¿Cómo prevenir y qué hacer en caso de infección por ransomware?
4.5 ( 2 votos )

1. Evitar el Spam.
Muchas veces no se detecta un comportamiento anómalo ni afecta a nuestra experiencia de navegación, simplemente se instala el virus en segundo plano pasando inadvertido para el usuario. El segundo método más extendido de propagación consiste en el envío de enlaces a webs comprometidas en correos masivos (spam), e incluso mensajería instantánea, redes sociales, e incluso al compartir ficheros en redes P2P (torrent, etc.).

 2. Realizar copias de seguridad.
La realización de backup regulares de nuestros archivos es el método sin duda más efectivo de combatirlos. Por desgracia, en la mayoría de casos la recuperación de los  equipos afectados o de los archivos cifrados será imposible, de modo que poder recuperarlo mediante copias de seguridad es casi siempre la única vía posible.

3. Tener el Firmware y Software de nuestro equipo actualizados.
Para poder dar menos oportunidades a sufrir ataques de seguridad, tanto las aplicaciones como el sistema operativo de nuestro equipo deberán encontrarse actualizados a la última versión disponible y con todos los parches de seguridad instalados. Especialmente relevante el caso de los navegadores web (Chrome, Firefox, Internet Explorer, Safari… etc.), ya que en ocasiones las infecciones se producen al navegar por determinadas páginas web (bien porque este sea su propósito o bien porque hayan sido comprometidas previamente).

4. No navegar por sitios maliciosos
Utilizar el sentido común y como norma general, no confiar de sitios webs, archivos o links extraños o desconocidos. Si por ejemplo, nos llega un enlace a nuestro correo electrónico en relación a un pedido que no esperamos, no hacerle caso y ante la duda informarnos antes de abrirlo. Tal y como se menciona en el punto 1,  en muchas ocasiones, con una simple búsqueda en Google del asunto o del cuerpo del mensaje de correo electrónico recibido puede ser suficiente para percatarnos de que lo que esperábamos fuese legítimo es en realidad una amenaza.

5. Extensiones de archivo habilitadas.
Tener habilitadas las extensiones de los archivos puede ayudarnos a identificar de mejor manera un intento de ataque. Si por ejemplo, en un correo electrónico esperamos recibir una imagen y sin embargo recibimos un fichero comprimido (un “.zip” por ejemplo) puede ser indicador de que algo no va bien. Si tenemos la sospecha de que alguno de los archivos que hemos recibido recientemente puede tratarse de algún tipo de virus, lo primero de todo deberemos desconectar el equipo de la red. Ello mitigará el riesgo, especialmente en entornos empresariales, de que este se pueda expandir al resto de equipos de la red.

 

¿Qué debo hacer si la infección se ha producido?

En primer lugar, todos los cuerpos de policía del mundo recomiendan no pagar el rescate pedido por los cibercriminales ya que haciéndolo no se garantiza la recuperación de los archivos y sin embargo se fomenta la realización de esta práctica criminal. Según estudios recientes de la empresa de antivirus Kaspersky, uno de cada tres usuarios paga por el rescate de sus archivos y aproximadamente un 20 % de los mismos no logra recuperarlos. En su lugar, y dependiendo de la magnitud del incidente, como primera acción se aconseja ponerlo en conocimiento de las Fuerzas y Cuerpos de Seguridad del Estado, especialmente si se consideran vulnerados ciertos derechos fundamentales o se pone de algún modo en riesgo la seguridad de las personas. En el caso de organismos públicos y empresas de interés estratégico para el país, esta comunicación debe canalizarse a través del CERT del Centro Criptológico Nacional, el cual es el organismo público dependiente del Centro Nacional de Inteligencia que tiene como misión velar por la seguridad de los sistemas de información en la administración pública.

Si tras ello se decide intentar recuperar los archivos, la forma de enfocar la “desinfección” de los mismos cambia respecto de un ataque por virus de otra naturaleza. En un escenario habitual de infección, los archivos quedan dañados o tienen un comportamiento diferente del esperado como consecuencia de la acción de un archivo malicioso. Para estos casos, ejecutar una aplicación antivirus tradicional puede solventar la mayoría de veces el problema, intentando volver los archivos a su estado anterior o eliminando directamente la amenaza. En el caso del Ramsomware, el problema es que los archivos no se han visto infectados sino cifrados, de modo que borrarlos o desinfectarlos no sirve. En este caso, la estrategia de recuperación debe de ser, primero la eliminación del archivo que produce el cifrado de los archivos en nuestro dispositivo y segundo la obtención de la clave, la llave, con la que han sido cifrados nuestros archivos.

Existen organismos y entidades privadas que trabajan activamente en esta tarea ofreciendo aplicaciones y recursos gratuitos que pueden servirnos para tal fin. Especialmente conocido en el mundo de la ciberseguridad es el proyecto “No More Ramsom”, liderado por la Europol y la unidad de crimen tecnológico de la policía holandesa en unión con alguna de las empresas privadas más importantes del sector. A través de esta organización, se ofrecen un conjunto de herramientas gratuitas que permiten descifrar los archivos atacados por una gran mayoría de Ramsomware, así como consejos o guías para abordar un incidente de esta naturaleza.