Guía sobre el ransomware y cómo Acronis Active Protection puede ayudar

En este artículo abordamos:

• El ransomware: qué es y por qué es tan peligroso
• Cómo protegerse frente al ransomware
• Cómo puede ayudar Acronis Active Protection
• Desarrollo de un ataque de ransomware y defensa

El ransomware es una de las formas más extendidas y costosas del malware que azota a empresas y particulares en la actualidad. El término describe a una amplia familia de virus informáticos hostiles que se infiltran en servidores, PC, portátiles, tablets, smartphones y otros dispositivos informatizados, como cajeros automáticos y kioscos de facturación de aerolíneas. En lugar de robar información valiosa del dispositivo, el objetivo del ransomware es denegar a los usuarios el acceso a los archivos y datos almacenados en él. La forma de "bloqueador" más simple presenta una pantalla que impide a los usuarios acceder al escritorio de su ordenador. La más sofisticada y destructiva forma de "cifrado" de ransomware va más allá: cifra (codifica matemáticamente) los archivos del usuarios. Ambos tipos presentan una pantalla con instrucciones al usuario para que pague un rescate a un destinatario irrastreable, por el que el agresor promete desbloquear el sistema.   Los ciberdelincuentes que utilizan el ransomware confían en el temor y la ignorancia de los usuarios para conseguir el pago, aumentando la presión sobre las víctimas para que realicen el pago rápidamente con tácticas como poner en marcha un cronómetro de cuenta atrás que especifica un plazo límite de pago de días u horas. Si el usuario paga, el agresor facilitará la clave matemática que puede utilizarse para descodificar los archivos, o instrucciones sobre cómo eliminar el bloqueador.   El volumen y sofisticación de los ataques de ransomware ha experimentado un aumento constante durante los últimos años, hasta convertirse en una de las ciberamenazas más extendidas y costosas de la historia. El FBI calculó que los autores de ransomware extorsionaron a más de 1000 millones de víctimas en 2016, y esperaban que esa cifra incluso se multiplicara por tres o por cinco para finales de 2017. Muchos usuarios fueron conscientes de la amenaza por primera vez tras el famoso brote de ransomware WannaCry de mayo de 2017, que afectó a miles de sistemas de 150 países en cuestión de horas.   Tal y como han demostrado posteriores olas de ataques, el problema del ransomware no ha hecho sino empeorar. Bandas de ciberdelincuencia organizada han imitado modelos de empresas y tecnología del sector legítimo del software como servicio, haciendo cada vez más fácil para operadores poco cualificados entrar en el negocio de la distribución de ransomware y sacar beneficio de la actividad. La probabilidad de que usted, su familia, su empresa o alguien a quien conoce se convierta en víctima del ransomware crece a diario. Los usuarios necesitan formarse sobre la amenaza del ransomware y aprender cómo adoptar las medidas necesarias para defenderse contra ella.

Acronis Active Protection es una tecnología de eficacia demostrada contra los ataques de ransomware, y viene incluida en dos programas de copia de seguridad populares: Acronis Backup (para empresas) y Acronis True Image (para particulares). Acronis Active Protection supervisa constantemente el sistema del usuario en busca de comportamientos sospechosos típicos del ransomware, como un proceso no conocido que de pronto intenta cambiar de nombre o cifrar una serie de archivos. Con la ayuda de inteligencia artificial y aprendizaje automático, Active Protection identifica rápidamente comportamientos asociados al ransomware, detiene el proceso asociado y notifica al usuario de la actividad aparentemente maliciosa. En función de la respuesta del usuario (permitir, si considera que es una actividad legítima o bloquear si considera que es sospechosa), Active Protection permite al proceso seguir con la ejecución o lo detiene y repara automáticamente los archivos que haya podido dañar restaurándolos desde una copia de seguridad.

