Recursos > Glosario de términos de seguridad > ¿Qué es la protección contra ransomware?

¿Qué es la protección contra el ransomware?

¿Qué es la protección contra ransomware?

La protección contra el ransomware consta de herramientas, tecnologías y estrategias empleadas para evitar que los delincuentes cibernéticos entreguen y ejecuten software malicioso que coacciona a las empresas a pagar un rescate, generalmente en criptomonedas, para recuperar el acceso a sus datos, infraestructura y red.

Los ciberdelincuentes llevan más de 30 años utilizando el ransomware para amenazar y extorsionar a las empresas con fines lucrativos, pero su uso se generalizó en 2015. En junio de 2015, una cepa de ransomware denominada CryptoWall había acumulado más de 18 millones de dólares, de acuerdo con la Oficina Federal de Investigación (FBI). El ransomware sigue encabezando los titulares de todo el mundo, ya que las estrategias de protección heredadas no han podido hacer frente a las tácticas en constante evolución de los delincuentes cibernéticos.

Las herramientas antiransomware modernas son altamente eficaces y fáciles de implementar. Lo primero que hay que hacer para tener una protección adecuada contra el ransomware es adoptar una postura de seguridad moderna, que esté integrada de forma nativa en la nube para proteger a los usuarios, las aplicaciones y los datos confidenciales de estos ataques.

 

Para estar a la altura de las amenazas actuales y proteger su red e infraestructura de estos ataques, una estrategia eficaz contra el ransomware debe incluir principios y herramientas que sirvan para:

  • Poner en cuarentena e inspeccionar el contenido sospechoso con un sandbox basado en IA
  • Inspeccionar todo el tráfico cifrado SSL/TLS
  • Implementar una protección siempre activa siguiendo las conexiones fuera de la red

La combinación de soluciones modernas con la filosofía emergente de prevenir los ataques de ransomware antes de que se produzcan está ampliamente considerada como el modelo de protección frente al ransomware más eficaz en el manual de ciberseguridad actual. Nos centraremos en este modelo en breve. Primero vamos a analizar brevemente el ransomware en general.

 

¿Cómo funcionan los ataques de ransomware?

Habitualmente, el ransomware se introduce en un sistema como muchos otros tipos de malware: cuando un usuario descarga un archivo adjunto de correo electrónico cargado de software malicioso, interactúa sin saberlo con un enlace malicioso o visita un sitio web comprometido. Una vez dentro de un sistema, el ransomware generalmente cifra los archivos o datos importantes de este, o lo bloquea por completo. Luego, el atacante exige un pago, a menudo en bitcoin u otra criptomoneda, a cambio de una clave que desbloquee el sistema o los archivos cifrados. Esa es la idea básica. Existen varios subtipos de ransomware que sirven para diferentes propósitos dependiendo de los objetivos del atacante.

 

Tipos de ransomware

1) Ransomware de criptomonedas

Tal vez el tipo más conocido de ransomware, esta variedad cifra los archivos y datos de un sistema, haciéndolos inutilizables sin no se tiene la clave de descifrado del atacante. Este subtipo y el Locker pueden ser especialmente exitosos cuando se dirigen a organizaciones que no pueden permitirse un tiempo de inactividad.

 

2) Ransomware locker

El software locker o de bloqueo es similar al ransomware de criptomonedas, pero en lugar de cifrar archivos, bloquea todo el sistema al usuario, generalmente mostrando las demandas de rescate del atacante en una "pantalla de bloqueo".

 

3) Leakware

También llamado doxware, este tipo se dirige a individuos u organizaciones y amenaza con divulgar públicamente datos confidenciales en línea, o a veces con venderlos a un tercero, si no se paga un rescate. Por lo general, el leakware se entrega a las redes empresariales mediante phishing por correo electrónico.

 

4) Scareware

El scareware se aprovecha del miedo, la incertidumbre y la duda afirmando de forma fraudulenta que ha encontrado un problema, como malware, en el dispositivo de un usuario, y solicitando después un pago para resolver el falso problema.

 

5) Ransomware como servicio (RaaS)

Los proveedores de RaaS aceptan el pago de otros ciberdelincuentes a cambio de una licencia para utilizar ransomware preconstruido. El delincuente "cliente" normalmente necesita hacer muy poco, ya que el software lleva a cabo un ataque completo de ransomware de forma automática.

 

Objetivos típicos de los ataques de ransomware

Sea cual sea el tipo, el ransomware es tan eficaz en parte porque puede eludir medidas comunes de protección de datos, como un antivirus básico y la autenticación de usuario. Además, ciertos tipos de organizaciones son más vulnerables al ransomware: aquellas que no pueden arriesgarse a tener periodos de inactividad debido a los servicios o costes críticos, aquellas que almacenan datos confidenciales significativos o aquellas que pueden permitirse pagar. En consecuencia, algunas de las áreas más afectadas por estos ataques son la atención médica, la TI, la educación y la fabricación.

 

Opciones de protección contra el ransomware

Hay toda una serie de soluciones de seguridad diferentes que ofrecen herramientas de detección y reparación de ransomware. Algunas de ellas son soluciones especiales que se centran en algunas capacidades específicas, mientras que otras forman parte de suites más amplias de protección contra amenazas.

Zscaler ofrece una protección contra el ransomware nativa de la nube para proteger a las organizaciones del ransomware de tres maneras clave:

  • Sandbox basado en IA para poner en cuarentena e inspeccionar el contenido sospechoso
  • Inspección de todo el tráfico cifrado SSL/TLS
  • Protección siempre activa que sigue las conexiones fuera de la red

Analicemos cada una de estas áreas con más detalle.

