A estas alturas todos hemos oído hablar del ransomware, esa categoría de software malicioso que “toma secuestrados” tus datos cifrándolos en el disco, para acto seguido pedir un rescate por descifrarlos de nuevo. Normalmente estos rescates se pagan con medios poco transparentes o con cripto que, aun siendo todas sus transacciones públicas, tiene formas de diluir el rastro de los pagos. ¿Pero qué puedes hacer para protegerte o qué ocurre si ya es demasiado tarde?
¿Por qué es tan rentable el ransomware?
Al principio, los cibercriminales detrás del ransomware seguían un patrón de difusión masiva de mails, ataques, etc. para alcanzar el máximo número de personas. Una vez cifrado el ordenador, pedían rescates pequeños, fáciles de pagar, con la esperanza de que el número de afectados fuera sumando a la “rentabilidad” del ataque. Hoy en día, en cambio, el foco de los delincuentes ha pasado de los ciudadanos corrientes a las empresas.
La idea es sencilla: los datos personales de un individuo son importantes, pero los secretos empresariales lo son más. Menos esfuerzo (un solo ataque), más rendimiento (rescates más suculentos). Eso sí, la seguridad informática en las empresas suele ser más consistente que en los domicilios particulares. Pero para un grupo de hackers determinados a conseguir “el premio”, nada es disuasorio. La recompensa potencial es un incentivo importante. Por otro lado, estos ataques se orquestan desde varios puntos, a veces incluso varios países, para eliminar pistas sobre el origen.
¿Y si ya es demasiado tarde?
Por muchas precauciones que tomes en tu empresa, no siempre es posible evitar un ataque de ransomware. Empleados que no toman todas las precauciones y pulsan sobre enlaces o ejecutan programas sin autorización, exploits zero day combinados con mala suerte…la lista no es muy extensa, pero con un solo fallo es suficiente. Y entonces ¿qué hay que hacer?
La primera regla es que no cunda el pánico. Si, antes del ataque, has seguido los siguientes consejos, el problema no es tan grave:
- Tener una imagen del sistema actualizada, para poder restaurar el sistema operativo en muy poco tiempo.
- Disponer de copias de seguridad regulares de los datos de cada equipo. A ser posible, automáticas.
- Siempre que sea posible tener dos o más equipos vacíos en “spare”, que se puedan utilizar en estos casos para restaurar los datos clave y mantener a la empresa funcionando, aunque sea en mínimos, mientras se resuelve el problema.
Si tienes eso, cuando se produzca el ataque, debes tener un plan de acción pensado de antemano, y seguirlo rigurosamente:
- Desconectar los equipos afectados de la red cuanto para aislar o reducir el problema al mínimo y evitar infecciones de otros equipos.
- No buscar soluciones por Internet o descargar “descifradores” que prometen resolver el problema. Sólo el personal de TI debe tomar ese tipo de decisiones.
- Restaurar primero el sistema, luego los datos. Siempre en el equipo desconectado.
- Notificar a las fuerzas del orden del ataque, para que tengan constancia, a efectos de posibles seguros y en caso en que se produzcan acciones legales.
- Localizar el origen del ransomware y cómo entró en los sistemas de la empresa, para resolver esa vulnerabilidad, ya sea tecnológica o de formación del personal.
Por desgracia, el pago del rescate para “hacer desaparecer el problema” no siempre conduce al resultado deseado. Es muy posible que los cibercriminales se queden con el dinero y aun así no desbloqueen los datos. De todas formas, las circunstancias específicas pueden ser muy diferentes en cada caso. De modo que no es posible dar una directriz clara. Las agencias gubernamentales, en general, desaconsejan pagar, ya que eso perpetúa el círculo vicioso. Y, como hemos comentado, en el peor de los casos te quedas sin los datos y sin el dinero. Las Brigadas especiales de ciberdelitos de la Policía Nacional (BCIT) y la Guardia Civil (GDT) pueden ayudar a tomar una decisión informada sobre qué hacer. Por eso es importante notificar a las autoridades.
¿Qué puede aportar v-One?
En v-One desplegamos sistemas profesionales de ciberseguridad de grado Enterprise para empresas, como firewall y soluciones de antivirus avanzadas, capaces de detectar las amenazas antes de que estas lleguen siquiera a la red interna de la compañía. Estas soluciones también no sólo protegen al endpoint, sino también las aplicaciones y datos en cloud, para conseguir una seguridad mayor y más descentralizada.
El sector de las PYME (SMB) es uno de los más afectados, debido a que su presupuesto para seguridad es menor, pero los profesionales de v-One disponen de soluciones para todas las necesidades. Una de ellas, que evita la fuga de datos corporativos desde un dispositivo móvil, es CheckPoint Harmony Mobile, que podemos completar con otras soluciones del portfolio de Checkpoint para crear una barrera frente al ransomware y otras amenazas a tus datos empresariales.