El ransomware está en auge: aprenda a proteger sus Macs

En los círculos de ciberdelincuentes, el ransomware está de moda. Una vez que ha infectado un ordenador, encripta todos los archivos y luego presenta una petición de rescate: pagar para obtener el software de descifrado necesario para recuperar los datos.

El ransomware ha sido noticia durante todo el año, y el ataque a Colonial Pipeline, en particular, pasó semanas en los titulares. Los ataques aumentaron un 485% en 2020 y no muestran signos de disminuir. Las cantidades exigidas por los atacantes también están aumentando, con el fabricante de PC Acer y el proveedor de Apple Quanta ambos golpeados con demandas de 50 millones de dólares. Peor aún, algunos atacantes de ransomware están añadiendo un componente de extorsión en el que amenazan con revelar datos confidenciales si la víctima no paga. Da miedo, lo sabemos.

Primero, las buenas noticias. Aunque hay varios ejemplos de ransomware que tienen como objetivo el Mac, ninguno de ellos ha sido particularmente bien hecho o (hasta donde sabemos) exitoso. En este momento, las posibilidades de que los Mac sean presa del ransomware son muy bajas, y no hay razón para que cunda el pánico.

Sin embargo, la complacencia es peligrosa. Hay una tendencia hacia el "ransomware como servicio" (RaaS). Los operadores de RaaS mantienen el malware ransomware, ofrecen un portal de pago para las víctimas y proporcionan "servicio al cliente" para las víctimas que no saben cómo pagar con Bitcoin u otras criptodivisas. Los afiliados difunden el ransomware y se reparten los ingresos con los operadores. Es una pequeña y ordenada empresa de ciberdelincuentes, y separar las tareas de desarrollo de malware y de penetración en la red ha facilitado considerablemente que más delincuentes aprovechen el ransomware. Es sólo cuestión de tiempo que dirijan su atención a los Mac.

En su mayor parte, proteger sus Macs del ransomware no es diferente de la protección contra cualquier otro problema de seguridad. Siga estos consejos básicos:

• Mantén los Mac y las aplicaciones actualizadas: Instala siempre macOS y las actualizaciones de seguridad, y mantén otras aplicaciones al día. Con cada actualización, Apple aborda numerosas vulnerabilidades de seguridad, solucionando la gran mayoría de ellas antes de que los atacantes puedan explotarlas con malware. Sin embargo, de vez en cuando, las notas de seguridad de Apple incluyen esta frase "Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente". Eso significa que puede haber malware dirigido a esa vulnerabilidad; ¡instala esas actualizaciones inmediatamente!

• Utilice contraseñas seguras con un gestor de contraseñas: Ya lo has oído de nosotros, y lo volverás a oír, pero es esencial que todos los miembros de tu organización utilicen contraseñas fuertes y únicas a través de un gestor de contraseñas como 1Password, LastPass o incluso el iCloud Keychain de Apple. Una sola contraseña débil podría permitir a los atacantes inficionar un ordenador o servidor e instalar un ransomware.

• Desconfíe de los enlaces y archivos adjuntos: Asegúrese de que todos los miembros de su organización tengan cuidado a la hora de abrir archivos adjuntos o de hacer clic en enlaces de mensajes de correo electrónico procedentes de personas desconocidas o que parezcan no serlo de alguna manera. Los ataques de phishing son una de las principales formas de distribución de malware. (Si su grupo necesita formación en materia de sensibilización sobre el phishing, póngase en contacto con nosotros).

