El secuestro de archivos, una de las principales amenazas para las empresas

Cryptolocker

Hoy en día, el secuestro de archivos o ransomware es una de las principales amenazas para las empresas. Se trata de malware (software malintencionado) que impide el acceso del usuario a sus archivos a no ser que éste pague un rescate. Aunque parezca un argumento de película, es muy real y muchas empresas ya han sido víctimas. La razón es que se utilizan técnicas de ingeniería social para expandir la infección y, por muy seguros que sean los sistemas de una empresa, el factor humano siempre supone un riesgo.

David Sanz es solutions specialist en Commvault.

David Sanz es Solutions Specialist en Commvault

Quizá el ejemplo más dañino sea Cryptolocker, un malware de estas características que surgió hace aproximadamente dos años y que se ha expandido hasta situarse en el ataque informático más frecuente en 2015. Cryptolocker es, hoy en día, un quebradero de cabeza para usuarios y empresas.

Este malware de tipo troyano, dirigido a ordenadores con sistema operativo Windows, se distribuye normalmente a través de un correo electrónico dirigido al usuario – el famoso mail de Correos que se popularizó hace unos meses era de este tipo-. Este correo electrónico contiene un archivo adjunto o un enlace que lleva a la descarga de un archivo en formato ZIP que a su vez contiene un ejecutable que simula ser un PDF, para engañar al usuario.

Una vez activado el malware, éste cifra ciertos tipos de archivos, almacenados tanto en discos locales como en unidades de red, de forma que la víctima tiene que pagar un rescate si quiere obtener la clave para descifrar sus archivos. El malware avisa de que el rescate (alrededor de 300 euros) debe ser pagado antes de una fecha específica, si no, la clave se destruirá y no habrá forma de recuperar los archivos. A pesar de que el malware es fácilmente eliminado con cualquier antivirus, los archivos permanecen cifrados, y su clave se considera casi imposible de descifrar.

Cryptolocker afecta a todo tipo de documentos e imágenes, y no solo es capaz de cifrar los datos de ficheros locales, sino de las unidades de red alojadas en servidores a los que el usuario tiene acceso. Además, intenta borrar las copias de seguridad antes de cifrar los archivos. En resumen, ataca por distintos frentes y no es precisamente un enemigo fácil de combatir.

¿Qué podemos hacer ante un ataque de ransomware?

Por tanto, la pregunta es ¿qué podemos hacer para proteger nuestros archivos de programas de este tipo? Reforzar la seguridad sería la respuesta más obvia, pero esto solo solucionaría la mitad del problema. Contar con una copia de seguridad sincronizada tampoco es suficiente para resolver el problema, ni en local ni en la nube, ya que en el momento en que los archivos se sincronizasen (algo que normalmente ocurre en cuanto se realiza algún cambio en los mismos), dejarían de ser útiles.

Según nuestra experiencia, en este tipo de casos es, como dice el dicho, mejor prevenir que curar. Las soluciones de seguridad tradicionales y reactivas no son suficientes, ya que normalmente identifican y limpian la amenaza cuando esta ya ha causado daños.  Es necesario abordar este problema desde la óptica de la protección de los datos empresariales – que engloba tanto los servidores como los portátiles o dispositivos móviles de los trabajadores. Dicha protección debe estar integrada en la estrategia de gestión de la información de cualquier entidad. Esto puede incluir copias a disco, cinta, en la nube, etc. Se debe proteger la información durante todo su ciclo de vida y en todos los puntos en que se pueda acceder a ella. Además, se debe contar con mecanismos de recuperación ante desastres y de restauración que deben ponerse en marcha como medida inmediata una vez detectada la infección.

Son frecuentes los casos de organizaciones que confirman haber sido infectadas pese a disponer de soluciones de seguridad perimetral y de puesto actualizadas. En estos casos, dichas organizaciones admiten que sólo el hecho de disponer de una copia de seguridad limpia de los ficheros afectados les ha permitido no perder información crítica para el negocio.

Es en este ámbito donde la solución Commvault Edge Drive puede dar respuesta a este problema, ya que permite tener la información respaldada y accesible de forma inmediata. Edge Drive proporciona una nube personal privada para los datos del usuario, gestionada por el departamento de TI, para que los propios usuarios puedan almacenar, acceder y compartir archivos desde prácticamente cualquier lugar. Como resultado, las empresas pueden tener la garantía de que sus datos sensibles de negocio permanecen seguros en cumplimiento con los requisitos de la organización mientras que se aumenta la colaboración y la productividad.

Hoy en día, la percepción de una amplia mayoría de las organizaciones es que no se trata de saber si amenazas como Cryptolocker van o no a impactar en una organización, sino de cuándo lo van a hacer. Al emplear para propagarse el probablemente eslabón más débil de la cadena (el factor humano), es muy sencillo que este software malicioso infecte una organización (correos electrónicos dirigidos, dispositivos USB infectados, aplicaciones maliciosas, etc).

Por supuesto, en estos casos deben identificarse los puntos de infección y eliminar el foco de la misma lo antes posible, ya que de otra manera, la información podría volver a verse afectada. Pero la protección reactiva, bien siendo necesaria, no es normalmente suficiente.

Por todo ello, la prevención es la clave. Además de disponer de una estrategia de gestión y protección de información, es imprescindible formar a los empleados sobre los riesgos de abrir ficheros adjuntos o de seguir enlaces cuando estos no provienen de remitentes conocidos.

Y, por supuesto, nunca debe aceptarse el chantaje, no solo porque no hay que favorecer ni subvencionar el crimen, como es obvio, sino también porque no se puede confiar en la palabra de los cibercriminales, y en muchas ocasiones los archivos no se recuperan ni aún pagando.

Por David Sanz, Solutions Specialist de Commvault