Evitar prevenir ataque ransomware

Cómo prevenir el ransomware

José Luis Martínez Backup, Data Center Leave a Comment

Tiempo de lectura: 5 minutos

El ransomware es una de las infecciones más dañinas que podemos sufrir en nuestros sistemas. Infecta todos los archivos del sistema operativo, habitualmente cifrándolos, para pedir un rescate monetario más tarde, siendo a veces, la única forma de recuperar nuestra información.

El objetivo número uno de estos programas dañinos son las personas descuidadas. En un gran número de ocasiones, los usuarios abren enlaces o archivos adjuntos de correos electrónicos sin molestarse en verificar el remitente o dudar del contenido del mensaje. Seguirán trabajando, y más tarde o más pronto, descubrirán que algo pasa en sus datos. El tiempo que tarden hasta percatarse es crítico, pues estos programas son muy rápidos en infectar todo dato accesible.

Pantalla del ransomware Wannacry

Pantalla del ransomware Wannacry

Podemos pensar que si hacemos copias de seguridad estamos salvados, pero ¿y si esa copia se encuentra a merced de este programa dañino? Si el ordenador infectado tiene acceso a unidades de red, aplicaciones de sincronización en la nube o discos duros extraíbles, es muy probable que, en el momento que nos demos cuenta, todo haya sido infectado y cifrado, incluyendo nuestras copias de seguridad.

¿Cómo podemos prevenir esta situación? En este tipo de infecciones, es importante trabajar en todos los frentes posibles. Cuantas más barreras pongamos al posible contagio, mejor será nuestra protección. Vamos a ver las posibles medidas a adoptar, desde la fase más temprana, hasta cuando ya se ha producido la infección.

Evitar la llegada del virus

Al igual que en los humanos, el virus es transportado por un vector de infección, en el caso del ransomware, es casi siempre un, en apariencia, inofensivo correo electrónico. Todo lo que hagamos para evitar su entrada en nuestros sistemas, evitará la infección y problemas mayores.

Las estrategias de detección y eliminación serán trabajo de un buen Antivirus o Antispam, más éste último, pues los antivirus basados en firmas poco podrán hacer con programas que están en constante evolución.

Educar a los Usuarios

Algo que muchas veces pasamos por alto, pero debería ser un punto importante a considerar. Podemos tener los más caros sistemas de detección, contención y copia de seguridad, pero no serían necesarios si nuestros usuarios hubieran recibido formación para saber qué es el ransomware y los correos electrónicos de phishing.

Una buena formación y educación del personal será una excelente barrera de protección:

  • Evitar abrir adjuntos o enlaces de remitentes desconocidos.
  • Desconfiar de mensajes de conocidos pero con contenido sospechoso.
  • Mostrar siempre las extensiones de los archivos conocidos.
  • Ante cualquier tipo de duda, contactar con IT.

Educar al usuario o equipo de personas

Contener la infección

A veces, todo el cuidado del mundo no es suficiente. ¿Qué medidas de contención podemos adoptar para evitar la ejecución del virus o su propagación?

  • Firewalls: compartimentar la red mediante VLANS que pasen por ellos.
  • Listas blancas: definir qué aplicaciones pueden ejecutarse mediante directivas de grupos.
  • Privilegios de usuario: evitar el acceso a recursos fuera de su departamento para aislar la infección.
  • Filtros IP de geolocalización: evitar el acceso a webs fuera de nuestro país o en países conflictivos.

¿Qué hacer si somos infectados?

  • Ante cualquier comportamiento extraño en el ordenador, desconectar la WIFI y el cable de red y apagarlo inmediatamente.
  • Informar rápidamente al resto de usuarios del departamento y a los encargados de IT.

Restaurar los datos

El ransomware ya ha perpetrado su ataque y ha sido contenido, es el momento de hacer recuento de bajas y restaurar los datos y sistemas lo mejor posible. Para ello, nuestra estrategia de copias de seguridad jugará un papel esencial.

Nos repetimos a menudo, pero es que no conocemos una mejor forma de hacer las copias de seguridad que siguiendo la regla de backup 3-2-1. Si no nos descuidamos y tenemos nuestro backup relativamente actualizado, es muy probable que dispongamos de una copia offline de nuestra información, y podamos restaurarla en un periodo relativamente corto de tiempo.

Y si no disponemos de copias offline, ¿hay alguna forma de proteger la información online? Sí, podemos hacer uso de backups cifrados con permisos restrictivos de acceso, que los protegerá de ser infectados.

Pérdida de datos por fallo del disco

Enfoque integral

Como hemos visto, hay multitud de acciones que podemos tomar para evitar y contener una infección por ransomware. No perdamos tiempo y pongamos en marcha un plan para definir las que mejor se adapten a nuestro caso. Si no somos previsores, podemos lamentar mucho las consecuencias.

Escrito por

José Luis Martínez

LinkedIN