Blog de Inbound Marketing y Transformación Digital

Protege Google Drive del Ransomware sin instalar nada

Escrito por Enrique Alonso de Armas | 22 de junio de 2023

El ransomware es un ataque informático que implica la encriptación de los archivos y la solicitud de un rescate. Este tipo de ataque no es nuevo, ya que lo hemos observado durante muchos años. El atacante suele dejar una nota en la carpeta donde se encuentran los archivos encriptados con instrucciones sobre cómo realizar el pago. En este artículo, te contaré nuestra experiencia en los últimos años con este tipo de ataques y qué podemos hacer para evitarlos.

 

¿Está Google Drive protegido contra los ataques de ransomware?

En otras palabras, ¿podría la nube infectarse teóricamente si un ordenador es atacado? Hay varias respuestas posibles a estas preguntas porque todo depende de si lo que se ha comprometido es solo el ordenador o también la cuenta de Google.

Si solo se ha infectado el ordenador y ese ordenador está sincronizando los archivos de Google Drive, probablemente lo que sucederá es que se encriptarán los documentos de Google Drive, ya que para el virus es como si fuera una unidad de disco duro del ordenador.

Sin embargo, si lo que se ha comprometido es la cuenta de Google, el peligro no es solo que se encripten los archivos de Google Drive. El peligro es que el atacante puede acceder a toda la información que hay en Google: documentos, correos, calendarios, e incluso puede suplantar nuestra identidad, lo cual es bastante peligroso.

¿Cómo han sido los ataques de ransomware de los que hemos tenido conocimiento?

Al tener más de 300 clientes de Google Workspace y alrededor de unos 6.000 usuarios activos, nos enteramos de muchos ataques informáticos, principalmente porque nos piden ayuda para tratar de resolverlos.

En los ataques de ransomware de los que hemos sido testigos, lo que hemos visto es que todo partía de un ordenador infectado que estaba sincronizado con Google Drive.

En los casos en los que tenían una copia de seguridad externa como Spanning Backup, fue cuestión de restaurar rápidamente las carpetas que se habían visto comprometidas.

Y en los casos en los que no se disponía de esa segunda copia de seguridad, lo primero que se hizo fue ver si los archivos habían sido eliminados o simplemente modificados y renombrados. Esto es porque si los archivos han sido eliminados, entonces es posible hacer una recuperación desde la propia consola de Google.

Si se habían modificado y renombrado, la única alternativa fue ir archivo por archivo viendo las versiones anteriores y restaurando una versión anterior y volviendo a poner el nombre correcto. Es bastante trabajo, pero al menos se pueden recuperar los documentos.

Después, debemos ir a través de Google Drive en la web a la carpeta encriptada y abrir la vista de actividad. En esa vista, localizaremos al usuario que ha encriptado todos los documentos y de esta manera podremos saber de quién es el dispositivo que está infectado.

Por el momento, todos los ataques que hemos visto siempre se han producido desde ordenadores, debido al hecho de que la herramienta de sincronización crea una unidad que es como una unidad del disco duro en Windows o enlaza Google Drive en una carpeta local en Mac. Es decir, que a los efectos del virus es como si fuera el disco físico.

 

Una vez localizado el usuario que ha encriptado los documentos, debemos pedirle que por el momento apague todos sus ordenadores. Después, en la consola de administración, tendremos que desactivar la sincronización de Google Drive para ordenadores, ya sea para ese usuario o para todos los usuarios del dominio. Si no tienes posibilidad de gestionar la consola de administración, lo que puedes hacer es simplemente en el ordenador infectado desconectar la cuenta de la aplicación de Google Drive.

 

Antes de encender los ordenadores del usuario infectado, deberías localizar un buen antivirus para que, nada más encenderlo, lo puedas instalar y ejecutar. Hay herramientas que llamamos EDR que permiten aislar completamente un ordenador, pero mantenerlo conectado con el antivirus para poder hacer una limpieza sin necesidad de desconectar la red.

