Según un informe de Cisco Talos Incident Response (CTIR), el ransomware fue la principal ciberamenaza en 2021. Además, un barómetro de Allianz advierte que será la amenaza cibernética más temida durante 2022. De ahí que sea tan importante prevenir secuestros informáticos. Pero, ¿qué sucede si finalmente se producen? ¿Qué se debe hacer después de un ataque de ransomware?
¿Cómo actuar después de un ataque de ‘ransomware’?
Con el objetivo de ayudar a los empresarios, el Instituto Nacional de Ciberseguridad (Incibe) de España ha publicado una guía específica. Y entre sus contenidos, brinda unas indicaciones para actuar en caso de ser víctimas de un ataque de ransomware. Como consejos básicos, Incibe recomienda:
- No pagar el rescate. En muchos casos, satisfacer las demandas de los ciberdelincuentes no garantiza que se vaya a recuperar la información robada o que no saquen a la luz datos confidenciales de la organización.
- Poner en práctica el plan de respuesta ante incidentes. Es importante disponer de un plan de contingencia y continuidad de negocio para volver a la normalidad lo antes posible.
- Utilizar la última copia de seguridad de la información. En el supuesto de no disponer de un plan, recurrir a la última copia de seguridad facilitará recuperar los datos perdidos y retomar la actividad empresarial.
Una vez que se tienen claras estas recomendaciones, una serie de pasos contribuirán a recuperar la normalidad:
- Aislar el equipo de la red para evitar que el ciberataque se propague a otros dispositivos. De igual manera, se debe sospechar de discos duros, unidades de red o servicios en la nube conectados, ya que también podrían estar infectados.
- Cambiar todas las contraseñas y generar otras nuevas una vez finalizado el ciberincidente. Hay que asegurarse de que se trata de contraseñas robustas.
- Realizar una clonación completa del disco duro del equipo afectado. Esta medida persigue mantener el dispositivo original e intentar recuperar los datos sobre el clon.
- Desinfectar el disco clonado. Es fundamental eliminar el malware y sus posibles persistencias antes de recuperar los datos. De lo contrario, la información podría volver a ser cifrada.
- Recuperar y restaurar los equipos. Siempre que sea factible, se aconseja reinstalar el software original o arrancar en modo seguro, así como recuperar una copia de seguridad previa.
Todos estos pasos y otras alternativas se encuentran detallados en la citada guía para empresarios de Incibe. Igualmente, el instituto recomienda denunciar el ciberincidente a las Fuerzas y Cuerpos de Seguridad.
Profesionales cualificados y visibilidad de los activos
Por su parte, Oswaldo Palacios, director para América Latina de Guardicore, señala que, tras un ataque de ransomware, “los responsables de seguridad de la información deben evitar que se propague en la red empresarial, así como comprobar el tipo de secuestro informático. Del mismo modo, han de aislar los activos infectados, investigar cómo ocurrió el ataque, comprender cómo se produjo la intrusión y medir el impacto”.
Con el objetivo de prevenir un ataque de ransomware, Palacios considera esencial contar con profesionales bien preparados que ayuden a sus organizaciones a ser resilientes. Y también “crear microsegmentos de comunicaciones para asegurar que solamente las personas adecuadas acceden a nuestras joyas de la corona digitales. Es primordial tener visibilidad sobre todo nuestros activos, ya que no se puede proteger lo que no se puede ver”.
En opinión del representante de Guardicore, los responsables de ciberseguridad han de implementar soluciones que les ayuden a tener una completa visibilidad de cómo interactúan los servidores, aplicaciones y ambientes dentro del centro de datos. Y crear segmentos definidos por software para aislar aplicaciones críticas para estar preparados ante cualquier tipo de ataque, no solo de ransomware.
Archivado en:
