Imagínate esto: Un empleado de tu empresa se conecta pronto para adelantarse a los informes financieros de final de mes. Accede al almacén de archivos de la empresa para ver las facturas del mes anterior, cuando de repente una ventana emergente de aspecto anticuado, escrita en letra ominosa, le da la noticia: «¡todos tus archivos están encriptados y bloqueados por una nueva cepa de ransomware!
Antes de que se den cuenta de la gravedad, reciben un mensaje en Slack de un compañero de trabajo. Han recibido el mismo mensaje emergente premonitorio. Toda la empresa ha sido víctima de un ataque de ransomware.
Hoy en día, esto es algo demasiado común, ya que el 47% de las organizaciones sufrieron ransomware el año pasado. El ransomware se introduce generalmente a través de tácticas de ingeniería social, como estafas de phishing, engañando a los empleados para que descarguen el malware. Aunque en general entendemos qué es el ransomware y cómo se introduce, es crucial que todos los miembros de una organización comprendan el proceso típico de recuperación tras un ataque de ransomware.
Paso nº 1: Contención
Una vez que hayas detectado el ransomware, querrás asegurarte de que no se propague más. Esto se consigue esencialmente apagando tu red y terminando cualquier conexión VPN. También deberías desconectar cualquier dispositivo de almacenamiento externo, como las unidades de copia de seguridad.
Una estrategia de contención del ransomware que se suele pasar por alto es desactivar cualquier tarea automatizada de mantenimiento, como conservar archivos antiguos, vaciar papeleras de reciclaje, archivar correos electrónicos o aplicar parches al sistema.
Esto sin duda paralizará el trabajo, pero cuanto antes cierres las cosas y evites que se extienda, antes podrás arreglarlo todo y reanudar las operaciones.
Paso nº 2: Registrar e informar
Recuerda que el ransomware es un acto delictivo. Dependiendo de tu empresa y de los requisitos normativos que tengas, es posible que la ley te obligue a informar del incidente a las autoridades. Una buena práctica es iniciar un registro de las acciones detalladas realizadas por tu equipo informático, durante y después del ataque de ransomware, hacer fotos del mensaje del ransomware y mantener un inventario de impacto con detalles de todos los sistemas afectados. Siempre puedes empezar con la policía local, pero de nuevo, dependiendo de tu sector, puede que necesites contactar con las autoridades federales.
Paso nº 3: Más contención
Si te ataca un ransomware, es muy probable que éste no sea el único problema. Los delincuentes suelen iniciar un ataque de ransomware como parte de un ataque múltiple que comienza con el acceso no autorizado a tus sistemas. Para evitar daños adicionales, cambia todas (y nos referimos a todas) las contraseñas de administrador y desactiva cualquier cuenta VPN con acceso a la red.
Paso nº 4: Hora de decidir… pagar o no pagar
Ahora llega la desafiante y difícil decisión… ¿pagas el rescate? La sabiduría convencional dice que no. Los individuos que han cometido este acto malicioso no merecen recompensa alguna. Sin embargo, tu empresa se está desangrando. Dependiendo del impacto del ataque, es probable que pierdas miles o incluso millones de dólares. Además, el impacto en tu reputación no puede pasarse por alto. El impulso de pagar y seguir con vuestras vidas es difícil de combatir.
Antes de sucumbir a la tentación, ten en cuenta algunos factores. En primer lugar, pagar el rescate no garantiza el acceso inmediato a tus archivos bloqueados. Tras el pago, los ciberdelincuentes te proporcionarán una clave de descifrado. Desencriptar archivos bloqueados de ransomware es un proceso notoriamente lento. En el caso de Colonial Pipeline, por ejemplo, pagaron el rescate sólo para descubrir que el descifrado de los archivos era tan dolorosamente lento, que tenía más sentido confiar en sus planes de continuidad de negocio y recuperación ante desastres.
En segundo lugar, cuando pagas un rescate cibernético, pones instantáneamente una diana gigante en tu organización que dice «Cíframe, pago». En un estudio reciente realizado por Barracuda Networks, el 38% de los encuestados declararon haber sido víctimas repetidas de un ataque de ransomware. Pagar un rescate es una forma segura de ser un objetivo repetido de las bandas de ransomware.
Paso #5 Restaurar archivos desde la copia de seguridad
Suponiendo que decidas no pagar, es hora de segregar y archivar los archivos afectados y restaurarlos todos desde una copia de seguridad. Esto tiene éxito, suponiendo que tus copias de seguridad no se vieran afectadas durante el ataque inicial, ya que los ciberdelincuentes suelen intentar desactivarlas.
Si tus copias de seguridad funcionan con una copia reciente e intacta, ésta es tu mejor oportunidad para reanudar las operaciones. Una advertencia es que te asegures de comprobar primero tus copias de seguridad cuidadosamente, ya que es posible que tus copias recientes o incluso todas ellas también estén encriptadas.
Paso nº 6 Prevención futura
Después de sufrir un ataque de ransomware y recuperar con éxito tus sistemas y datos, es crucial priorizar futuras medidas de prevención. Toma medidas proactivas para reforzar o implantar lo siguiente en tu organización:
- Pruebas de simulación de phishing
- Escaneado de la Web Oscura
- Información de Seguridad y Monitorización de Eventos (SIEM)
- Detección y Respuesta a Puntos Finales (EDR)
- Soluciones antivirus avanzadas
- Detección de amenazas
- Copias de seguridad seguras y en la nube
- Soluciones avanzadas de archivo
El contenido detallado solo está disponible en inglés.