La defensa contra un ataque cibernético requiere de un enfoque combinado, que vaya desde la eliminación de los privilegios administrativos hasta el manejo de los casos de uso. Es importante poner atención a la educación del usuario final, las macros, la revisión de vulnerabilidades y la administración de privilegios estándar.

Por Revista Summa

Las últimas semanas, instituciones gubernamentales de Costa Rica han sufrido ataques de ransomware que han paralizado a varios de sus sectores como salud, servicios públicos, oficinas de impuestos y aduanas. Entre las entidades afectadas se encuentran el Ministerio de Hacienda, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT), la Caja Costarricense de Seguro Social y el Ministerio de Trabajo y Seguridad Social (MTSS). 

En este caso, una organización criminal llamada Conti Group infectó los equipos de las instituciones con un malware y secuestró datos valiosos para luego exigir altas sumas de dinero a cambio de la información. Esta situación ha puesto en alerta a compañías y organizaciones con el fin de proteger su información vital del negocio.

El ransomware es una modalidad en la que un ciberatacante limita el acceso a diferentes archivos de un sistema operativo a través de un malware y exige dinero para quitar esa restricción. En el mundo, de acuerdo con el Programa Global de Ciberseguridad del Foro Económico Mundial, los ataques de ransomware hacia las empresas aumentaron un 151% durante el primer semestre de 2021; desde allí y hasta la fecha esta cifra sigue creciendo.

¿Cómo prevenir el ransomware?

Si bien no existe una solución única para protegerse y miles de compañías e incluso gobiernos pueden verse afectados, existen buenas prácticas que ayudan a mitigar este problema. Antes de comprar la última y mejor solución de seguridad disponible en el mercado, es importante dominar las bases de seguridad. Para ello, BeyondTrust, compañía líder en gestión de accesos privilegiados, presenta cinco recomendaciones que cubren a todas las familias de ransomware y a las herramientas modernas de extorsión cibernética.

  1. Educación del usuario final

Es posible que el usuario medio no sea capaz de distinguir entre un correo electrónico normal o un ataque de phishing (método de engaño en el que el atacante se hace pasar por una institución de confianza mediante un mensaje de correo electrónico o una llamada y busca obtener contraseñas o número de tarjeta de crédito). Sin embargo, si el usuario hace click en un lugar equivocado, puede perder todo su trabajo y sus archivos o infectar su ordenador. 

Si se puede traducir la amenaza del ransomware en términos que el usuario entienda y recuerde., entonces se puede tener alguna estrategia de mitigación definible, se debe instruir a los miembros del equipo sobre cómo verificar la fuente antes de continuar.

  1. Copias de seguridad

Realizar copias de seguridad no es una recomendación preventiva, pero es la única que puede ayudar cuando todo lo demás falla. Todos los datos deben tener una copia de seguridad y, lo que es más importante, deben estar protegidos de forma que los activos infectados no puedan comprometer la copia de seguridad a través de unidades mapeadas o recursos compartidos de red. La copia de seguridad también debe probarse periódicamente para garantizar que puedan restaurar todos los archivos en un estado no infectado.

  1. Desactivar las macros

Algunos programas maliciosos basados en la extorsión se inspiran en antiguos virus informáticos que aprovechan las macros (acción o conjunto de acciones que se puede ejecutar todas las veces que desee, por ejemplo, grabación de clicks del mouse y las pulsaciones de las teclas) de Microsoft Office. Esto no es fácil de resolver, porque muchas de las hojas de cálculo y documentos dependen de las macros para satisfacer los requisitos de la empresa.

La configuración «Desactivar todas las macros excepto las firmadas digitalmente», impedirá que se ejecute una macro sin una autoridad de certificación válida. Hay que asegurar que las macros estén firmadas. 

  1. Revisión constante de vulnerabilidades

Según el Informe de Vulnerabilidades Microsoft 2022 la elevación de privilegios, es decir, un usuario que dispone de permisos más allá de los concedidos inicialmente, es la categoría de vulnerabilidad #1, con el 49% de todas las vulnerabilidades de 2021. Muchas organizaciones no hacen parches, ni verifican las aplicaciones de terceros con regularidad, por no hablar del propio sistema operativo. Mantener el software a sus versiones más recientes no es nada nuevo, pero sigue existiendo software anticuado en entornos de producción. 

Es importante tener un calendario regular para evaluar el entorno en busca de software vulnerable y tener un proceso fiable para enmendar cualquier hallazgo. Esto es lo básico en materia de seguridad.

  1. Privilegios de usuario estándar

El ransomware se propaga aprovechando los privilegios de los usuarios para infectar los archivos que están dentro del alcance. Si el usuario sólo tiene privilegios de usuario estándar, los únicos archivos visibles son los que pueda tener localmente o a través de una red compartida. Aunque el alcance de esto puede ser grande, puede ser mucho peor si el usuario tiene privilegios de administrador. Entonces, potencialmente todos los archivos visibles para un administrador están a su alcance y por lo tanto todo el entorno es potencialmente susceptible a una infección. 

La ciberseguridad básica es una gran defensa para proteger a una organización de convertirse en la próxima víctima, sin embargo, no lo es todo para tener éxito, la responsabilidad de cada organización es tomar las medidas necesarias para evitar que el software malicioso amenace la red. No hay un botón mágico ni una estrategia única que pueda detener esta escalada de amenazas, pero, si se siguen recomendaciones básicas de seguridad como estas, se puede minimizar en gran medida el riesgo de ser la próxima víctima.

Pin It on Pinterest

Share This