Ransomware CITI Value in Real Time —

Aunque no es nada nuevo el “Ransomware” y sus orígenes para algunos autores pueden remontarse a la era del disco flexible, una de las amenazas actuales que ronda ya en las redes nacionales y en las regiomontanas es la del “Ransomware”.  Y sin entrar en detalles desde hace ya semanas andan por tierras regias.

No quiero asustarlos, pero conviene que tengan respaldos actualizados y fuera de línea ya que estos son la última línea de defensa. Cuando utilizo el término fuera de línea es que el disco donde se haya realizado el respaldo sea desconectado después de que haya terminado el respaldo.

Así mismo es necesario revisar continuamente el estado de aquellos servidores que contengan información crítica para el negocio (esto lo debieron haber hecho cuando hicieron su análisis de riesgos) para que tengan claro lo que está sucediendo y además que en las redes locales entiendan el tráfico normal de la misma y puedan detectar intrusos.

Qué podemos hacer para protegernos del ransomware:

• Respaldar nuestros datos en al menos tres formatos (tanto en línea como fuera de línea). Tener respaldos en bóveda externa. Esto no nos cuesta más que los medios y el tiempo.
• Configurar los sistemas para mostrar siempre archivos con extensiones escondidas.
• Evitar dar “clic” o abrir archivos asociados de gente que no conoce o empresas con las que no hace negocios, en especial si contienen archivos ejecutables (de hecho conviene mediante un filtro de contenido institucional el borrarlos, los ejecutables no deben viajar en el correo electrónico).
• Utilizar algún kit de prevención de “ransomware”, contar con software antivirus actualizado.
• Utilizar una suite de seguridad que sea respetable.
• Deshabilitar RDP en servidores.
• “Parchar” y actualizar el software del equipo. Es decir, estar al corriente en los parches. Siempre he pensado que es mejor que seas tú el que tiere el servicio al aplicar un parche a que sea un atacante, cuando eres tú al menos ya sabes lo que hiciste.
• No permitir que el servidor sea accesible desde redes Wi-Fi, sí es una flojera, pero si la información es crítica para el negocio, ¿porqué no hacerlo?.
• Periódicamente realizar System Restores.
• Si se es lo suficientemente afortunado (o si tu información es muy crítica y el negocio lo justifica) de contar con un equipo de pruebas y/o QC, tener un ambiente de recuperación espejo (claro que fuera de línea y al corriente en sus parches).
• Para el caso de servidores, aunque se encuentre en una red interna y sin acceso a internet considerar que debe estar “compartamentalizado” y monitoreado ya que un equipo comprometido dentro de nuestra red puede servir como puente para comprometer el servidor. En pocas palabras el concepto es “trust no one”, lo siento GPTW.

Estamos en una era donde necesitamos prevenir, pero también estar dispuestos a responder. Y lo que recomiendo es no pagar el rescate (aunque en muchas ocasiones puede ser que te den la llave para descifrar). Ya que al hacerlo seguiremos haciendo rentable esta actividad. Una vez que sueltas dinero estás expuesto a que el atacante, una vez que sabe que estás dispuesto a pagar, escale sus ataques. Y si por alguna razón eres víctima de un ataque de cualquier tipo,  siempre recuperar desde “cero” el ambiente, aunque te hayan dado la llave en el caso del “ransomware” ya que una vez comprometido un equipo nada es igual.

Eso sí, en muchas ocasiones, aunque la gente sepa lo que no debe hacer, lo hace, sólo para ver qué sucede. Así es la cultura de la gente. Como dicen en Beisbol, “contra la base por bolas no existe defensa” o como dijo otro, “la seguridad regional está con una mano adelante y otra atrás”.

Que tengan un buen día.