El ransomware se ha convertido en la amenaza cibernética con más crecimiento a nivel mundial. Según Corvus Insurance, se han incrementado el 60% de las víctimas afectadas en marzo de 2023, siendo el mes que más afectaciones tiene en los últimos 2 años.
La particularidad del ransomware es que los ciberatacantes han logrado automatizar la infección, donde no hay una empresa u organización objetivo per se; buscan afectar a aquellas empresas que no cuenten con controles preventivos de ciberseguridad o que aprovechan del desconocimiento de usuarios para lograr su objetivo.
Una vez que entran a la infraestructura tecnológica del cliente, cifran la información lo cual no permite operar a la empresa y dejan una nota de rescate para ser pagada a cambio de una promesa de tener un mecanismo para recuperar la información, cosa que normalmente no pasa.
En lo que va del año, ya van muchas empresas principalmente PYMES que nos buscan pidiendo ayuda porque habían caído en un ransomware y este ciberataque había logrado cifrar también los pocos respaldos que tenían. No podían mantener la operación y empezaban a tener quejas de clientes y proveedores.
Todos y cada uno de los que nos buscaron, empezaron diciendo: “Solo quiero recuperar los datos”, “Ya envié un correo para tratar de negociar o pagar el rescate, pero no me contestan”.
Internamente pensaba cómo lograr, en un momento de angustia y presión como este, cuál es la mejor forma de explicar todos los riesgos y cuáles son las recomendaciones ante este momento. Así que, si a usted le acaba de pasar, aquí una serie de recomendaciones sobre cada punto: (todos se pueden hacer a la misma vez o a la par)
RECUPERAR LA INFORMACIÓN – En este momento, la probabilidad de recuperar la información es muy baja, menos del 2% si estamos hablando de versiones de ransomware de reciente creación. Hay muchas empresas que prometen recuperar la información, haciendo que el cliente ponga esperanzas en algo que nunca va a pasar. Sin embargo, es posible que, si es un ransomware viejo, exista posibilidad; pero la probabilidad es muy baja. Cuando conocemos esto, hay un pensamiento inmediato de buscar el pagar el rescate.
PAGO O NO EL RESCATE – Existe el riesgo de pagar y no recibir un mecanismo para recuperar la información, pero también la posibilidad de pagar y tener acceso a la información, pero ser blanco para el ciberatacante sabiendo que se ha pagado antes. Algunos puristas incluso dirían que hay un riesgo de ser incluidos en la lista de OFAC (Oficina de Control de Bienes Extranjeros) de los Estados Unidos ya que este país ha hecho recomendaciones en no hacer estos pagos que financian al terrorismo y crimen organizado. Un simple correo electrónico a la cuenta que se encuentra en la nota de rescate puede significar que existe interés y que el ciberatacante busque un beneficio mayor o lanzar un nuevo ataque más adelante. Considere estos riesgos.
¿Ya nos tienes en Facebook? Danos like y recibe la mejor información
REGRESAR A LA OPERACIÓN – En este caso, es importante no solo tratar de recuperar la información, sino empezar a pensar en cómo levantar la operación que podría ser inicialmente con procesos manuales y a la par empezar a volver a levantar una infraestructura (hardware y software) a la par de la afectada lo antes posible. No se hace sobre lo afectado para evitar una afectación en la SABER CÓMO PASÓ.
REGRESAR SEGURO – Si vamos a implementar servidores donde empezaremos a colocar la información que sabemos que está “limpia” es necesario asegurarnos de ir protegiéndola. Esto es, que se hagan las acciones necesarias para no vernos afectados de nuevo. Lo peor que puede pasar en este momento es que haya una reinfección sobre los respaldos si es que se tienen.
SABER CÓMO PASÓ – En muchos casos se llama Investigación Digital o Cómputo Forense. Esto es de vital importancia para poder identificar cómo fue que terminamos en este punto, cuál es el paciente cero, el vector de ataque o forma de infección, cómo se propagó y si existe todavía algo dentro de mi red que pueda reactivar el ataque. Este punto ayuda mucho para poder REGRESAR A LA OPERACIÓN de la mejor manera. ¿Fue un empleado que abrió un archivo? ¿Fue un servidor viejo que no estaba actualizado? ¿Fue por que el servidor no tenía parches de seguridad ni un firewall? El conocer cómo pasó, evita que vuelva a pasar.
DESCONECTE LOS SISTEMAS, PERO NO LOS REINICE – Un error común es reiniciar los equipos, formatearlos o apagarlos. Esto podría afectar y no permitir encontrar evidencia o información que permita identificar cómo es que la organización fue infectada. En algunos casos, es posible encontrar información en el equipo para la recuperación de la información, por lo que ser asesorado sobre el manejo de estos equipos infectados es clave. En muchas ocasiones solo se pide que se les quite el acceso a la red, pero que no se reinicien o apaguen.
¿HAY UNA RESPONSABILIDAD LEGAL? – Las nuevas variantes de ransomware extraen información de los equipos o servidores afectados donde puede haber información confidencial de clientes, proveedores o empleados lo cual genera cierta responsabilidad legal que hay que considerar. Si la información es considerada como datos personales, será necesario notificar a los afectados para evitar multas por las leyes de protección de datos.
Un ciberataque de ransomware es un momento crítico para la organización y será muy difícil solucionar todo al mismo tiempo, se deberán definir prioridades para lograr regresar a la operación lo antes posible.
Incluso aquellas empresas o personas que se hayan preparado ante un ataque podrían sufrirlo; lo importante es cómo se reacciona y que se tomen las acciones correctas considerando los riesgos directos o indirectos como podría ser la afectación de la reputación por no dar servicio o que se divulga información que el ciberatacante obtuvo como prueba de vida y que hace pública en internet.
Acérquese a los especialistas que no necesariamente son los que actualmente atienden o administran sus computadoras, sino especialistas en ciberseguridad que tienen más experiencia en este tipo de manejo de crisis.
Al final, prácticamente más de la mitad de las empresas que nos buscaron para atender un caso de ransomware decidieron olvidarse de todo y recuperar la información a mano. Pocas investigaron cómo pasó. Por lo menos un par de ellas fueron atacadas de nuevo cuando habían logrado regresar a la operación.
Tome en consideración todos estos puntos y no solo “quiero recuperar la información” que si bien es un punto importante, no continuar con los demás puede afectarle más a largo plazo.
Contacto:
Correo: [email protected]
Twitter: @cibercrimen
Faceboook: https://www.facebook.com/avelazquez.csi
Linkedin: https://www.linkedin.com/in/andresvelazquez/
Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.
