El ransomware está afectando cada vez a más víctimas, aprovechándose de la falsa confianza que algunos usuarios tienen en correos provenientes de la Policía o de Correos. Este último es tal vez uno de los grandes conocidos, y que se inicia a través de la recepción de un mensaje como el siguiente

correos

Este tipo de mensajes en ocasiones incluye cierta información sobre el destinatario con tal de aumentar la apariencia de mensaje real (obtenido a través de fuentes públicas o a través de otros usuarios infectados). Afortunadamente, en este caso concreto ha habido un par de detalles que claramente permitían determinar que nos encontrábamos ante un correo falso

1. Mezcla de idiomas, utilizando en determinadas partes términos en inglés

2. Errores ortográficos y de codificación en el texto

Por desgracia, y como ya he mencionado, sí que se producen víctimas, y justamente hoy se ha publicado otra noticia indicando que “Cádiz asegura que un virus informático ha borrado los documentos del ‘caso Matadero’ que solicitaba el juez“. El cuerpo del artículo nos indica que nos encontramos ante otro ejemplo de ransomware

Según la versión municipal, los documentos no están disponibles debido a un virus informático que imposibilita el acceso a los archivos, y que habría sido difundido por alguien que reclama una cantidad de dinero a cambio de su liberación.

En una empresa o una Administración Pública los archivos son hoy en día su vida. La pérdida de los mismos podría llegar a tener consecuencias, más aún cuando hablamos de casos en los que existen obligaciones de diligencia y conservación de documentación.

Erradicar totalmente este tipo de ataques es (por desgracia) imposible, así que al menos lo que se tiene que intentar es no ponérselo excesivamente fácil para que todo tu trabajo quede bloqueado por ransomware.

Así, que cosas (básicas) que no deberíais hacer para evitar que les sea tan sencillo quedarse con vuestro trabajo (y dinero, en muchos casos).

1. No abras enlaces

La primera recomendación es tal vez la más obvia. Si recibes un mensaje del banco, de tu empresa, de Hacienda, con un enlace en el mismo la mejor opción es abrir tu navegador y acceder directamente a la web de que se trate. De esta manera, te evitas muchos problemas.

Puede que el mensaje venga (o parezca venir, porque en muchos servidores sobretodo propios no se comprueban cabeceras y origen real de los correos) de uno de tus contactos. Aún así, siempre hay que tener mucha cautela.

En el caso de empresas, es importante incluir formación al respecto dentro de las políticas que se les enseñarán, con tal de evitar ataques que obtienen tanto éxito también como el spear phishing.

Sí, en el servidor de correo se puede mirar de filtrar un poco los correos maliciosos utilizando listas negras y demás, pero la introducción de servidores en estas listas (además del uso potencial de nuevos servidores infectados para el envío de los mismos) puede provocar que dichos mensajes sigan llegando a nuestra bandeja de entrada.

Porque sí, el mensaje se puede generar realmente en el servidor de uno de nuestros contactos, contar con las firmas correspondientes para identificarlo y que por lo tanto pasen nuestros graylists y demás, y que todo ello venga provocado porque su equipo se haya visto comprometido. Por lo tanto, mucho cuidado con todo mensaje sin importar remitente.

2. Tener la copia de seguridad en el mismo equipo en el que trabajas

Tal vez solo cuentas con un equipo, y programas un sistema de copias de seguridad en una carpeta de tu disco duro. Eso, ante un ataque de ransomware, puede provocar que te quedes sin absolutamente nada, solo te serviría si quisieras recuperar algún documento que se hubiera borrado por error, o para recuperarte ante determinados fallos.

La verdad es que el ransomware cada vez es más evolucionado, y las últimas versiones buscan todo el contenido al que tienen acceso para cifrarlo, con lo cual tus copias también se pueden ver afectadas .

3. Tener tu servidor de backups y tu copia en la nube como unidades mapeadas

En algunos casos, acabamos teniendo los mismos problemas que en el apartado anterior. Pensando en el peor de los casos, el virus tendrá acceso a lo que tú tienes acceso, con lo cual si puedes abrir un archivo de forma transparente (esté en la nube o en un servidor de la red) es más que posible que también pueda cifrarlo. La nube tampoco es un obstáculo, si la tienes mapeada en tu equipo todo el tiempo para él solo es un acceso más al que atacar directamente.

4. Trabajar siempre como administrador con acceso completo al sistema

Se está cogiendo la fea costumbre de trabajar siempre como administrador, sin excepciones, y con acceso completo a toda la red y a todo el equipo. De esta forma, un ejecutable malicioso obtendría todos esos beneficios, y su ataque sería aún más perjudicial.

5. ¿Pagar o no pagar?

La respuesta es complicada, porque existen versiones para las cuales aún no hay solución (ni firma ni algún error en la implementación que permita recuperar los ficheros). Lo que sí puedo decir es que conozco no pocos casos en que han pagado y se han quedado sin dinero y sin ficheros.

6. ¿Alguna recomendación?

El sistema que yo personalmente utilizo en uno de los equipos en que trabajo hace que el servidor de copias de seguridad se encargue de acceder y cargar por un canal seguro la copia generada por mi equipo (sin ejecutarla, obviamente), y sin que mi usuario de trabajo tenga acceso directo a todas ellas. En algunos casos, determinadas copias de seguridad transcurrido un tiempo se encuentran dentro de un contenedor cifrado que no se encuentra montado por regla general.

Dicho lo anterior, muchos problemas se pueden salvar simplemente con

  • Formación, propia y de los trabajadores
  • Configuración adecuada del servidor de correo
  • No permitir acceso completo a todos los usuarios y no trabajar siempre con el usuario administrador

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.