Ransomware: ¿Qué hago ante este grave ciberataque? ¿Pago el rescate?

FERNANDO ANAYANOTICIA05.07.2022 - 07:00h
Los ciberdelincuentes no piden rescates para ellos, sino para personas desfavorecidas.
Los ciberdelincuentes no piden rescates para ellos, sino para personas desfavorecidas.
Flickr
Los ciberdelincuentes no piden rescates para ellos, sino para personas desfavorecidas.

Fernando Anaya

  • Country manager de Proofpoint. Experto en Ciberseguridad.

El ransomware es un viejo conocido para las empresas, pero eso no significa que no siga siendo un problema muy grave. Este ciberataque, que consiste en bloquear el acceso a un sistema o a sus datos hasta que se paga un rescate, lleva más de treinta años entre nosotros.

Mensaje de phishing con link malicioso

Es habitual que vaya precedido por un mensaje de phishing que incite a la víctima a abrir un archivo adjunto o a hacer clic en un link malicioso. De hecho, solo en 2021 se detectaron más de 20 millones de mensajes de este tipo según nuestro informe anual El Factor Humano. También es común que se distribuya como infección secundaria, una vez contaminado el sistema con troyanos o loaders, e incluso mediante "colaboradores activos" dentro de la propia empresa que deciden instalar ransomware en su lugar de trabajo a cambio de dinero.

Una gran amenaza

La ciberguerra ha ido ganando protagonismo a medida que pasan los días.
La ciberguerra ha ido ganando protagonismo a medida que pasan los días.
Pixabay

En cualquier caso supone una gran amenaza, ya que de no hacer el pago en el tiempo establecido la cantidad de dinero puede multiplicarse, o bien los datos pueden divulgarse o destruirse. En España, el ransomware es una de las principales amenazas que se dirigen a las organizaciones (32%), de acuerdo con la encuesta anual a CISOs que realizamos desde Proofpoint. Por este motivo, es imprescindible que todas las empresas sepan cómo enfrentarse a este tipo de ataques en todas las etapas del mismo.

Prepararse ante posibles ataques

La mejor estrategia de seguridad frente al ransomware es intentar evitarlo, y eso requiere planificación y trabajo previo a la amenaza. Estas serían algunas de las pautas:

-Asegurarse de aplicar los últimos parches y actualizaciones a los sistemas operativos, las aplicaciones y el software de seguridad.

-Invertir en soluciones para proteger el correo electrónico y las cuentas cloud.

-Hacer copias de seguridad regularmente y mantenerlas en una red independiente.

-Formar a los empleados para que sepan qué pueden y no pueden hacer, además de cómo evitar o alertar sobre este tipo de ataques.

-Diseñar un plan de respuesta para saber cómo actuar de antemano en caso de ataque.

-Cómo responder en el momento

Pese a todo lo anterior, no siempre se puede evitar el ransomware. La creciente sofisticación de los ataques hace que incluso las empresas mejor preparadas puedan caer en la trampa. En esta situación podría ayudar seguir estas recomendaciones:

-Poner en marcha el plan de respuesta ya planificado y denunciar el caso ante las autoridades competentes como se haría con cualquier otro tipo de robo o extorsión.

-Informar a los empleados de que, cuando reciban una petición de rescate o perciban algo raro, deben desconectar el equipo de la red. Solo un profesional de TI debe intentar reiniciarlo.

-En caso de que el ransomware haya conseguido llegar a un servidor, este debe ser aislado lo antes posible, y comprobar si hay más sistemas del entorno infectados.

-No utilizar las herramientas gratuitas de descifrado de ransomware, porque lo más probable es que estén obsoletas y no funcionen.

-Restaurar todo a partir de las copias de seguridad que se han hecho. No obstante, aun teniendo copias de seguridad recientes, pagar el rescate puede ser más interesante desde el punto de vista económico y operativo dependiendo del caso.

Pagar el rescate: ¿sí o no?

El ransomware solía consistir en ataques masivos pidiendo un rescate reducido con la esperanza de que suficientes víctimas picaran el anzuelo. En la actualidad, el enfoque es bastante diferente. Pueden asegurarse sumas más elevadas eligiendo empresas con datos sensibles cuya reputación puede estar en riesgo si hay una filtración malintencionada, o empresas para las que interrumpir su actividad sea algo desastroso.

El FBI y la Interpol desaconsejan pagar

Desde el punto de vista de la víctima que se ve obligada a elegir si pagar o no pagar, no está tan claro cuál es la decisión correcta. Organismos como el FBI o la Interpol desaconsejan pagar, ya que financia al ciberdelincuente para futuros ataques y señala a la empresa como vulnerable. Está claro que ninguna quiere ser extorsionada y menos sufragar redes criminales, pero la realidad es que muchas pueden llegar a la conclusión de que no les queda otro remedio.

Mi experiencia es que no se puede dar una respuesta clara. Cada caso es diferente, por lo que es la organización la que debe elegir la mejor manera de actuar teniendo en cuenta factores como los siguientes: tiempo y recursos para conectarse de nuevo a internet, responsabilidades de mantener la empresa en funcionamiento, seguridad de clientes y empleados, tipo de actividad delictiva que financiaría el pago, responsabilidades legales, etc.

Averiguar cómo penetró el ransomware

Aunque la crisis termine, queda trabajo por hacer. Si la organización no averigua cómo entró el ransomware, difícilmente podrá detener el próximo ataque. Llegados a este punto, conviene:

-Evaluar la seguridad para detectar si todavía hay amenazas presentes en el entorno, ver dónde han fallado procedimientos y herramientas o si estos han sido insuficientes.

-Revisar el nivel de preparación frente a las amenazas, qué acontecimientos dieron lugar a la infección y cómo se ha respondido.

-Asegurarse de que los empleados están bien informados y concienciados sobre ataques y tácticas del mundo real.

-Crear un plan de crisis para futuros ataques y ponerlo en práctica con simulaciones.

-Reforzar las defensas tecnológicas con soluciones de seguridad que se puedan adaptar a un panorama de amenazas que cambia a toda velocidad.

El ransomware no desaparecerá

El ransomware existirá de una forma u otra mientras los ciberdelincuentes encuentren maneras de ganar dinero con él. La mejor manera de combatirlo es detenerlo en el umbral, y para ello hace falta una estrategia de seguridad centrada en las personas. Hacer a los usuarios más resilientes mediante formación para concienciarles en materia de seguridad, de modo que pueda ayudarles a reaccionar con rapidez y eficacia cuando algo va mal.

Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.

Mostrar comentarios

Códigos Descuento

© 20 Minutos Editora, S.L.

Queda prohibida toda reproducción sin permiso escrito de la empresa a los efectos del artículo 32.1, párrafo segundo, de la Ley de Propiedad Intelectual. Asimismo, a los efectos establecidos en el artículo 33.1 de Ley de Propiedad Intelectual, la empresa hace constar la correspondiente reserva de derechos, por sí y por medio de sus redactores o autores.