Ciberseguridad y ciberprotección

Consejos para una mayor seguridad informática

Usted está aquí: Inicio / Archivo de 2019

Ojo con los cryptolockers

por 1 comentario

¿Qué es un CryptoLocker?

CryptoLocker es un género de malware que encripta todos aquellos ficheros, archivos, documentos o equipos informáticos, hasta que sean desbloqueados por el “ciberdelincuente”.

CryptoLocker es de momento una pieza muy conocida de malware que puede ser en especial perjudicial para cualquier organización basada en datos. En el momento en que el código se ha ejecutado, cifra los ficheros en los escritorios y recursos compartidos de red y «los secuestra para el rescate». Si algún usuario intenta abrir el fichero se le solicitará abonar una tarifa, un rescate, para descifrarlos. Por tal razón, CryptoLocker y sus variaciones han llegado a ser conocidos como «ransomware.

Malware como CryptoLocker puede entrar en una red protegida por medio de muchos vectores, incluyendo e-mail, sitios de intercambio de ficheros y descargas, sitios web, etc.

Un Cryptolocker puede afectar de forma severa a una empresa, a su imagen, su sitio web, dejándolo inservible y afectando incluso a la visibilidad en buscadores.

Aparte de limitar el alcance de lo que un host infectado puede corromper por medio de la retención de los controles de acceso, se aconsejan controles de detección y protección como una primera línea de defensa.

¿Qué hace CryptoLocker?

En la ejecución, CryptoLocker empieza a examinar las unidades de red asignadas a las que está conectado el host: carpetas y documentos, cambia el nombre y cifra las que tiene permiso para alterar, determinado por las credenciales del usuario que ejecuta el código.

CryptoLocker, en muchos casos, emplea una clave RSA de 2048 bits para cifrar los ficheros, y cambia el nombre de los ficheros agregando una extensión, como, “.encrypted”, “.cryptolocker” o bien una combinación de 7 caracteres aleatorios, dependiendo de la variación.

Finalmente, el malware crea un fichero en cada directorio perjudicado que enlaza a una página con instrucciones de descifrado, que requiere un pato por parte de la víctima (en numerosas ocasiones mediante bitcoin).

Los nombres del archivo de instrucciones acostumbran a ser DECRYPT_INSTRUCTION.txt o bien DECRYPT_INSTRUCTIONS.html.

¿Cómo prevenir CryptoLocker?

Cuantos más ficheros tenga acceso una cuenta de usuario, más daño puede producir un malware, por consiguiente, limitar el acceso es una medida de acción prudente, puesto que limitará el alcance de lo que se puede cifrar. Como llegar a un modelo de privilegios mínimos no es una solución rápida, sí es posible reducir la exposición velozmente suprimiendo conjuntos de acceso globales superfluos de las listas de control de acceso.

Conjuntos como «Todos», «Usuarios autenticados» y «Usuarios de dominio», cuando se emplean en contenedores de datos (como carpetas y sitios de SharePoint) pueden exponer jerarquías completas a todos y cada uno de los usuarios de una empresa.

Aparte de ser objetivos de ataque, este conjunto de datos expuestos son muy propensos a ser dañados en el ataque del malware.

En los servidores de ficheros, estas carpetas se conocen como «recursos compartidos abiertos», tanto el sistema de ficheros como los permisos de empleo compartido son alcanzables mediante un conjunto de acceso global.

¿Cómo detectar un CryptoLocker?

Si la actividad de acceso a ficheros se está inspeccionando en los servidores de ficheros perjudicados, estos comportamientos producen un elevado número de acontecimientos abiertos, de modificación y de creación a un ritmo rapidísimo y son bastante simples de percibir con la automatización, lo que da un valioso control de inspección. Por servirnos de un ejemplo, si una sola cuenta de usuario altera cien ficheros en un minuto, es seguro que algo automatizado sucede.

Configurar una solución de supervisión para provocar una alarma cuando se observe este comportamiento puede ser un valioso consejo: IDS, IPS o Firewall de nueva generación.

Dependiendo de la gravedad del CryptoLocker, el cifrado puede ser reversible con un desensamblador en tiempo real, pocos casos, o irreversible.