Active Protection utiliza tecnología de detección de patrones basada en inteligencia artificial para identificar comportamientos sospechosos típicos de ataques de ransomware. El aprendizaje automático consigue un mayor conocimiento de los comportamientos de ataque a lo largo del tiempo, a medida que los criminales intentan nuevas tácticas para contrarrestar las defensas de los usuarios. Esto proporciona otra importante capa de protección que se une a los productos antivirus tradicionales, que utilizan segmentos de código conocidos (firmas) del malware para identificar las amenazas. La debilidad de los programas antivirus radica en que son incapaces de reconocer las amenazas nuevas, cuyas firmas todavía no son conocidas de forma generalizada.   Para describir esto de otra manera: los programas antivirus detectan las amenazas de ransomware en función de lo que parecen. Active Protection detecta las amenazas de ransomware en función de su comportamiento, lo que le permite identificar las variantes totalmente nuevas que todavía no se han agregado a la base de datos de firmas de un programa antivirus.   Además, mantiene una lista blanca de programas que el usuario ha identificado como legítimos, impidiendo que sean bloqueados de forma no deseada cuando esos programas se utilizan para realizar operaciones que podrían confundirse con actividad de ransomware, como el cambio de nombre o cifrado legítimo de archivos. Los ataques de ransomware que han sido detectados y bloqueados se añaden automáticamente a una lista negra, de manera que se evitará la ejecución de ataques posteriores perpetrados por la misma versión del ransomware.

Es muy importante detectar y neutralizar rápidamente un ataque de ransomware. Cuando antes se bloquee la amenaza, menor será el tiempo que tiene para destruir archivos mediante el cifrado. La restauración de los archivos cifrados con ransomware es una técnica útil, pero su eficacia depende de la frecuencia con la que realice copias de seguridad. Podría ser capaz de restaurar un archivo cifrado con ransomware, pero solo la versión de la que hizo una copia de seguridad hace unos días o semanas.   Active Protection complementa Acronis Backup y Acronis True Image mediante la restauración de los archivos dañados de una de la siguientes ubicaciones: en memoria, un disco local, una unidad externa, una unidad de la red local del usuario, una unidad en una ubicación remota o almacenamiento de datos en la nube. En muchos casos, un archivo dañado puede restaurarse de manera instantánea de una caché local del sistema del usuario.   Esta capacidad no solo de detectar y bloquear los ataques, sino de además recuperar rápidamente los archivos dañados es exclusiva de Active Protection. Muchos productos que se venden como antiransomware pueden detener ataques, pero no ayudan al usuario a recuperarse de cualquier daño anterior a la detección del ataque. Otros pueden ayudar a la recuperación después del ataque, pero solo de los archivos más pequeños.  Active Protection detecta y neutraliza los ataques de ransomware y, a continuación, restaura rápida y automáticamente los archivos dañados con independencia de su tamaño.

El uso de archivos de copia de seguridad para recuperarse de un ataque de ransomware es una técnica defensiva útil y recomendada. Muchos desarrolladores de malware han aprendido de esta táctica y en la actualidad crean ransomware que intenta cifrar también los archivos de copia de seguridad del usuario. Acronis frustra esta táctica aplicando las defensas de Active Protection a los archivos de copia de seguridad además de a otros archivos. Los ataques a archivos de copia de seguridad almacenados fuera de la empresa (por ejemplo, en la nube Acronis Cloud Storage) se protegen además de dos formas: mediante cifrado en tránsito y en reposo, y restringiendo el acceso a archivos de copia de seguridad en la nube únicamente a procesos autorizados por Acronis.

La inclusión de Acronis Active Protection en Acronis Backup y Acronis True Image ofrece una ventaja única sobre los productos antimalware y de copia de seguridad desplegados por separado. Ninguna combinación de productos independientes puede proporcionar el tipo de detección, bloqueo y recuperación altamente automatizada frente a los ataques de ransomware que ofrece Acronis con la estrecha integración de copia de seguridad y protección antiransomware.

