Qué hacer en caso de una ataque Ransomware

| |

En los últimos meses, muchas empresas españolas se han visto afectadas por los rescates, una técnica de ataque cada vez más utilizada por los ciberdelincuentes que han cambiado un poco su modus operandi. Los grupos de ataque ya no se contentan con cifrar simplemente los datos y hacer inaccesibles los sistemas, sino que ahora amenazan con revelar la información que poseen.

Entonces, ¿qué haces si eres atacado y te piden un rescate? ¿Pagar y esperar lo mejor, o negarse y arriesgarse a un cierre prolongado y una recuperación costosa? Para evitar enfrentarse a este tipo de dilema, las empresas deben darse cuenta de lo importante de poner en práctica medidas que lo protejan.

Por qué no debemos ceder al chantaje

Hay tres razones por las que la Policía o Incibe dice que nunca se debe pagar un rescate. En primer lugar, no hay garantía de que la organización de la víctima obtenga realmente la clave de desencriptación una vez que se pague el dinero. En algunos casos, las empresas han pagado un rescate sin recibir nunca el desbloqueo de sus datos. Además, si una organización paga, nada impedirá que los piratas la ataquen de nuevo y la obliguen a pagar una y otra vez – cada demanda resulta ser más alta que la anterior. Por último, responder favorablemente a un rescate es una forma involuntaria de alentar el «modelo de negocio» de los rescates y exponer a otras empresas a un mayor riesgo.

Medidas eficaces de protección contra los rescates

Hay dos formas esenciales de limitar el riesgo de tener que pagar un rescate: reducir la vulnerabilidad a la infección y asegurarse de que se pueda recuperar rápidamente (sin una clave de cifrado) para limitar el daño.

En primer lugar, para bloquear un ataque de ransomware, es importante educar a los empleados sobre las amenazas y medidas básicas de seguridad informática. Sin embargo, ni siquiera el mejor entrenamiento puede garantizar que todos apliquen siempre las mejores prácticas. Un simple clic en un enlace de un correo electrónico de phishing puede ser suficiente para lanzar un ransomware en un entorno informático. Además, algunas variantes no requieren la acción humana, por lo que el adoctrinamiento es innecesario para ellas. Por lo tanto, cualquier compañía debe asumir que eventualmente será víctima de una infección con rescate.

La rápida detección, respuesta y recuperación de datos son las claves de un plan de control efectivo.

Con los ciberdelincuentes al acecho de las vulnerabilidades, las empresas tienen un interés personal en desarrollar y probar un plan de respuesta rápida para limitar los riesgos y las consecuencias de un ataque exitoso. Un plan eficaz implica la detección, la respuesta y la recuperación de los datos lo más rápida posible.

Para ello es necesario que las organizaciones conozcan sus datos y que sepan quién tiene acceso a ellos. Para reducir al mínimo el riesgo de perder el acceso a datos sensibles, como la información de identificación personal de clientes y empleados, es fundamental saber exactamente qué tipos de datos se almacenan y asegurarlos según su valor. La clasificación automatizada permitirá a las empresas comprender mejor qué datos están a su disposición, quién tiene acceso a ellos y cuán sensibles son, de modo que puedan elegir las políticas adecuadas para proteger sus activos fundamentales. Por ejemplo, como ransomware suele depender de los derechos de acceso de la cuenta de usuario que ha comprometido, la aplicación rigurosa del principio del menor privilegio reducirá al mínimo la cantidad de datos que pueden cifrarse durante un ataque.

Además, la mejora de la detección y la activación de alertas en caso de anomalías son cuestiones importantes para poder protegerse de los rescates. Por lo tanto, es esencial vigilar el comportamiento de los usuarios en todos los sistemas y datos críticos, ya sea en el sitio o en la nube, pero también estar alerta a cualquier actividad anormal que pueda indicar un ataque en curso. Este es el caso, por ejemplo, cuando se hace un cambio en la lista de extensiones de archivos restringidos o cuando se observa un alto número de cambios de carpeta. La notificación a través de alertas en caso de actividad sospechosa es una verdadera ventaja, ya que permite reaccionar a un posible ataque antes de que una gran cantidad de datos se vea comprometida.

También es esencial asegurar que se disponga de información detallada sobre los archivos que se han modificado o eliminado durante un ataque de ransomware, de modo que el equipo de TI pueda restaurar estos datos rápidamente para minimizar las interrupciones. Además, las empresas deben considerar cuidadosamente la clasificación de los datos para poder realizar copias de seguridad periódicas de los datos sensibles y críticos y almacenarlas donde los rescates no puedan llegar a ellas.

Finalmente, el desarrollo de un plan de respuesta a incidentes es una necesidad. Esto permite a las empresas establecer un documento en el que se detallan las medidas que deben adoptarse para responder a las señales de un ataque con rescate, incluida la determinación de las responsabilidades de cada persona. Como las personas, el entorno de la tecnología de la información y el panorama de las amenazas cambian constantemente, las organizaciones deben probar su plan con regularidad y actualizarlo si es necesario.

Ninguna empresa quiere enfrentarse al dilema de pagar un rescate o sufrir graves daños por negarse a pagar. Por lo tanto, es mejor tomar las medidas necesarias para protegerse contra las omnipresentes amenazas cibernéticas educando a los usuarios y preparándose para cualquier ataque que pueda ocurrir. Y si las organizaciones tienen suficiente confianza en su capacidad para restablecer el acceso a sus sistemas y datos, entonces limitarán el riesgo de tener que considerar alguna vez el pago de un rescate.

Previous

Consejos de seguridad para los gerentes de TI

Ciberseguridad: las PYMES son el objetivo y deben actuar

Next