¿Cómo hacer frente a un ataque de ransomware?

Imagen: Zdzisław Beksiński

por Víctor Ruiz, fundador de SILIKN, instructor certificado en ciberseguridad — CSCT™ y mentor del Centro de Ciberseguridad 05000.

La remediación posterior a un ataque de ransomware es un proceso largo durante el cual las empresas tienen que hacer diferentes actividades para proteger sus activos y prevenir futuros ataques.

Los resultados de un ataque de ransomware son diferentes para cada organización. Es posible que se haya pagado el rescate y los ciberdelincuentes cumplieron con su parte del trato, es decir, le dieron la clave de sus archivos. En otros escenarios, es posible que se haya pagado y los datos hayan permanecido en manos de los criminales.

Si ha utilizado algún dispositivo de cifrado para recuperar los datos, es posible que haya recuperado el acceso a sus archivos sin pagar el rescate. Independientemente de cómo manejó inicialmente la situación, lo que sigue es el período de remediación.

El período de recuperación posterior a un ciberataque es el momento más dañino para las organizaciones afectadas. Se sabe que afecta completamente las finanzas de las empresas. Además, causa un daño irreversible a la reputación si las organizaciones han dado a conocer la infracción al público.

En este sentido, se estima que una organización tarda entre una semana y un mes en recuperarse por completo de un ataque de ransomware. Incluso si sus archivos importantes se cifran durante solo dos o tres días, se estima que el tiempo de inactividad durará entre 15 y 22 días.

El tiempo de inactividad considera el tiempo que tardan las empresas en volver al 100% después de que el ataque interrumpe su flujo de trabajo. El tiempo de remediación es crucial porque determina si su empresa puede regresar a sus operaciones, esta vez preferiblemente más fuerte y mejor protegida de otro posible ciberataque.

¿Cómo puede prevenir los nuevos ataques?

Dependiendo de cómo maneje la seguridad de su empresa, es posible que su equipo haya tenido que eliminar el malware manualmente de los dispositivos. Alternativamente, puede usar herramientas que descifran los datos y eliminan el malware.

En ambos casos, queda el informe forense del incidente. Durante el análisis, es importante conocer:

¿Cuántos dispositivos se cifraron?
¿Cómo manejó su equipo de sistemas el ataque?
¿Cuánto tiempo han estado cifrados sus archivos?
¿Cómo entró el ransomware en su red?
¿Cómo eliminó el malware del software antimalware que tenía?

El análisis de los documentos que describen el ataque le dará una visión general de su sistema y de en qué se debe trabajar para fortalecer la seguridad, así como cuáles podrían ser las partes más vulnerables de su red.

Si hay vulnerabilidades en su red, pueden dar lugar a repetidos ataques de ransomware. Los cibercriminales pueden ser nuevos o los mismos que han estado persiguiendo a su organización.

Para eliminar las fallas en su sistema, considere cómo entró el malware. El ransomware puede ingresar a través de un correo electrónico de phishing infectado con malware que cifra datos.

Otra ruta común para que el virus vulnere su sistema es a través de sitios web que contienen un virus. Por lo tanto, las partes vulnerables podrían ser sus empleados que necesitan más capacitación. Eduque a sus empleados sobre los protocolos y las mejores prácticas de ciberseguridad.

Eso puede evitar errores simples como contraseñas débiles, abrir correos electrónicos de remitentes desconocidos y descargar archivos adjuntos infectados.

Cómo preparar su empresa para el ransomware

Algunas acciones que puede tomar para protegerse de un posible ransomware incluyen:

Tener una copia de seguridad de datos importantes
Preparar las herramientas que pueden eliminar el malware
Capacitar a sus empleados, definiendo protocolos oportunamente
Invertir en software que pueda detectar y eliminar el malware de su sistema incluso antes de que se convierta en un incidente y cifre sus archivos.

Los cibercriminales dependen fundamentalmente de los errores humanos y de los miembros de su equipo que pueden no estar familiarizados con los problemas de ciberseguridad o no son expertos en tecnología. Son los que pueden hacer clic en un enlace que conduce a sitios web infectados con malware.

Realice una copia de seguridad de sus datos en lugares aislados para que pueda acceder a ellos incluso si los cibercriminales logran realizar un ataque más. De lo contrario, el ransomware puede interrumpir su flujo de trabajo y retrasarlo al bloquear el acceso a los archivos que necesita para administrar su empresa.

Después de que las partes vulnerables de su sistema hayan sido reparadas y lo haya configurado para que esté blindado en caso de más ataques, es necesario escanear continuamente el sistema.

Incluso si pagó el rescate, no hay garantía de que no sea el objetivo repetido de estos ataques.

Su sistema cambia continuamente, a veces en cuestión de minutos. Esas alteraciones pueden resultar en nuevas fallas que pueden dejar a su organización vulnerable a un ransomware repetido.

¿Cuánto tiempo debe transcurrir antes de que todo vuelva a la normalidad?

El ransomware es un revés importante para las empresas. ¿Cuánto tiempo les puede llevar recuperarse después del ransomware? Eso depende de si se han estado preparando para tales incidentes y cuántos y cuáles archivos se tienen que descifrar.

¿Contaban con las medidas, herramientas y protocolos que indican qué hacer en caso de un incidente de este tipo?

Para las empresas que estaban preparadas, pero los ciberdelincuentes aún lograron descubrir una vulnerabilidad e instalar malware, el mejor de los casos sería que sus sistemas estuvieran inactivos durante dos días.

Las empresas que no estén preparadas pueden lidiar con las consecuencias del ransomware durante los próximos meses.

Cabe señalar que algunas empresas nunca se recuperan después de un ciberataque. Es posible que no tengan las finanzas y recursos suficientes para remediar las fallas en el sistema.

La medida en que los dispositivos han sido afectados por ransomware también es importante. Es posible que haya perdido archivos vitales que pueden ser recuperados. En otros casos, parte de su información podría haberse filtrado al público.

Un ataque exitoso de ransomware puede dejar a los equipos de sistemas y a los dueños de negocios con mucha ansiedad, estrés y depresión.

Lo mejor que puede hacer es reparar las fallas para evitar nuevos ataques y prepararse para un ataque repetido.

Por lo tanto, tenga listas las soluciones y los protocolos de seguridad, capacite a los empleados y escanee continuamente la red para descubrir señales del ransomware de manera temprana.

Para más información, visite: https://www.silikn.com/

--

--

Founder of SILIKN

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store