Si no dispones de un sistema tan avanzado, entonces sería cuestión de instalar el antivirus, actualizarlo, desconectar de la red y pasar el escaneo.

Después de aislar el equipo infectado y pasar el antivirus, es el momento de hacer la restauración, o al menos intentarlo.

Cómo restaurar los documentos encriptados por un ataque de ransomware en Google Drive

Antes de iniciar la restauración, debemos ver con calma qué opciones tenemos.

La primera pregunta que debemos hacernos es si tenemos una copia de seguridad externa a Google, ya sea con un software o manual, y si es lo suficientemente reciente.

Después, debemos ver en qué plan de Google Workspace estamos. Para los planes a partir de Business Plus, disponemos de la herramienta Google Vault. Google Vault permite localizar y descargar documentos individuales, buscando por el nombre o por el contenido. Aquí podemos tener el problema de que Google Vault solo haya guardado la versión encriptada, pues para archivos que no son de tipo Google, solo almacena la última versión del documento y esto es un problema muy grave. Además, tenemos el problema de que no podemos hacer búsquedas por carpetas, por lo que debemos saber el nombre del documento o lo que contenía.

Aunque parece una obviedad, lo primero que tendríamos que hacer es mirar en la papelera de Drive del usuario infectado. Hay algún software de ransomware que elimina los archivos, y en ese caso, podríamos tener suerte y podría estar en la papelera. Claro que si es una carpeta compartida de Drive en vez de una unidad compartida y los archivos no eran propiedad del usuario, entonces no lo vamos a ver en la papelera. Se habrán quedado como documentos huérfanos y es muy difícil encontrarlos si son muchos.

Si disponemos de un software de copia de seguridad externo y la copia se ha realizado hace muy poco, deberíamos valorar hacer una restauración, al menos de las carpetas que se necesitan antes. De este modo, no dejamos a toda la empresa parada.

Si no disponemos de copia de seguridad externa, entonces lo que podemos hacer es ir entrando en las carpetas encriptadas y hacer clic conel botón derecho en cada documento para gestionar las versiones anteriores, recuperarlas y renombrar el documento. Es un trabajo muy laborioso pero permite recuperar toda la información.

Google Drive guarda 30 días de versiones anteriores y hasta 100 versiones. Por lo tanto, esta recuperación la tendríamos que hacer a lo largo de 30 días como máximo para estar seguros de que aún están disponibles. Sin embargo, es curioso porque en algunos clientes hemos visto que las versiones anteriores a las encriptadas se conservan indefinidamente. Probablemente Google es consciente de que ha habido ese ataque y no elimina automáticamente la versión sin encriptar, o bien hacen uso de lo que dice en la imagen de "pueden eliminarse pasados 30 días" y entonces es totalmente a su discreción. Esto que estoy diciendo es algo que hemos visto en la práctica pero no está descrito en ninguna página de ayuda y no nos la podemos jugar. Si no tienes una copia de seguridad alternativa, entonces si de verdad te importan esos documentos, tienes que recuperar la versión sin encriptar. En el caso de que tengas una copia de seguridad, no es tan importante porque en cualquier caso siempre podrías recurrir a ella.

 

¿Cómo evitar que se encripten los archivos de Google Drive por un ataque de ransomware?

Con la información que tenemos a día de hoy, sabemos que los ataques de ransomware que están ocurriendo siempre tienen origen en un ordenador en el que se encriptan los documentos.

Te voy a dar unos consejos para evitar completamente que esto ocurra, aunque no tienes una garantía al 100% porque los piratas informáticos siempre están encontrando nuevas formas de ataque.

Desactivar la posibilidad de sincronizar documentos con la aplicación de Google Drive en ordenadores

Esto se puede configurar en la consola de administración en un momento y estaremos seguros de que ningún ordenador podrá sincronizar documentos y encriptarlos con un virus.

