirus tradicionales se basan en firmas y esto los hace poco efectivos a la hora de detectar los ataques de día cero (zero-day attack). Sin embargo, en el mercado ya existen soluciones que sí analizan el comportamiento de las aplicaciones para comprobar si son maliciosas. En cualquier caso, esta será la principal barrera para protegerse de infecciones a través de dispositivos externos como discos USB.
6. Por último, es importante disponer de una seguridad perimetral de última generación. Si tienes un Firewall UTM (Unified Threat Management) de hace más de 3 años, lo más probable es que no cumpla con las necesidades actuales de seguridad. Las amenazas persistentes avanzadas (tipo ransomware y el tráfico HTTPS) exigen equipos con mayor rendimiento y con sistemas de seguridad más completos. Los UTM bloquean el acceso a sitios web indebidos, analizan el tráfico entrante y saliente haciendo análisis de antivirus y APT (Advanced Persistent Threat), con soluciones basadas en Sandbox, controla qué aplicaciones pueden ejecutarse a través de la red, gestionando el ancho de banda por usuario o aplicación y, sobre todo, dando visibilidad a todo lo que está ocurriendo en nuestro acceso a internet para que el administrador pueda tomar las decisiones de seguridad oportunas.