Noticias
Ransomware: protocolo de actuación para pymes
Los ataques globales de ransomware a infraestructuras críticas, empresas e instituciones públicas han aumentado drásticamente en el primer trimestre de 2021.
Durante este año hemos sido testigos de ataques como el del SEPE el pasado marzo, en el que datos de los ciudadanos fueron secuestrados a la espera de ser liberados a través del pago de un rescate. A este, se suman muchos otros ocurridos ya en 2020 como el de SNAKE, que infectó a una serie de hospitales privados en Europa o REvil, que se hizo con hasta 756 gigabytes de datos privados de representados y sus contactos de un bufete de abogados centrado en la representación legal de personalidades de la industria del entretenimiento.
Ante este panorama, las pymes son particularmente vulnerables, ya que no cuentan con suficientes recursos humanos, tecnológicos y económicos para protegerse; de hecho, fuerzas de seguridad como la Guardia Civil han afirmado que las pymes son el objetivo del 70% de los ciberdelitos. ¿Cuál es entonces la mejor forma de protegerse o de actuar en el caso de hayan sido infectadas por un ataque de este tipo? Excem Technologies ha querido compartir con nosotros algunas claves.
¿Qué debo hacer si sospecho que mi equipo está siendo atacado?
Aunque en la gran mayoría de situaciones se es consciente de la infección cuando el ransomware ha finalizado su ejecución y todos los ficheros del dispositivo han sido cifrados y retenidos, existe la posibilidad de que éste aún no haya terminado su ejecución. De este modo, en el mejor de los escenarios todavía es posible recuperar la clave de cifrado o evitar que más ficheros sean cifrados. De esta forma se recomienda seguir los siguientes pasos generales en el momento de la detección de un ransomware:
- Desconectar las unidades de Internet, esto supone “tirar del cable” de red (o desactivar las interfaces inalámbricas). De este modo se podría llegar a evitar la propagación a otros equipos o elementos de la empresa.
- En segundo lugar, es preciso comprobar si el proceso dañino aún sigue ejecutándose localmente, es decir, aunque hayamos desconectado los equipos de la red. Si es así, se recomienda tratar de “matar” el proceso desde el Administrador de tareas (Windows) o con un comando kill desde un terminal (Linux). En caso de no ser posible o no estar familiarizado con estas herramientas, lo más sensato es apagar la máquina con el propio botón de encendido.
- Además, debe notificarse al departamento de IT de la empresa, si lo tiene, y a las autoridades competentes en cada caso. Dependiendo del tipo de organización que haya sido vulnerada, se debe acudir a un organismo u otro. Si se trata de Sistemas Clasificados o de Gobiernos Autonómicos y Locales, al CCN-CERT; al INCIBE-CERT, en el caso de empresas privadas o ciudadanos; al CNCPIC si son Infraestructuras críticas, o al ESP-DEF-CERT si está relacionado con las Fuerzas Armadas.
- Por otro lado, es fundamental no ceder ante las demandas económicas de los ciberdelincuentes y no pagar nunca el rescate, ya que además de tratarse de una práctica ilegal en España, no hay certeza sobre la recuperación de los datos secuestrados. La colaboración con las fuerzas y cuerpos de seguridad del estado es esencial, ya que cuentan con procedimientos para la recuperación de los datos secuestrados y protocolos de ayuda para las organizaciones en función de los diferentes escenarios posibles, por ejemplo, si la empresa dispone o no de copia de seguridad, o de los recursos con los que cuenta la misma.
¿De qué manera pueden protegerse las pymes de estos ataques?
Para prepararse ante este tipo de ataques, las pymes pueden poner en marcha una combinación de medidas preventivas, basadas en la lógica y el sentido común:
-
-
- Mantener siempre los sistemas operativos de los dispositivos actualizados hasta su nivel más reciente de parcheado y emitido por el fabricante oficial del software.
- Asimismo, es muy importante contar con una buena protección, preferiblemente un antivirus de nueva generación o también denominado EEP+EDR.
- De forma adicional, es recomendable realizar copias de seguridad periódicas de todas las máquinas e información que se consideren relevantes para el trabajo de la empresa en el día a día.
- Las empresas deben contemplar también medidas restrictivas en lo relacionado a la compartición de archivos, ejecución remota de aplicaciones, etc.
- Del mismo modo, es conveniente deshabilitar todos aquellos servicios que vienen activados por defecto en los sistemas operativos, pero que no son de uso común en nuestra empresa.
- Además, de forma más avanzada, se recomienda implementar protecciones más sofisticadas de análisis, detección y bloqueo de tráfico malicioso.
Finalmente, existen recursos como los ofrecidos por el CCN-CERT que proporcionan guías técnicas de manera periódica orientadas a empresas y organizaciones.
-
“Este tipo de amenazas pueden llegar a ser inasumibles para las empresas que lo sufren, por eso es tan importante que las pymes sean conocedoras de las medidas que pueden poner en marcha para prepararse ante un eventual ciberataque, así como el protocolo de actuación en caso de ser víctimas del ransomware”, afirma Rubén Vega, Cibersecurity Manager en Excem Technologies.