 

Uso de la cuarentena de sandbox basada en IA

Debido a que las variantes actuales de ransomware se adaptan a sus objetivos, para que las medidas de mitigación sean efectivas deben frustrar las nuevas cepas y las amenazas de día cero antes de que puedan causar daño. Los enfoques anticuados de protección contra el ransomware se basan en el análisis de malware fuera de banda, que hace llegar los archivos desconocidos al usuario al mismo tiempo que se analizan. Dichos enfoques "de paso" envían una alerta si encuentran un archivo malicioso, pero para ese momento, el archivo ya habrá alcanzado su objetivo, lo que genera un riesgo significativo de infección.

Con una cuarentena de sandbox basada en IA y desarrollada sobre una arquitectura de proxy nativa de la nube, los archivos se pueden poner en cuarentena y analizar completamente antes de la entrega, lo que prácticamente elimina el riesgo de infecciones de paciente cero. A diferencia de los enfoques de paso heredados, se garantiza que los archivos sospechosos o nunca vistos serán retenidos para su análisis y no llegarán a su entorno.

Una solución nativa de la nube y basada en IA como Zscaler Cloud Sandbox ofrece ventajas que van más allá de las soluciones antimalware heredadas. Entre ellas están las siguientes:

  • Control total de las acciones en cuarentena con una política granular definida por grupos, usuarios y tipo de contenido
  • Veredictos de seguridad en tiempo real sobre archivos desconocidos basados en el aprendizaje automático y Zscaler Zero Trust Exchange, la mayor plataforma de seguridad del mundo construida para la nube
  • Descargas de archivos rápidas y seguras; cualquier archivo identificado como malicioso será marcado para entrar en cuarentena

Básicamente, Zscaler Cloud Sandbox previene los ataques de ransomware asegurando que los archivos no reconocidos o maliciosos nunca lleguen a su red en primer lugar.

 

Inspección de todo el tráfico cifrado

Hasta el 90 % del tráfico de Internet está ahora cifrado. Los atacantes se aprovechan de ello para ocultar sus ataques, incluido el ransomware. Para reducir el riesgo, una protección completa contra el ransomware debe inspeccionar todo el tráfico cifrado. Dicho esto, hacer una inspección SSL completa puede ser todo un desafío con las tecnologías heredadas. El descifrado, la inspección y el recifrado del tráfico requieren un amplio uso de recursos informáticos, y la mayoría de los dispositivos (como los cortafuegos de última generación) carecen de la potencia de procesamiento necesaria para evitar que se ralentice el rendimiento de un rastreo. Además, no importa si se trata de un dispositivo o una VM en la nube; cualquiera de ellos supone un impacto en el rendimiento al inspeccionar el tráfico SSL.

Entonces, ¿qué puede estar a la altura de las exigencias de la inspección SSL/TLS integral?

Una arquitectura proxy nativa de la nube como la de Zscaler permite a las organizaciones realizar una inspección SSL completa a escala sin preocuparse por el impacto en el rendimiento o por la expansión de la potencia de procesamiento de costosos dispositivos. Al utilizar una nube global distribuida en más de 150 centros de datos en los cinco continentes, el tráfico SSL se puede inspeccionar exhaustivamente en busca de amenazas ocultas de ransomware sin sufrir bajadas de rendimiento, incluso si el ancho de banda del usuario aumenta drásticamente.

Todo esto se combina para eliminar cualquier brecha de seguridad causada por la dificultad de analizar el ransomware oculto en el tráfico cifrado.

 

Seguimiento de las conexiones fuera de la red

Muchas organizaciones tienen dificultades con la seguridad permanente cuando se trata de ransomware. Según los estándares actuales, la seguridad permanente implica ampliar las políticas de seguridad de la empresa para mantener la red segura incluso cuando los usuarios abandonan la VPN, utilizan dispositivos personales y se conectan a través de redes wifi domésticas o públicas. Confiar en enfoques heredados vinculados a centros de datos y puertas de enlace regionales significa que las políticas de seguridad no pueden seguir a sus usuarios fuera de la red. Esto, a su vez, permite a los atacantes entregar ransomware a aquellos que saben que operan fuera de sus controles de seguridad.

Zscaler puede ofrecer las dos primeras estrategias antes mencionadas, la cuarentena de sandbox basada en IA y la inspección completa de SSL, a los usuarios sin importar su ubicación o dispositivo. Cada conexión a través de una red recibe una protección idéntica para descubrir y frustrar tanto las amenazas conocidas como las desconocidas, lo que mantiene a su organización libre de infecciones de ransomware de paciente cero. 

Lo primero que se hace en este enfoque para prevenir el ransomware es proteger las conexiones de los usuarios a través de Zscaler Zero Trust Exchange. Los usuarios que están fuera de la red simplemente agregan Zscaler Client Connector, nuestro agente de punto final ligero, a sus ordenadores portátiles o dispositivos móviles (compatible con Android, iOS, macOS y sistemas operativos Windows) para disfrutar de la protección de las mismas herramientas de seguridad, la misma aplicación de políticas y los mismos controles de acceso que obtendrían en su sede central.

Lea la hoja de datos de Zscaler Client Connector.

 

Fortalezca su estrategia de protección contra ransomware hoy mismo

Como muestran las investigaciones y los titulares, el ransomware no se va a ir a ninguna parte. Zscaler ya ha ayudado a miles de clientes a evitar que el ransomware y otros innumerables ataques a la seguridad lleguen a sus redes con una escalabilidad sin precedentes y una magnífica experiencia de usuario.

Estos son algunos otros recursos a tener en cuenta a medida que perfecciona su estrategia general de seguridad: