La respuesta es sencilla: se trata de un tipo de malware que impide al usuario el acceso a los datos y sistemas de su empresa. Y lo hace bloqueando los equipos o, con mayor frecuencia, cifrando los datos de modo que sean prácticamente irrecuperables – obligando al individuo o compañía a pagar un rescate para recuperar el acceso. Es un problema de gran magnitud. A día de hoy existen millones de amenazas de ransomware.

La gente suele ver al ransomware como un problema de los consumidores, pero estos no son únicamente los que se ven afectados en la actualidad. El ransomware también está afectando a las organizaciones. Una infección de este tipo resulta bastante dañina para una organización ya que literalmente deja inutilizables parte o la totalidad de los datos corporativos. Las implicaciones son obvias: interrupción del negocio, pérdida de productividad y daños para la marca/reputación a gran escala. En febrero se informó que el Centro Médico Presbiteriano de Hollywood declaró una emergencia interna después de ser víctima de dicho ataque, lo cual obligó al personal volver a utilizar las máquinas de fax, el lápiz y el papel, e incluso provocó que se cancelaran los tratamientos de los pacientes.

Existen herramientas para detener ciertas familias de ransomware, pero los directores de TI no pueden asegurar a ciencia cierta que van a funcionar. Y no hay garantía de que aun pagando el rescate los archivos se liberen. La clave radica en detener al malware antes de que penetre en la organización, aplicando seguridad en varios niveles.

¿Por qué debe tener diferentes niveles? La respuesta es sencilla: porque los creadores de malware están adaptando constantemente su código para evadir los filtros y atacar diferentes partes del entorno tecnológico. Tal vez usted cuente con protección para el gateway de correo, por ejemplo, pero ¿y si uno de sus empleados visita una página infectada? De igual forma, los criminales también están comenzando a dirigir su malware a la infraestructura de servidores a través de variantes como SAMSAM. En resumen, no hay una fórmula mágica para prevenir esta amenaza, lo que se hace es tratar de mitigar el riesgo de la manera más efectiva posible, al poner más mecanismos de control en el camino.

Trend Micro recomienda implementar la protección en los siguientes puntos:

1) En el gateway de correo electrónico y web

Esto dará una buena oportunidad de evitar que la mayoría del ransomware llegue a los usuarios en una empresa, ya sea a través de un email de phishing o de una página maliciosa. Es importante recordar que aunque se utilice una plataforma de correo en la nube como Microsoft 365 con su propia seguridad integrada, es una buena idea reforzarla con protección adicional de un tercero. Por eso, se recomienda buscar soluciones que al menos ofrezcan:

  • Análisis de malware y evaluación de riesgos para los archivos
  • Análisis de malware mediante sandboxes
  • Detección de exploits de documentos
  • Reputación web

En el gateway web, se necesitará reputación web en tiempo real, análisis de sandbox y la capacidad de detectar exploits de día cero y del navegador.

2) En el endpoint

Un pequeño porcentaje de las amenazas de ransomware podrían esquivar la protección del gateway de correo/web. Por eso es importante incluir seguridad para endpoints, que busca identificar el comportamiento sospechoso, aplicar listas blancas y blindar las vulnerabilidades para proporcionar protección contra vulnerabilidades a las que aún no se les han aplicado parches de las que a menudo se aprovecha el ransomware.

 3) La red

El ransomware también puede entrar en la organización y propagarse a través de otros protocolos de red. Así que es bueno implementar seguridad para la red que contenga capacidades de detección avanzadas en el tráfico, en todos los puertos y protocolos para evitar que se infiltre y se propague.

 4) El servidor

Aquí es donde residen la mayor parte de los datos empresariales críticos, así que es esencial asegurar que las vulnerabilidades estén protegidas contra el ransomware mediante la aplicación de parches virtuales. Se recomienda elegir una solución de seguridad que pueda monitorizar el movimiento lateral y la integridad de los archivos.

Recuerde también que las soluciones de seguridad son solamente una parte de la respuesta para mitigar los riesgos. En este sentido, considerar educar y formar mejor a los empleados para que eviten abrir correos electrónicos sospechosos; proceder a la segmentación de la red para reducir la propagación de malware dentro de la organización; y realizar copias de seguridad automáticas con un medio offline para que, si sucediera lo peor, no llegue a infectarse.