El 14 de septiembre de 2017, publicamos una versión revisada de nuestra Política de privacidad. Tu uso continuado de video2brain.com significa que aceptas este documento revisado, por lo que te recomendamos que dediques unos minutos a leerlo y comprenderlo.

Fundamentos de la ciberseguridad para profesionales IT

Ransomware: secuestro de archivos

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Es hora de definir el concepto de ransomware. Analizaremos el alcance del daño que puede causar, conoceremos sus fuentes más probables de ataque y estudiaremos algún ejemplo para comprender su funcionamiento a nivel interno.

Transcripción

El ransomware es una de las amenazas más indiscriminadas que actualmente se cierne sobre administraciones públicas, empresas y particulares. Este tipo de malware tiene como objetivo secuestrar la información de los equipos afectados para, a continuación, solicitar un rescate. De hecho, la palabra "ransom" se traduce como "rescate". El ransomware es uno de los negocios más rentables del cibercrimen, dado que no importa la víctima. No hace falta especialización, se pueden lanzar campañas de infección masivas para golpear a cuantas más personas y empresas mejor. Generalmente el ransomware se distribuye mediante phishing, es decir, por correo electrónico, engañando al destinatario mediante ingeniería social. Los engaños más habituales suelen ser falsas facturas de compañías eléctricas o telefónicas y, un clásico, son los emails que suplantan a compañías de correos o paquetería, informando de que hay un paquete que no ha podido ser entregado y adjuntan el albarán igual que los anteriores adjuntaban la supuesta factura. Son los adjuntos de esos correos electrónicos los programas que instalan el ransomware. Es común que estos archivos vengan comprimidos en formato ZIP o RAR para reducir las posibilidades de ser escaneados por herramientas anti-malware y, en la mayor parte de los casos, el contenido es un archivo ejecutable o un archivo de código JavaScript. En el caso del ejecutable, éste suele ser el instalador del ransomware, mientras que lo que suele hacer el JavaScript, es descargar el instalador del ransomware desde su centro de comando y control y ejecutarlo. Según el tipo de ransomware, intentará o no escalar privilegios para obtener un mayor alcance a la hora de cifrar los archivos, ya que, como es lógico, si no escala privilegios sólo podrá cifrar aquellos archivos para los que el usuario disponga de privilegios de escritura. El método suele ser cifrar todos aquellos archivos alojados en directorios del usuario o con extensiones específicas como, por ejemplo, PDF, DOC, TXT, JPG, etc. Así, no daña los archivos del sistema y permite que el usuario pueda arrancar su computadora y ver la solicitud de rescate. El procedimiento suele ser el siguiente: instalación del ransomware, cosa que suele hacerla víctima bajo engaño; sí es posible, se inyecta en un proceso con privilegios de administrador para aumentar su alcance. Luego, genera una clave aleatoria de cifrado y la comunica a su centro de control. Después, recorre el total de volúmenes conectados y cifra todos los archivos para los que tenga permiso de escritura. Cada vez que crea una copia cifrada de un archivo, suele cambiar su nombre para que no sea reconocible. Y, a continuación, borra el archivo original. Una vez completado el proceso de cifrado de archivos, presenta al usuario una imagen, archivo de texto o web con las instrucciones para pagar el rescate. Como hemos dicho, el ransomware podrá cifrar todos aquellos archivos para los que tenga permiso de escritura. No importa si están en el disco duro de la propia computadora, en una memoria USB o en un espacio compartido en el servidor del directorio activo de Windows; incluso, los archivos sincronizados con servicios como OneDrive, DropBox o Google Drive se cifrarían. Para ser exactos, se cifraría la versión local del archivo, se borra el original y, luego, la herramienta de sincronización se ocupará de subir a la nube el archivo cifrado y borrar el original. Lo más habitual en la nota de rescate es informar al usuario de cómo crear una cuenta de bitcoins y cómo hacer una transferencia de estos a una cuenta controlada por los cibercriminales. Se supone que cuando se realiza ese pago, la organización proporciona un software que integra la clave con la que se cifraron los archivos y, al ejecutarla, los recuperaríamos. Los problemas de hacer caso a la demanda del rescate son que no tenemos garantías de que los cibercriminales cumplan con su parte del trato. Pagar por actividades criminales, incluso en casos como éste, es considerado delito en muchos países. Incluso si nos aportan el software de recuperación, no podemos estar seguros de que este mismo software no instale otro tipo de malware durmiente o incluso otro ransomware que actúe pasado un tiempo. Para prevenir los ataques por ransomware podemos tomar las siguientes medidas: educación y concienciación para discriminar los posibles correos electrónicos fraudulentos. Trabajar con cuentas de usuario sin privilegios de administración para minimizar el impacto del ransomware. Utilizar herramientas anti-malware, ya que pueden llegar a prevenir la ejecución de algunos ransomware. Y conservar copias de seguridad offline, es decir, desconectadas, de modo que no podrán verse afectadas por el cifrado. Sí nos afecta una infección por ransomware, debemos, primero, aislar la red, desconectar los equipos afectados. Nunca atender las demandas de pago. Denunciar ante la policía y seguir sus instrucciones. Comprobar el estado de las copias de seguridad. Y si la policía nos autoriza a continuar con el uso de nuestros equipos, la mejor solución es el borrado completo del disco o la sustitución por uno nuevo para reinstalar el sistema operativo y restaurar las copias de seguridad pertinentes. Si no se han hecho copias de seguridad o si éstas no están operativas o se han visto afectadas, podemos recurrir a servicios anti-ransomware de las instituciones públicas, como, por ejemplo, INCIBE, donde nos dan una guía de actuación y denuncia e instrucciones para tratar de recuperar los datos. Aparte de este servicio, existen otros catálogos online de herramientas de recuperación de archivos cifrados por ransomware, diseñadas para cada tipo o familia de ransomware. Pero no es aconsejable utilizarlas sin supervisión profesional, y hay que asegurarse de que las hemos obtenido de una institución confiable.

Fundamentos de la ciberseguridad para profesionales IT

Descubre distintos métodos de evaluación de riesgos y de gestión de incidentes basados en frameworks o marcos de trabajo preestablecidos de alto reconocimiento a nivel mundial.

2:58 horas (27 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Fecha de publicación:29/08/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.