Juan Santesmases, ‎Vice President Product Management & Business Development de Panda Security, nos explica qué es Cryptolocker y cómo pueden las empresas enfrentarse a él.

Desde hace un tiempo, en la seguridad informática de la empresa prácticamente no se habla de otra cosa: Cryptolocker. ¿En qué se diferencia del resto de amenazas que sufren las compañías?

Cryptolocker es un tipo de ataque dirigido, y como todos los ataques dirigidos, requieren de una gran sofisticación y, por consiguiente, inversión por parte de los delincuentes que lanzan el ataque. Tal vez el daño de este ataque dirigido no sea muy distinto del producido por otros que sufren a diario las empresas. Simplemente la gran diferencia es que con este ataque dirigido las empresa sí son conscientes del mismo porque el propio malware se lo comunica al usuario infectado y saben exactamente cuánto les cuesta la recuperación. De ahí su gran popularidad en los últimos meses.

Sin embargo, hay otros muchos ataques dirigidos iguales o más dañinos que, en la mayoría de las ocasiones, pasan desapercibidos por las empresas y por el usuario final. Especialmente si se trata de extraer información vital para la empresa, como puede ser información de sus clientes, de desarrollo de sus productos, o datos personales como datos bancarios. Incluso si se detectan, en muchas ocasiones, no se publicitan por el impacto que puede tener en el prestigio de la empresa. Ejemplos de estos ataques los hemos visto en Sony, Google, Amazon, Target y otras muchas empresas.

¿Qué buscan los ciberdelincuentes con este tipo de ataque?

Cryptolocker es un tipo de malware conocido como ransomware. ‘Ransom’ en inglés significa secuestro, y eso es precisamente lo que buscan los delincuentes con este tipo de ataques, secuestrar la información de la empresa y extorsionar al usuario para que pague el rescate de los datos. El volumen de este “mercado”, porque es un mercado con su oferta y su demanda, es muy atractivo para los delincuentes y por ello realizan grandes inversiones en el desarrollo de este tipo de malware.

¿Hay alguna manera de reconocerlo?

Es realmente complicado. En general, las empresas están muy desprotegidas frente a este tipo de ataques, de ahí su alta tasa de infección y su repercusión en los medios. Esta desprotección se debe a que los mecanismos tradicionales de detección, como los sistemas de filtrado de correo o web o los antivirus, no son efectivos.

En mayor o menor medida, los mecanismos de detección tradicionales se basan en comparar software, URLs, firmas de correo con patrones ya conocidos de amenazas previamente detectadas y clasificadas. Sin embargo, con más de 200.000 nuevas muestras de malware diarias de media, este tipo de estrategia se ha quedado obsoleta. Aunque todos los fabricantes invierten en hacer más eficientes sus mecanismos de protección tradicionales, para acortar el tiempo de reacción, no deja de ser precisamente eso: un mecanismo reactivo. Al final se convierte en una carrera entre delincuentes y fabricantes de seguridad que no siempre conseguimos ganar.

Por eso es necesario un nuevo acercamiento a la protección. Algo que ya vimos en Panda hace 7 años, motivo por el cual desarrollamos Panda Adaptive Defense, nuestra protección contra amenazas persistentes que sí es capaz de detener Cryptolocker y, lo que es más importante, sus nuevas variantes.

¿Qué diferencia a Adaptive Defense del resto de soluciones?

En primer lugar, más que una solución, Adaptive Defense es un servicio. Adaptive Defense evalúa y clasifica todas las aplicaciones que se están ejecutando en los endpoints de nuestros clientes. Esa evaluación y clasificación, basada en el análisis de más de dos mil acciones que puede realizar cada aplicación, se lleva a cabo en gran medida de manera automática en nuestro entorno Big Data, pero también hay un trabajo manual realizado por nuestros expertos en seguridad de PandaLabs.

Con esta clasificación y la continua monitorización de las aplicaciones, no solo conocemos el malware como hasta ahora, si no que tenemos identificado el goodware y sus vulnerabilidades. Nuestra base de datos ya supera los mil doscientos millones de aplicaciones goodware clasificadas. Así, mientras un antivirus para empresas tradicional bloquea el malware conocido y asume que el resto de aplicaciones son benignas, con el riesgo que ello conlleva, Adaptive Defense permite únicamente la ejecución de aquello que sabemos que es goodware.

Se podría argumentar que hay herramientas de whitelisting con un acercamiento similar. Sin embargo, Adaptive Defense va más allá del tradicional whitelisting, haciendo todo el trabajo de clasificación de manera automática y transparente para el administrador de sistemas de la empresa.

Por último, al ser una solución instalada en el endpoint, además de aportar visibilidad total de las aplicaciones presentes en el dispositivo, permite a Adaptive Defense ir más allá de la notificación al administrador de seguridad y tomar acciones de remediación contra las amenazas detectadas.

Ataques dirigidos, Amenazas Persistentes Avanzadas, Cryptoloker… Nadie puede dudar de que las empresas están en el punto de mira de los ciberdelincuentes.

Como decía antes, la ciber delicuencia se ha convertido en un negocio muy rentable. Los recursos y capacidades que tienen a su disposición hacen que ninguna empresa esté fuera de su alcance. En España, en todas las empresas en las que hemos desplegado nuestra solución, independientemente de su tamaño y de las medidas de seguridad que tenían desplegadas, hemos encontrado endpoints cuya seguridad se había visto comprometida en menor o mayor medida. De hecho, según datos de INCIBE, en 2014 la ciber delincuencia supuso unas pérdidas para la empresa española de 14.000 millones de euros.

Nuestro reto como fabricantes de soluciones de seguridad va más allá de crear productos y servicios más eficaces, debemos formar y ayudar a las empresas a implantar una estrategia de protección adecuada