Esta demostración ilustra la secuencia de eventos en un ataques de ransomware típico, en el que un usuario incauto hace clic en un enlace o abre un adjunto en lo que parece un mensaje de correo electrónico legítimo de un remitente conocido. De hecho, se trata de una mensaje de correo electrónico de "phishing" procedente de un ciberdelincuente, diseñado para hacer que el usuario confíe en él. Hacer clic en el enlace o abrir el adjunto no abre la hoja de cálculo o el divertido GIF esperado, sino que infecta el sistema del usuario con un virus de ransomware. Algunas versiones de ransomware (como el famoso virus WannaCry) incluyen tecnología de gusano que les ayuda a propagarse automáticamente a todos los sistemas que encuentran en la red Ethernet o Wi-Fi local del usuario.   En el vídeo anterior, el usuario recibe un mensaje de correo electrónico aparentemente legítimo que ofrece información atractiva sobre próximos episodios de un popular programa de TV. El intrigado usuario descarga y abre el adjunto de correo electrónico, que en realidad contiene el ransomware WannaCry. Este virus cifra los archivos del usuario, haciéndolos totalmente inaccesibles y, a continuación, muestra una nota de rescate, exigiendo el pago de 300 dólares en la moneda online irrastreable Bitcoin antes de que se acabe el tiempo. El usuario se enfrenta a un dilema: pagar rápidamente al delincuente anónimo o perder el acceso a sus archivos para siempre. (Por lo general, la policía y los expertos de seguridad no recomiendan pagar el rescate: el 20 % de las víctimas que paga nunca reciben la clave prometida).   La demostración continúa con lo que ocurre cuando el mismo usuario abre el mismo adjunto infectado, pero esta vez tiene Acronis Active Protection. Active Protection detecta como maliciosa la actividad de cambio de nombres y cifrado de archivos, y detiene el proceso inmediatamente. A continuación restaura automáticamente los archivos que fueron cifrados antes de que detectara el ataque. El vídeo continúa explicando cómo las decisiones de permitir/bloquear de Active Protection son capaces de evolucionar con el tiempo a través de aprendizaje automático, y se afinan todavía más con listas blancas y listas negras.   Un programa antivirus puede ser capaz de detectar y bloquear algunos ataques de ransomware, pero versiones que son tan suficientemente bien conocidas que el proveedor antivirus ha creado una firma para ellas y, por tanto, solo si el usuario ha actualizado recientemente la base de datos de firmas antivirus de su sistema. Los cibercriminales de malware actualizan constantemente su ransomware para eludir la detección basada en firmas. Esto hace que el antivirus sea útil para proteger contra ataques de ransomware conocidos, pero no ayuda en absoluto con los nuevos.   Una solución mejor es restaurar los archivos cifrados desde la copia de seguridad, pero esto implica la posibilidad de perder los archivos nuevos que hayan sido creados y todo el trabajo realizado tras la última copia de seguridad, lo que pueden traducirse en el equivalente en archivos de horas, días o semanas de trabajo.   La protección activa de Active Protection incluida en Acronis Backup y Acronis True Image es una solución mejor, ya que combina la capacidad de detectar y bloquear los ataques de ransomware, incluidas las versiones desconocidas anteriormente, con la capacidad de restaurar de forma instantánea los archivos dañados antes de la detección del ataque. Esta capacidad de identificar y detener el ransomware basada en su comportamiento, no en su firma, es una ventaja defensiva enorme frente a los sistemas antivirus. Su capacidad integrada para recuperar automáticamente los archivos dañados a partir de la copia de seguridad la convierte en mejor solución que las soluciones antimalware puras. Ningún otro producto combina defensas frente al ransomware con copia de seguridad en un solo paquete, integrado y automatizado.   El volumen y valor de los datos almacenados en sus sistemas no hará sino aumentar con el tiempo. La industria criminal que desarrolla y distribuye ransomware ya genera enormes ganancias, y no hará sino aumentar el volumen y sofisticación de sus ataques en el futuro. Existen algunas precauciones básicas que pueden mejorar sus opciones de evitar un ataque de ransomware.

1. Utilizar un programa antivirus y actualizar a menudo su base de datos de firmas.
2. Mantener actualizados su sistema operativo y sus aplicaciones, para que cuando los proveedores descubran vulnerabilidades en sus productos, obtenga parches de software que las corrijan. Por ejemplo, WannaCry generó su estela de destrucción a nivel mundial en parte gracias a la explotación de debilidades de Windows que muchos usuarios no se habían molestado en corregir con la oportuna actualización (Windows Update).
3. Tenga cuidado con los mensajes de correo electrónico de phishing, y anime a su familia, amigos y compañeros de trabajo a que sean prudentes a la hora de hacer clic en enlaces o de abrir adjuntos de correo electrónico procedentes de remitentes en los que no confían completamente.

Si de verdad quiere ganarles la partida a los creadores de ransomware, necesita Acronis Backup o Acronis True Image con Active Protection, la única solución integrada para detectar, bloquear y recuperar automáticamente de los ataques de ransomware.