Los ataques de ransomware siguen siendo un fenómeno actual y, aun cuando su organización o empresa no sea un objetivo personal, si no aplica los parches adecuados existe la probabilidad real de que sea víctima de un ataque más extenso, pensado para infiltrarse en cualquier sistema que haya quedado vulnerable.
Si no sabes que es el ransomware, aquí te lo explicamos junto con una lista de medidas que los expertos de la estabilidad aconsejan tomar en caso de un ataque de ransomware y también que debe evitar.
¿Qué es el ransomware?
El uso del Ransonware se popularizó en 2005 convirtiéndose en el ciber ataque más extendido en todo el mundo; desde el principio su objetivo fue producir ingresos de sus víctimas y, según cálculos actuales de Cybersecurity Ventures, el costo de los ataques de ransomware asciende a 11.500 millones de dólares.
Existen dos tipos principales de ransomware: el cripto y el locker. Una vez que se ha hecho clic en un enlace malicioso o se ha abierto una aplicación engañosa, el cripto-ransomware cifrará todos los archivos, carpetas y discos duros del dispositivo infectado, prometiendo su restablecimiento una vez que se haya pagado un rescate al atacante. En comparación, el ransomware de casillero (locker) simplemente bloquea a los usuarios de sus dispositivos.
Por desgracia, los atacantes de ransomware no son muy exigentes a la hora de elegir su objetivo. Si atacan a una empresa, pueden causar el mayor daño, pero los usuarios finales normales, que no están necesariamente al tanto de la ciberseguridad, son más propensos a pagar el rescate en un intento de recuperar sus archivos.
Por lo cual, los ciberdelincuentes que lanzan esta clase de ataques acostumbran adoptar un enfoque de dispersión, debido a que aun cuando solamente una pequeña minoría de las víctimas pague, el ransomware es tan económico de desplegar que los atacantes poseen garantizado un beneficio.
Caer en un ataque de ransomware podría ser bastante perjudicial, sin embargo si se reacciona de forma incorrecta las consecuencias podrían ser catastróficas, ocasionando que se pierda muchísimo más que los archivos.
¿Qué hago si recibo un ataque ransomware?
Rastrear el ataque
La manera más común en que el ransomware llega a su sistema es por medio de un enlace maligno o un documento adjunto en tu correo. Si tienes suerte, el malware únicamente perjudicará a la máquina en la que se abrió; no obstante, si no has parcheado toda tu red, todo tu sistema acabará infectado.
En primera instancia, hay que ubicar la máquina que se infectó al inicio y consultar si han abierto cualquier correo sospechoso o han notado alguna actividad irregular en su máquina.
Mientras más rápido se encuentre en origen, más rápido se podrá actuar. Los ataques de ransomware acostumbran tener un límite de tiempo antes que se borren los archivos.
Desconecta todo
Una vez que se ha infiltrado en una máquina, el ransomware se propaga por medio de la conexión de red, lo cual supone que, cuanto antes se detenga la máquina infectada de la red de su oficina, menos probabilidades habrá de que otras máquinas se infecten.
En un mundo perfecto, el departamento de TI o equivalente debe tener ya una estrategia para situaciones como ésta, de forma que, en esta situación sencillamente ellos se encarguen y les permitas mitigar el mal de la mejor manera.
En el caso de que no exista una estrategia, debe realizarse una junta para describir lo que se debe hacer posteriormente.
Avisa al equipo de seguridad informática o al servicio de asistencia técnica
Es habitual que las organizaciones más grandes cuenten con un equipo de seguridad informática e incluso con un jefe de seguridad de la información dedicado que será quien ejecute su plan de acción y se encargue del protocolo tras un ataque.
Sin embargo, para algunas empresas más pequeñas, las restricciones presupuestarias a menudo significan que tener estos expertos en la empresa simplemente no es factible. En ese caso, es importante que el director de informática esté plenamente informado de todas las cuestiones de seguridad y pueda tomar las riendas en caso de crisis.
También es útil trazar una línea de tiempo del ataque, esto debe servir para futuros ataques y para que los sistemas de seguridad actuales conozcan el ataque.
Constantemente los ciberataques dejan pistas en los metadatos, por lo cual va a ser primordial investigar los mismos.
Notificar a las autoridades
Si su empresa maneja datos que pertenecen a ciudadanos de la Unión Europea, el RGPD (Reglamento General de Protección de Datos) le obliga a informar a la OCI (Oficina de la comisión de información) en un plazo de 72 horas desde que se produzca una infracción. No hacerlo significa que su organización no cumple la legislación y, con multas potenciales del 4% de la facturación global anual o de 20 millones de euros, es algo que no puede permitirse, literalmente.
Si los datos almacenados tienen numerosos identificadores, debe alertar a un responsable de protección de datos o equivalente.
Informar a todos los empleados y clientes
Cuando se trata de ciberataques, el eslabón más débil suelen ser los colaboradores y, a pesar de nuestros mejores esfuerzos, todos podemos cometer fácilmente errores que pueden poner en peligro los datos de la empresa.
En lugar de señalar con el dedo, informar al personal de que se ha producido una brecha, de lo que significa y de las medidas que piensa tomar.
También es importante sincerarse con clientes que podrían haber visto sus datos comprometidos en un ataque de ransomware.
Es importante que sus clientes se enteren de las malas noticias por medio de la empresa, no por un informe de los medios de comunicación.
Actualice todos sus sistemas de seguridad
Parchee, actualice, invierta y repita. Una vez superado el incidente, tendrá que realizar una auditoría de seguridad total y actualizar todos los sistemas.
Esto puede llevar algún tiempo, e incluso costar algo de dinero, pero si valoras tus datos y la reputación de tu empresa, lo harás.
Lo que definitivamente no debe hacer
Entrar en pánico
Aunque siempre te aconsejamos que tengas un plan en marcha antes de ser víctima de un ataque de ransomware, si ocurre lo peor y no tienes una estrategia es importante que intentes no entrar en pánico. Las decisiones improvisadas no ayudarán a la situación, si necesitas ayuda, pídela.
Cualquier desorden evidente podría ser aprovechado por los ciberdelincuentes, dejándote vulnerable a nuevos ataques.
Pagar el rescate
Los ataques de ransomware experimentaron un aumento significativo hace unos años porque los delincuentes se dieron cuenta de que podían obtener cantidades relativamente grandes de dinero por un pequeño coste inicial.
Lo más alarmante es que las investigaciones han demostrado que un tercio de las empresas admite que es más rentable pagar el rescate cada vez que invertir en un sistema de seguridad adecuado.
Por desgracia, esto ha creado un círculo vicioso en el que las empresas siguen pagando el rescate, lo que significa que el ransomware seguirá siendo una táctica popular para ganar dinero, que sólo sirve para perpetuar el problema.
En general, los expertos en ciberdelincuencia y las autoridades desaconsejan pagar el rescate por muchas razones. En primer lugar, el hecho de pagar el rescate no significa que vaya a recibir una clave de cifrado para desbloquear sus datos. En segundo lugar, podría animar a los hackers a pedir mayores cantidades de dinero a futuras víctimas.
Lo mejor que puedes hacer es protegerte, prevenir es la clave de toda catástrofe, en TKS te asesoramos y te proveemos las mejores herramientas para que nunca pases por una situación así, y si algún día llega a ocurrir, actúes con las mejores medidas para mitigar el problema.
Comments