En los últimos años, los ciberdelincuentes han atacado con ransomware a pequeñas empresas, compañías gigantes, ciudades y hasta países enteros. Los ataques de este tipo casi siempre provocan pérdidas importantes, tanto en términos financieros como de reputación, por lo que existe un gran interés en concentrar todos los esfuerzos en no sufrir las consecuencias. Pero es importante no perder de vista otra cuestión: cómo evitar que se vuelva a repetir.
¿Por qué es más probable volver a ser víctima del ransomware?
Hace tiempo, los propios autores de ransomware intentaban atacar a las empresas enviando a sus troyanos por medio de spam. Hoy en día, los grupos más modernos trabajan desde hace tiempo con el principio del ransomware como servicio: proporcionan acceso a la infraestructura y al código del malware a cambio de una parte del rescate. Esto significa que, en general, el “negocio del cifrado” se está convirtiendo en una industria especializada en toda regla. En particular, hay grupos criminales que buscan (o fabrican) y venden el acceso primario a las redes de las empresas, los llamados brokers de acceso inicial.
Si los medios de comunicación o los foros de hackers informan de que tu empresa ha sido víctima de un ransomware, esto atraerá, automáticamente, la atención de otros atacantes, especialmente si aceptaste pagar el rescate. Esto pasará porque, en primer lugar, significará que tu infraestructura es vulnerable y, en segundo lugar, que estás abierto a negociar con los atacantes. Para los delincuentes de hoy en día, esto es una clara señal de que vale la pena volver a hacerlo. Y como muestran los resultados de la encuesta “Cómo perciben los ejecutivos de las empresas las amenazas de ransomware“ realizada por nuestros compañeros, no están alejados de la realidad: el 88 % de los ejecutivos de las empresas que han sido afectadas por el ransomware afirman estar dispuestos a pagar si el ataque se repite.
¿Cómo minimizar las posibilidades de otro ataque de ransomware?
La cuestión de cómo evitar que se repita debe plantearse en el proceso de investigación y eliminación de las consecuencias, y hay que empezar en la fase de decisión sobre el pago del rescate. A corto plazo, la idea de pagar el rescate puede parecer una solución viable al problema, pero, antes de transferir el dinero, hay que tener en cuenta lo siguiente:
- El pago del rescate no garantiza la seguridad de tu información, pues esta ya está en las manos equivocadas.
- Aunque los atacantes no la publiquen inmediatamente, no hay garantías de que no se venda en secreto o sea utilizada por los delincuentes para otros ataques.
- Al pagar a los delincuentes, estás financiando su negocio, y esto conduce inevitablemente a la expansión y al aumento del número de ataques.
- Al pagar, das indirectamente una señal de que puedes ser atacado de nuevo.
Por lo tanto, recomendamos encarecidamente no pagar. Por lo demás, nuestro consejo para los que no quieren que se repita un ataque de ransomware es bastante estándar:
– Investiga minuciosamente cómo fuiste atacado: esto te ayudará no solo a evitar que se repita el ataque de la misma forma, sino que también te permitirá decidir correctamente cuáles serán tus próximos pasos. Si no tienes recursos para investigarlo por tu cuenta, contrata a expertos externos.
– Después de asegurarte de que no hay más intrusos en la infraestructura, tómate un tiempo para comprobar en qué estado se encuentran los sistemas críticos (sistemas operativos, herramientas de acceso remoto, soluciones de seguridad). Si es necesario, actualízalos y contempla la opción de sustituir algunos por otros más fiables.
– Realiza un análisis exhaustivo de tu infraestructura en busca de vulnerabilidades . Después de un ataque fructífero, es probable que los atacantes comiencen a buscar métodos de entrada alternativos.
– Si los atacantes pudieron acceder a tus sistemas mediante ingeniería social, presta más atención a la formación del personal en términos de ciberseguridad.
– Si se utilizaron herramientas de acceso remoto y contraseñas filtradas en el ataque, cambia todas las contraseñas utilizadas en ese sistema.
– Asegúrate de que todos los dispositivos corporativos que tengan acceso a Internet (incluidos los servidores y los teléfonos móviles) estén protegidos con soluciones de confianza.