Ransomware, es un tipo de malware (software malicioso) que tiene como objetivo impedir a los usuarios acceder a sus sistemas y/o archivos mediante un cifrado de los mismos. Luego se exige el pago de un rescate para descifrar los datos y recuperar el acceso.

Descargas desde sitios web comprometidos: Los ciberdelincuentes pueden comprometer sitios web legítimos e insertar código malicioso que descarga e instala ransomware en los equipos de los usuarios. Estos ataques se conocen como “drive-by downloads” y ocurren cuando los usuarios visitan un sitio web comprometido sin saberlo.

Dispositivos de almacenamiento infectados: El ransomware también puede propagarse a través de dispositivos de almacenamiento externos, como USB, discos duros externos o tarjetas de memoria. Si se conecta un dispositivo infectado a un equipo, el ransomware puede propagarse automáticamente a través de la función de autorun o mediante la apertura de archivos maliciosos en el dispositivo.

Robo de credenciales: Los ciberdelincuentes pueden robar las credenciales de los usuarios autorizados, comprarlas en la web oscura o descifrarlas por la fuerza bruta. Luego pueden utilizar estas credenciales para iniciar sesión en una red o en un ordenador y desplegar directamente el ransomware.

Existen diferentes formas de protegerse contra el ransomware, tanto para evitar ser víctima como para recuperarse en caso de ser atacado.

Muchas de las medidas depende del área de IT y/o de los proveedores de servicios de IT (Firewall, filtrado de correo y navegación web, control de acceso, modelo zero trust, protección de endpoints, detección temprana en diferentes puntos, etc.)

Pero hay medidas preventivas que dependen de los usuarios, ya sea en ámbitos laborales o en el hogar.

Por eso es necesario capacitarse, y capacitar  usuarios en las empresas, para conocer los riesgos y tomar las medidas necesarias para minimizarlos.

Algunas de las medidas listadas a continuación también pueden ser aplicadas por parte del área de IT sin intervención de los usuarios, pero son medidas que es recomendable sean conocidas por todos los usuarios.

Si bien lo ideal es evitar los ataques de ransomware con fuertes medidas preventivas, también hay que estar preparado para recuperarse en caso de que las medidas preventivas fallen.

Por eso es vital proteger los sistemas y datos más críticos realizando copias de seguridad en forma periódica y con las medidas adecuadas para asegurar la recuperación de los datos:

1. Copias de seguridad regulares: es crucial programar de forma periódica copias de seguridad automáticas que cubran todos los datos e información relevante.
https://prored.com.uy/2023/07/05/plan-de-respaldo/

2. Estrategia de respaldo en capas: crear copias de seguridad almacenadas en diferentes ubicaciones y dispositivos aumenta la protección de los datos. Si una copia se ve comprometida, aun habrá otras disponibles.
https://prored.com.uy/2023/08/31/regla-3-2-1-respaldos/

3. Versiones de archivos e Inmutabilidad: Usar herramientas que permitan guardar varias versiones de los archivos es esencial para recuperar versiones de archivos previas al ataque. Adicionando el uso de  inmutabilidad se aumenta la seguridad ya que protege a los sistemas de respaldos en caso de también ser afectados por los atacantes.
https://prored.com.uy/2023/04/12/inmutabilidad/

4. Integridad de las copias de seguridad: realizar pruebas periódicas de restauración de datos es importante para verificar que la copia de seguridad haya sido creada de forma correcta y que pueda ser restaurada sin problemas.