Combatir el ransonware, un trabajo en equipo

La mayoría de los usuarios somos conscientes del peligro que contienen los correos electrónicos que solicitan información sobre nuestros datos bancarios o personales, pero cuando se trata de un mensaje que aparentemente procede de una entidad ajena al mundo de las finanzas, como es Correos, y en el se nos indica que tenemos una carta pendiente, bajamos la guardia. Al no solicitarnos un dato personal  pensamos que no hay riesgo en seguir adelante con el proceso de pulsar sobre el enlace que nos proponen e incluso rellenar el CAPTCHA que los ciberdelincuentes han dispuesto de forma brillante, para evitar algunos sistemas automáticos de rastreo del contenido de las webs infectadas con el malware. Este click es tan peligroso como abrir las puertas de nuestro hogar a unos desconocidos.

Cuando este RansomWare llamado Crytolocker, consigue infectar nuestro PC, cifra todos los documentos de nuestro disco duro y de las carpetas de red a las que tengamos acceso.

El vector de ataque más habitual de este tipo de malware suele ser el correo electrónico. Si el usuario no dispone de una plataforma de seguridad para proteger su correo electrónico el daño puede ser terrible.  Es clave que tengamos implementado un sistema que combine diferentes técnicas para la detección del SPAM y virus que se envían por correo electrónico. Aparte de los sistemas antispam más tradicionales, es importante que nuestra solución nos permita buscar URLs en el cuerpo del mensaje y categorizarlas con la base de datos de filtrado web actualizada. De este modo si un mensaje de correo contiene un enlace a una URL de tipo phising, malware, etc.  puede ser detectado aunque el propio mensaje no venga de un servidor de correo considerado como spammer o que dicho mensaje no pueda ser considerado spam por alguna de las técnicas más tradicionales. No debemos olvidar que Cryprtolocker se propaga con mensajes de correo que contienen enlaces a URLs de tipo malware o phishing

Existen en el mercado soluciones que permiten interconectar con una plataforma de sandboxing de tal manera que todos los ficheros adjuntos sospechosos, pueden examinarse en un entorno controlado. Mientras se realiza esta inspección, el mensaje de correo electrónico queda en espera del veredicto antes de reenviarlo al destinatario, si está limpio o descartarlo si se trataba de un malware.

Aunque no se disponga de una plataforma de seguridad para el correo, podemos construir otras barreras de seguridad que evitan la infección de este malware. La primera de ellas suele ser el antivirus del puesto de trabajo,  que puede proporcionarnos un motor AntiVirus e incluir un  mecanismo de filtrado web capaz de detectar enlaces con páginas de phising, malware, etc.

Si el antivirus del puesto de trabajo tampoco es capaz de detectar el malware, el usuario podría estar protegido por un sistema de seguridad en la red. De forma que si intenta seguir el enlace a la web de phising o malware, el mecanismo de filtrado web del firewall también podrá impedir el acceso, así como inspeccionar el tráfico con el motor AV del propio dispositivo, que también debería contemplar su integración con el Sandbox para la inspección de ficheros sospechosos.

Aunque todas las medidas de seguridad proporcionadas por los distintos dispositivos mencionados (solución para la seguridad del correo electrónico, protección del dispositivo y firewall de nueva generación)  parecen similares, lo más recomendable es aplicar cuantas más medidas de seguridad mejor, de forma que si un usuario utiliza su ordenador portátil fuera de la red corporativa, no estará bajo la protección del firewall de la compañía. Si la infección la recibe por email, el sistema de identificación y protección del correo electrónico lo podría parar, pero este tipo de virus tienen también otros vectores de ataque, por eso una solución completa de seguridad para el puesto de trabajo nos permitirá cerrar el círculo de protección.

Como expertos en seguridad, llevamos años integrando nuestras soluciones para que operen en paralelo de tal manera que aunque el motor de inspección de virus y la base de datos de categorías Web sea la misma en nuestros dispositivos,  la inspección con cada una de estas soluciones se realice en un momento distinto en el tiempo. De esta manera nos proporciona resultados diferentes, sobre todo en el caso de tratarse de nuevas amenazas, que tardarán un tiempo en ser detectadas por los mecanismos de protección de los fabricantes de seguridad.

En definitiva, si queremos estar protegidos frente a ataques tan virulentos como Cryptolocker deberemos contar con soluciones que, desde distintos frentes, garanticen nuestra seguridad.