Qué hacer ante un ataque de ransomware
- Seguridad
Según Excem, las pequeñas y medianas empresas son particularmente vulnerables frente a los ataques de ransomware al no contar con suficientes recursos humanos, tecnológicos y económicos para protegerse. Sus expertos han recopilado una serie de consejos para prevenirlos o actuar en el caso de que ser atacados por un malware de este tipo.
En los últimos días dos estudios han constatado que los ataques de ransomware van en aumento y que cada vez son más peligrosos para las empresas. Por un lado, un informe de SonicWall ha confirmado que, durante los primeros seis meses del año, se han superado el número de ataques producidos por este malware durante 2020 y, por otro, una investigación de la unidad de consultoría de seguridad de Palo Alto Networks ha puesto de relieve de que los pagos de los rescates de ransomware están en niveles récord.
Según los expertos de Excem, ante este panorama, las pymes son particularmente vulnerables, y han reunido una serie de consejos sobre cómo deben actuar en caso de que sean víctimas de un ataque de ransomware.
Aunque en la gran mayoría de situaciones se es consciente de la infección cuando el ransomware ha finalizado su ejecución y todos los ficheros del dispositivo han sido cifrados y retenidos, existe la posibilidad de que éste aún no haya terminado su ejecución. En este escenario, todavía es posible recuperar la clave de cifrado o evitar que más ficheros sean cifrados y, por eso, la recomendación es seguir los siguientes pasos generales en el momento de la detección del ataque:
-- Desconectar las unidades de Internet, esto supone “tirar del cable” de red (o desactivar las interfaces inalámbricas). De este modo se podría llegar a evitar la propagación a otros equipos o elementos de la empresa.
-- En segundo lugar, es preciso comprobar si el proceso dañino aún sigue ejecutándose localmente, es decir, aunque hayamos desconectado los equipos de la red. Si es así, se recomienda tratar de “matar” el proceso desde el Administrador de tareas (Windows) o con un comando kill desde un terminal (Linux). En caso de no ser posible o no estar familiarizado con estas herramientas, lo más sensato es apagar la máquina con el propio botón de encendido.
-- Además, debe notificarse al departamento de IT de la empresa, si lo tiene, y a las autoridades competentes en cada caso. Dependiendo del tipo de organización que haya sido vulnerada, se debe acudir a un organismo u otro. Si se trata de Sistemas Clasificados o de Gobiernos Autonómicos y Locales, al CCN-CERT; al INCIBE-CERT, en el caso de empresas privadas o ciudadanos; al CNCPIC si son Infraestructuras críticas, o al ESP-DEF-CERT si está relacionado con las Fuerzas Armadas.
-- Es fundamental no ceder ante las demandas económicas de los ciberdelincuentes y no pagar nunca el rescate, ya que además de tratarse de una práctica ilegal en España, no hay certeza sobre la recuperación de los datos secuestrados. La colaboración con las fuerzas y cuerpos de seguridad del estado es esencial, ya que cuentan con procedimientos para la recuperación de los datos secuestrados y protocolos de ayuda para las organizaciones en función de los diferentes escenarios posibles, por ejemplo, si la empresa dispone o no de copia de seguridad, o de los recursos con los que cuenta la misma.
Prevenir, la mejor defensa
Para prepararse ante este tipo de ataques, las pymes pueden poner en marcha una combinación de medidas preventivas, basadas en la lógica y el sentido común:
-- Mantener siempre los sistemas operativos de los dispositivos actualizados hasta su nivel más reciente de parcheado y emitido por el fabricante oficial del software.
-- Contar con una buena protección, preferiblemente un antivirus de nueva generación o también denominado EEP+EDR.
-- Realizar copias de seguridad periódicas de todas las máquinas e información que se consideren relevantes para el trabajo de la empresa en el día a día.
-- Incluir también medidas restrictivas en lo relacionado a la compartición de archivos, ejecución remota de aplicaciones, etc.
-- Deshabilitar todos aquellos servicios que vienen activados por defecto en los sistemas operativos, pero que no son de uso común en nuestra empresa.
-- Implementar protecciones más sofisticadas de análisis, detección y bloqueo de tráfico malicioso.
Finalmente, existen recursos como los ofrecidos por el CCN-CERT que proporcionan guías técnicas de manera periódica orientadas a empresas y organizaciones.