Ransomware de doble extorsión: ¿qué es y cómo puedo proteger a mi empresa de él?

Blog Ciberseguridad

El ransomware es un grave riesgo para las empresas. Sin embargo, actualmente se habla cada vez más del ransomware de doble extorsión. ¿Qué es, qué significan estos ataques para las empresas y cómo puede protegerse? Te lo contamos en esta entrada del blog.

¿Qué es el ransomware Double Extortion?

Doble extorsión significa «doble chantaje». No se trata necesariamente de múltiples extorsiones, sino que los ciberdelincuentes utilizan múltiples medios de presión para su extorsión. En el caso del ransomware, habitual hasta ahora, suele haber un medio de presión: se cifran los datos de un ordenador, red o sistema. Se pide un rescate para el descifrado. En el caso del ransomware de doble extorsión, los ciberdelincuentes añaden más medios de presión para que el pago del rescate sea lo más inevitable posible para la empresa extorsionada.

¿Con qué amenazan los ciberdelincuentes en una doble extorsión? 

En muchas extorsiones dobles, los ciberdelincuentes copian los datos antes de cifrarlos. Prefieren la información más sensible posible, como los secretos de empresa o los datos personales. Más tarde, amenazan con publicar precisamente estos datos o subastarlos en la darknet.

Otros posibles medios de presión utilizados por los ciberdelincuentes: 

  • Ataques DDoS, con los que los ciberdelincuentes inutilizan el sitio web de la empresa chantajeada.
  • Violaciones de la normativa, por ejemplo el GDPR, por parte de la empresa que han sido identificadas por los ciberdelincuentes. Entonces, las peticiones de rescate suelen estar por debajo de la multa esperada.

¿Cómo funciona un típico ataque de doble extorsión? 

Conocer la secuencia típica de estos ataques ayuda a protegerse contra ellos con mayor eficacia.

  1. Compromiso de la red de la empresa. Por ejemplo, a través de un correo electrónico de phishing exitoso, a través de agujeros de seguridad aún no cerrados por las actualizaciones o a través de ataques al acceso remoto.
  2. Difusión en la red. Los ciberdelincuentes amplían su acceso e investigan el sistema y sus datos.
  3. Exfiltración de datos. Los ciberdelincuentes copian todos los datos posibles de la empresa y lo más sensibles posibles.
  4. Activación del ransomware. Cifrado de todos los datos y sistemas de la empresa accesibles a los ciberdelincuentes; presentación del ransomware.
  5. Se puede amenazar con la publicación o subasta de los datos copiados si la empresa se niega a pagar el rescate. Sin embargo, también se puede prometer directamente con la primera petición de rescate.

Las vías de ataque más comunes de los ciberdelincuentes

Para los ciberdelincuentes, el primer compromiso de la red corporativa es crucial. Para ello, utilizan diferentes vías de ataque:

  • Correos electrónicos de phishing
  • Vulnerabilidades de seguridad en el software y el hardware
  • Vulnerabilidades en las conexiones VPN
  • Ataques de fuerza bruta a los accesos remotos a la red corporativa (estos accesos también se conocen como Protocolo de Escritorio Remoto, o RDP por sus siglas en inglés).
  • Acceder a datos comprados en la darknet a redes ya comprometidas

¿Cómo puede proteger mejor a su empresa contra los ataques de doble extorsión? 

Fundamentalmente, debe establecer su estrategia de protección en dos vías:

  • Frustrar los ataques exitosos (prevención)
  • Mitigar el daño de los ataques exitosos (reacción)

Implementar una protección básica de ciberseguridad bien pensada ya logra mucho. Además, recomendamos medidas específicas para evitar las secuencias típicas de los ataques de doble extorsión, o al menos para reconocerlas rápidamente y poder reaccionar de inmediato.

Se ofrece una protección especial mediante un modelo de confianza cero aplicado de forma coherente, que se complementa con medidas específicas.

Una estrategia de protección eficaz se adapta individualmente a su empresa, incluyendo sus circunstancias, posibilidades y límites técnicos, humanos y de contenido. Los expertos de Perseus estarán encantados de asesorarle al respecto.

Sin embargo, nos gustaría ofrecerle aquí algunas medidas especialmente importantes.

Medidas especialmente importantes para prevenir los ataques de doble extorsión

  • Sensibilización y formación de sus empleados en materia de antiphishing
  • Instalación inmediata de actualizaciones y parches, especialmente para puntos de ataque frecuentes como VPN y RDP.
  • Dar acceso a los puntos de ataque frecuentes sólo a los que realmente lo necesitan. Si es posible, asegure estos accesos con una autenticación multifactorial.
  • Proteja los datos sensibles de forma específica, por ejemplo, mediante el cifrado o el almacenamiento externo.
  • Segmenta la red de la empresa en áreas separadas si es posible.

Medidas especialmente importantes para limitar los daños en caso de doble extorsión

  • Supervisar el sistema en busca de procesos sospechosos.
  • Cumplimiento del GDPR y otras normativas para reducir la extorsión.
  • Promover una cultura de seguridad positiva y vigilante para que los compromisos se detecten y comuniquen rápidamente. Sólo entonces se podrá dar una respuesta adecuada.
  • Un plan de emergencia conocido y accesible para todos los empleados. Debe identificar las acciones y contactos iniciales en caso de una ciberemergencia.
  • Si es necesario, utilice hardware y software que impida la salida de datos en caso de que se produzca un compromiso. Estos productos también se conocen como prevención de pérdida de datos.
  • Mantenga copias de seguridad actualizadas y separadas del sistema.
  • Estrategia para la recuperación fácil y rápida del sistema a partir de las copias de seguridad actuales.

¿A quién se puede recurrir en un caso agudo?

¿Sospecha que su red está comprometida o incluso tiene una petición de rescate delante de usted en este momento? Entonces, actúe inmediatamente:

Los miembros de Perseus pueden contar con nuestra Respuesta a Incidentes todos los días, las 24 horas del día.
También está disponible las 24 horas del día este número de emergencia para los no socios: +49 30 233 2730 95

Más información

Estaremos encantados de hablar con usted personalmente sobre la doble extorsión y cómo puede proteger mejor su empresa. Si quiere leer sobre este tema, puede hacerlo aquí:

  • No More Ransom es una iniciativa de, entre otros, la Unidad Nacional de Delitos de Alta Tecnología de la policía holandesa y el Centro Europeo de Ciberdelincuencia de Europol. Aquí encontrará información sobre el tema y muchos consejos de prevención.
  • Este informe en inglés está dedicado en detalle a la situación actual del ransomware y a la creciente propagación del ransomware Double Extortion. La organización que está detrás del informe es el Royal United Service Institute (RUSI), un instituto de investigación británico independiente dedicado a la seguridad nacional e internacional.