• No descargue nunca software pirata. Aparte del hecho de que es éticamente problemático, la pieza más reciente de ransomware para Mac -ThiefQuest- se encontró inicialmente en un instalador malicioso que pretendía ser para la utilidad de seguridad de red LittleSnitch (irónico, ¿eh?). Consigue las aplicaciones sólo en los sitios oficiales de los desarrolladores o en la Mac App Store.
• Haz copias de seguridad frecuentes: Las copias de seguridad son esenciales para que, incluso si caes presa del ransomware, puedas restaurar los datos desde antes del punto de infección. La advertencia es que algunas de tus copias de seguridad deben estar aisladas de los Macs en cuestión -algunos ransomware intentan intencionadamente cifrar o eliminar las copias de seguridad conectadas.
• Supervise el ransomware: Aunque el ransomware suele intentar pasar desapercibido mientras cifra los archivos, la utilidad gratuita RansomWhere puede identificar los procesos que crean rápidamente archivos cifrados. Es probable que también marque incorrectamente algunos comportamientos legítimos (como en la captura de pantalla de abajo), pero sigue siendo una herramienta útil.

• Tenga un software antimalware: En la mayoría de los casos, si eres cuidadoso y sigues los consejos anteriores, estarás bien. Pero es una buena idea tener una aplicación antimalware actualizada y ejecutarla de vez en cuando; si aún no la tienes, prueba la versión gratuita de Malwarebytes. Si usted -o sus usuarios- no son buenos con las precauciones básicas, tal vez quiera ejecutar un software antimalware todo el tiempo o establecer protecciones de red más amplias.

• Tener un plan de gestión de catástrofes: Toda empresa debe pensar en cómo reaccionaría ante un incendio, una inundación, un terremoto u otro desastre. Cuando elabore un plan de gestión de desastres, asegúrese de incluir el ransomware. ¿Cómo apagaría los sistemas infectados, los reconstruiría desde cero y restauraría los archivos no infectados?

Setting up a backup strategy that protects against ransomware requires a little more thought. As noted, ransomware often tries to render backups useless in one way or another. You need to have versioned backups that allow you to restore from before the ransomware infection, and those backups need to be isolated from the computers and network being backed up. Techniques that help include:

• Aísle las unidades de copia de seguridad: Rota varias unidades de Time Machine, con al menos una que esté siempre desconectada. Sin embargo, esta estrategia supone que detectará una infección de ransomware antes de haber rotado todas las unidades. El ransomware podría pasar desapercibido durante semanas o meses antes de activarse. Ejecute manualmente el software antimalware actual antes de conectar cualquier unidad de copia de seguridad.
• Utilice una copia de seguridad en Internet: Configure un sistema de copia de seguridad en Internet que mantenga las versiones de los archivos copiados, como Backblaze con su función de historial de versiones ampliado. Retrospect 18 también es compatible con el bloqueo de objetos en sistemas de almacenamiento en la nube, lo que proporciona un almacenamiento inmutable. Garantiza que nadie -incluso alguien que adquiera credenciales de root- pueda eliminar las copias de seguridad durante el período de retención.
• Piense en las copias de seguridad en cinta: Hace mucho tiempo, las copias de seguridad en cinta eran la solución a la que se recurría para las copias de seguridad en red, pero a medida que el precio por gigabyte de los discos duros bajaba vertiginosamente y las copias de seguridad en Internet se hacían viables, la cinta se ha quedado en gran medida en el camino. Pero las copias de seguridad en cinta siguen siendo una opción. Pueden contener una gran cantidad de datos y se mantienen fácilmente fuera de línea en una ubicación separada. Además, algunas unidades de cinta pueden funcionar en modo WORM (write-once, read-many), lo que garantiza que los datos no se pueden borrar ni sobrescribir. La cinta requiere más interacción humana que otros métodos de copia de seguridad, pero sigue siendo una forma rentable de proteger cientos de terabytes de datos contra el ransomware.

Una vez más, no hay razón para que cunda el pánico ante el ransomware, pero si puede dañar significativamente su negocio, debe tomar medidas para reducir la posibilidad de ser atacado y asegurarse de que puede restaurar sus datos si sus ordenadores se infectan. No hay un enfoque único que sea ideal para todo el mundo, pero podemos ayudarle a pensar en lo que implica y a desarrollar una estrategia que equilibre la protección, el coste y el esfuerzo.