Consejos de seguridad como prevención del CryptoLocker o ransomware

  • Actualizar antivirus y software de protección. Estas soluciones pueden ayudar a advertir algunos géneros de ransomware y eludir que cifre ficheros.
  • Estar muy atentos a las estafas de phishing, e-mails de phishing, que son el mecanismo de entrega más usual para el ransomware.
  • Mantener copias de seguridad de todos los documentos importantes (es más rápido y más simple recuperar los documentos de un backup, que descifrarlos si se han visto comprometidos en un ataque ransomware).
  • Comprometerse a un modelo de cero confianza / privilegios mínimos. Un modelo de privilegios mínimos limita ese acceso sólo a lo que es completamente preciso.
  • Supervisar la actividad de los ficheros y el comportamiento del usuario para advertir, alertar y contestar a la actividad potencial de ransomware.
  • Y lo más importante, poner en marcha herramientas de ciberseguridad que permitan estar algo más seguro.

La mejor defensa es una buena prevención. Un ataque por medio de un Cryptolocker puede suponer un grave problema para su intimidad, sus datos personales, datos de empresa y el riesgo de ser sancionado por la Agencia Española de Protección de Datos por la posible filtración de información.

Situación de partida de la ciberseguridad andaluza

por Deja un comentario

De todos es sabido, que con mayor frecuencia dependemos de la nuevas tecnologías de la información y la comunicación; nuestro mundo se digitaliza. Sin embargo, ¿nos preocupamos por la dirección que este camino está tomando? ¿le damos la suficiente importancia a la seguridad informática?

Hagamos un repaso sobre la situación en la que nos encontramos en España y en Andalucía. Si atendemos a los últimos datos publicados por distintos medios de comunicación, observamos el crecimiento exponencial del ciberdelito en nuestro país; más de 120.000 en un sólo año, ataques de denegación de servicio, suplantación de identidad, encriptación de archivos, documentos, bases de datos, equipos y sistemas, y un sinfín de extorsiones, se están haciendo cada día más comunes en el tejido productivo de nuestro país. La situación en Andalucía es aún más alarmante, ya que varias provincias andaluzas se encuentran en las primeras posiciones nacionales en ciberataques. La explicación es sencilla, el desconocimiento o despreocupación del empresariado en relación a medidas de ciberseguridad, situación que ubica a la empresa andaluza en el punto de mira de las instituciones y empresas ciberdelincuentes. Es bastante habitual que el pensamiento común de los directivos de nuestras empresas gire en torno a la idea de que los delitos informáticos tienen que ver con las grandes empresas. Nada más lejos de la realidad, las fuentes consultadas advierten que el ciberdelito habitual se enfoca o dirige, en un 70%, a la pequeña y mediana empresa, menos protegida y, por tanto, más fácil de extorsionar.

En algunos casos, el ataque informático puede dejar inservible una empresa; inutilizando su estructura informática y eliminando aquellos archivos o copias de seguridad que podrían recuperar el estado preliminar a la agresión sufrida.

Es por ello, por lo que debemos tener presente que uno de nuestros objetivos estratégicos debe ser salvaguardar la integridad, confidencialidad y disponibilidad de la información empresarial: documentación contable o comercial, pero, sobre todo, la de carácter personal, ya que desde la entrada en vigor del Reglamento General de Protección de Datos de Carácter Personal (RGPD) para todos los países de la Unión Europea y, de forma concreta en España, la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos, las sanciones por no auditar la ciberseguridad de nuestra institución ante brechas de seguridad o vulnerabilidades, o no informar sobre fugas de información a los posibles damnificados, pueden ser muy cuantiosas, de hasta 20 millones de euros o el 4% de la facturación anual en las faltas muy graves.

La comunidad universitaria trabaja para encontrar las mejores medidas en la lucha contra el ciberdelito, en Sinergia Ciberseguridad spin-off Universidad de Granada se proponen líneas de actuación que permiten detectar vulnerabilidades y amenazas (auditorías y análisis de riesgos), al mismo tiempo que el cumplimiento del RGPD, herramientas de protección, o formación bonificada destinada al eslabón más débil de la cadena empresarial, el usuario.

Está en nuestra mano frenar el ciberdelito, hagámoslo.