Las amenazas que esperan agazapadas en la red, listas para adueñarse de los datos de quienes no se han protegido suficientemente, no dejan de crecer y sofisticarse. Una de las tipologías que más problemas está causando a empresas y usuarios de todo el mundo es el conocido como ransomware, o lo que también podríamos llamar el “secuestro de datos”. Veamos en qué consiste, cómo se propaga y cómo podemos protegernos frente a él con las soluciones de seguridad por capas de Cisco.

El ransomware, un problema grave y caro

El problema añadido que supone el ransomware sobre otros tipos de malware es que, en este caso, la falta de una adecuada prevención, que termina en una infección, no se paga sólo con el dinero que habrá que destinar a una empresa que intentará recuperar nuestra información, también habrá que añadir (si nos rendimos al chantaje de los ciberdelincuentes) el rescate para que los piratas informáticos nos devuelvan los datos que han cifrado y a los que no podemos acceder. Para hacernos una idea de lo lucrativo que es este negocio criminal, baste decir que en Estados Unidos se calcula que genera unos 60 millones de dólares al año.

¿Pero qué es exactamente? El ransomware es un software malicioso diseñado para adueñarse de los archivos del usuario (fotos, documentos, música) a cambio de un rescate. ¿Cómo funciona el chantaje? Los hackers cifran los archivos, tras lo que exigen al usuario que pague un precio a cambio de descifrarlos (algunas veces solicitan una cantidad en bitcoins). Un ejemplo común en España es el conocido como “Virus de la Policía”, donde los delincuentes intentan asustar al dueño del ordenador infectado haciéndose pasar por agentes de la ley que actúan ante una infracción cometida por el usuario afectado.

¿Qué podemos hacer nosotros para protegernos del ransomware?

La propagación del ransomware se produce a partir de exploit kits, malvertising (aquellos anuncios que nos atraen hacia una web infectada), suplantación de identidad (phishing) o campañas de correo spam. El delincuente planta primero el cebo y más tarde da paso a la verdadera infección, cuando el usuario clica en un enlace o en un archivo adjunto de un correo electrónico.

La defensa respecto al ransomware no puede hacerse desde un único frente. Si bien las herramientas de Cisco son muy efectivas (pudiendo llegar a menudo a detener la infección antes de que llegue a producirse), hay medidas que por fuerza quedan de la mano del usuario final. Una de ellas consiste en tener previsto un procedimiento de recuperación ante desastres probado (en un sitio segmentado y aislado para evitar afectaciones). Asimismo, también es básico contar con unas políticas de empresa para el caso de que se produzca una interrupción importante en el servicio. Hay que prever cuestiones como la estrategia de copias de seguridad o a qué tareas daremos preferencia si la empresa tuviera que cerrar para mitigar los efectos de un ataque.

¿Qué puede hacer Cisco por nosotros?

Donde Cisco entra en juego contra el ransomware es en su enfoque de seguridad multicapa, que está respaldada por la investigación de amenazas de Talos Security Intelligence and Research Group. Su conocimiento exhaustivo de las posibles amenazas convierte a Cisco en líder en seguridad en este ámbito. La protección por capas permite a la compañía luchar contra el malware y bloquearlo si, como por desgracia acabará ocurriendo en alguna ocasión, consiguen colarse en el sistema.

Esta protección abarca desde la capa de DNS hasta el terminal de la red, el correo electrónico y la Web. Se combina una mayor visibilidad con una mejor respuesta. Las capas se conocen con los nombres de “Victoria rápida” (las soluciones en la nube ofrecen una protección excepcional con poco impacto invasivo en la red); “Defensa de la Web” (se añade a la capa anterior la protección de contenido, el proxy web y otras características antimalware); y “Defensa rápida y protégeme una vez que entren las amenazas” (una vez agregadas las dos capas anteriores, añadimos este firewall de última generación).

Trabajando a fondo y en equipo

La inventiva casi sin límite de los hackers hace que ninguna protección (ni siquiera la mejor, como es el caso de la defensa por capas de Cisco) pueda detener siempre la infección. En ese caso, la segmentación dinámica que proporciona la tecnología Cisco TrustSec puede bloquear el ransomware y evitar que se mueva a sus anchas una vez que esté dentro de la red. Así se evita que afecte a la mayoría de sistemas. Asimismo, los servicios de protección frente a malware de Cisco (AMP y Threat Grid) ofrecen la capacidad de eliminar de forma retrospectiva el malware de los terminales donde se ha detectado.

Cuando el cliente se decide a protegerse y quiere andar los primeros pasos, puede empezar por la protección frente a malware avanzado Umbrella de OpenDNS. Umbrella deniega la solicitud de DNS, bloqueando la conexión en dicha capa. En cuanto a la protección frente a malware avanzado (AMP) de Cisco, bloquea la ejecución de los archivos de ransomware, además de analizar continuamente el sistema en busca de nuevos peligros. La suma de ambas (AMP y Umbrella) ya supone un importante bloqueo frente a amenazas en la capa de DNS.

Cisco cuenta con otro tipo de protecciones extra para correo electrónico (Cisco Email Security Appliance), para la seguridad web (Cisco Web Security Appliance y Cloud Web Security), así como firewalls de última generación (los NGFW de Cisco), entre otros. Se trata de capas de seguridad que podemos añadir a las ya mencionadas para lograr una protección más completa frente al ransomware y otros ataques. Y si, como mencionábamos más arriba, el cliente ha tomado medidas y establecido protocolos de actuación en situaciones de vulnerabilidad, el equipo que formará con los sistemas de seguridad de Cisco será casi invulnerable.

Datacom.Global, como Partner Premier de Cisco, implementa soluciones de Seguridad para combatir Ransomware a empresas Pymes para potenciar su Seguridad TI.

Guia detección y amenazas de CISCO