 

Trabajar con los documentos de Google en vez de con los documentos de Office

Los documentos de Google hasta la fecha no se pueden encriptar por un ataque de ransomware. Así que una forma de protegernos es utilizar mayoritariamente estos formatos. Además, si alguna vez se llegaran a encriptar, al tener un sistema de control de versiones mucho más avanzado, podríamos volver a la versión anterior rapidísimo.

Utilizar las configuraciones avanzadas de seguridad que disponemos en Google Workspace

A mí personalmente me molesta muchísimo cuando la gente dice cosas como "la seguridad está reñida con la comodidad". No estoy de acuerdo. Se puede tener una seguridad muy avanzada y que los usuarios trabajen de forma cómoda.

Si algún día tenemos la oportunidad de conocernos personalmente, pregúntame por esta frase y te contaré historias reales que me han ocurrido. No son historias bonitas ni agradables, pero es un hecho. La mayor amenaza es el usuario.

En Google y en otros proveedores en la nube, desde hace mucho tiempo se habla de la política de confianza cero. Esto quiere decir que tenemos que hacer configuraciones de seguridad que no dependan de las decisiones que pueda tomar el usuario en un momento dado.

Incluso yo mismo, si estoy un día muy cansado y con el móvil en la mano, puedo ser víctima de un ataque simplemente porque en ese momento no estaba atento.

No quiero describir aquí de manera exhaustiva todas las configuraciones de seguridad que se pueden hacer en Google Workspace porque eso sería objeto de bastantes artículos del blog que, por qué no decirlo, próximamente los prepararemos.

En líneas generales, las actuaciones de protección de la seguridad se resumen en estos frentes:

  • Protección del inicio de sesión y la identidad del usuario
  • Gestión del acceso desde puntos finales autorizados
  • Gestión del acceso desde redes autorizadas
  • Gestión del acceso desde determinados navegadores autorizados
  • Acceso al API desde aplicaciones de terceros
  • Políticas de seguridad del navegador Google Chrome gestionado
  • Políticas de seguridad de Gmail
  • Reglas y alertas sobre correos y documentos utilizando DLP

Y también, aunque no es una configuración de seguridad, recuerda que es muy conveniente configurar los permisos de Drive de forma que los usuarios solo puedan acceder a la información que realmente necesitan, en vez de crear un gran árbol de carpetas para toda la empresa. Configúralo por departamentos.

Conclusión

En este artículo hemos hablado de los ataques de ransomware, en qué consisten, cómo recuperarse de un ataque de ransomware y cómo evitarlos.

Depende mucho de la forma de trabajar de tu empresa, pero desde mi punto de vista es algo que tienes que valorar: ¿Qué medidas vas a adoptar para protegerte? ¿Y qué medidas vas a adoptar para que si sufres un ataque, el tiempo en el que tus usuarios no pueden seguir trabajando se reduzca al máximo?

Doy por hecho que eres consciente de que muchas de las medidas requerirán una inversión por tu parte, pero es mucho mayor el coste que supone sufrir un ataque y dejar la empresa parada o perder la información que lo que pueden costar herramientas de protección como copias de seguridad, EDR y MDR, antivirus y auditorías de seguridad periódicas.

Y por favor, no me digas que esto no te puede pasar porque nos puede pasar a todos. Desde el punto de vista del atacante, el ransomware es un negocio y como tal siempre va a estar buscando fórmulas para hacer este negocio más rentable y más escalable.

Y por último, quería plantear una pregunta abierta: ¿Estamos más o menos seguros con la nube? Aquí va mi respuesta. Yo creo que estamos más seguros con la nube porque si no estuviésemos en la nube y siguiéramos trabajando con servidores, tendríamos menos posibilidades de recuperar la información. Además, el alcance de un ataque sería mucho más grande porque si todos los ordenadores están en red con los servidores, basta con que se infecte un ordenador para que se nos infecte absolutamente todo. Sin embargo, en la nube, el ataque se puede ver muy limitado a las carpetas y documentos a las que tiene acceso un usuario concreto.