Qué hacer cuando su empresa es golpeada por ransomware

El ransomware es una forma tan rentable de cibercrimen que se ha convertido en una industria completamente autosuficiente con sus propios cambios y tendencias. Hace unos años, por ejemplo, los desarrolladores y operadores de ransomware estaban interesados principalmente en los usuarios domésticos. Atacar computadoras personales era barato, y algunas técnicas inteligentes de ingeniería social aseguraron que la tasa de éxito no fuera mala. Mientras tanto, la cultura de respaldo de las personas no era exactamente excelente, lo que significaba que para muchos, la única opción de recuperar sus datos era pagar el rescate. Entonces, sin embargo, las cosas comenzaron a cambiar.

Los operadores de ransomware se han trasladado de usuarios domésticos a empresas y grandes organizaciones

En 2017 hubo un par de brotes masivos de ransomware, WannaCry y NotPetya, que ganaron mucha publicidad. No estaban dirigidos específicamente a usuarios domésticos, pero los usuarios domésticos los vieron en las noticias y gradualmente se familiarizaron con la amenaza. Se dieron cuenta de la importancia de las copias de seguridad y se prepararon mejor para hacer frente a los ataques de ransomware.

Para ser justos, los cibercriminales no están particularmente interesados en compartir sus declaraciones de ingresos, pero el hecho de que las infecciones de ransomware en las PC domésticas hayan disminuido durante los últimos años sugiere que menos usuarios finales tienden a ceder ante los piratas informáticos demandas. Sin embargo, esto no significa que el negocio de ransomware se esté reduciendo.

En un momento, los operadores de ransomware se dieron cuenta de que el esfuerzo adicional de atacar a las organizaciones en lugar de a los usuarios individuales podría valer la pena, y desde entonces, los principales incidentes de ransomware han involucrado principalmente a empresas, organizaciones de atención médica e instituciones gubernamentales. Un brote de ransomware en una empresa privada podría ser especialmente dañino, por lo que las personas deben aprender a reaccionar ante la amenaza no solo cuando están en casa sino también en la oficina.

¿Cómo puede una infección de ransomware afectar a su empresa?

Desde una perspectiva puramente técnica, un ataque de ransomware presenta a una empresa con dos problemas principales: pérdida de datos y tiempo de inactividad.

Tener sus datos bloqueados es el problema más obvio. Una infección de ransomware exitosa puede cifrar secretos comerciales, información específica del producto y detalles del cliente. La pérdida de este tipo de datos puede llevar a la desaparición de su empresa, lo que significa que podría tener la tentación de considerar cumplir con las demandas de los piratas informáticos y pagar el rescate. Sin embargo, incluso si lo hace, no puede tener garantías de que toda la información volverá a su estado previo a la infección. Sin embargo, este no es el único problema.

Por naturaleza, las infecciones de ransomware son bastante ruidosas. Si alguna vez se encuentra en el lado equivocado de un ataque, se le informará de lo que está sucediendo y sus clientes aprenderán que algo anda mal también bastante rápido. Una infección de ransomware puede interrumpir por completo el funcionamiento de una empresa y evitar que sirva a sus usuarios. Inevitablemente, la causa del problema se hará pública, y sembrará la semilla de la incertidumbre en sus usuarios, quienes asumirán que su empresa no está cuidando especialmente la seguridad de sus datos. Lo que todo esto significa es que lidiar con la situación de la manera más rápida y eficiente posible es extremadamente importante.

¿Cómo debería reaccionar su empresa ante un ataque de ransomware exitoso?

Como puede ver, las dos cosas principales en las que debe pensar son prevenir la pérdida de datos y minimizar el tiempo de inactividad. Si trabaja para una empresa que ha sido atacada por ransomware, debe asegurarse de que la recuperación del ataque lleva el menor tiempo posible, pero también debe tener cuidado de verificar que cada archivo esté donde debe estar antes de colocarlo La empresa vuelve al modo operativo. Es un proceso estresante que requiere mucha concentración y un esfuerzo coordinado de todos los responsables.

Si el malware ha logrado infiltrarse en sus sistemas, contener su propagación debería ser su máxima prioridad. Nunca subestimes los informes de comportamiento extraño de los empleados, y si descubres que solo una computadora ha sido golpeada con ransomware, asegúrate de que cualquier parte de la infraestructura de TI de tu empresa que pueda estar conectada haya tenido sus cables de red desconectados. Las familias modernas de ransomware vienen con componentes parecidos a gusanos que permiten que el ataque se propague rápidamente, y los piratas informáticos quieren bloquear tantos puntos finales como sea posible con la idea de exigir un rescate más alto. Cuanto mayor sea el número de PC encriptadas, más tiempo necesitará para volver a poner todo en línea.

Ya mencionamos que minimizar el tiempo de inactividad debería estar en su lista de prioridades. Dicho esto, no debes apresurar el proceso. Antes de encender todo, debe asegurarse de que se hayan eliminado todos los rastros del ransomware, y debe verificar si todo funciona. Más demoras no harán que sus clientes estén muy contentos, pero decirles que está de vuelta en el negocio y hacer que enfrenten más problemas puede hacerlos aún más molestos de lo que ya están.

Hablando de eso, si realmente quieres que tus usuarios se sientan menos mal por lo que sucedió, trata de ser lo más transparente posible sobre el ataque. Dígales cómo entraron los hackers, qué ha hecho para detenerlos y qué planea hacer para evitar futuros ataques. Informe a sus usuarios cómo les afectará el ataque y a los servicios que han pagado, y no retengan nada. Aunque algunas compañías parecen pensar que esta es una buena estrategia, minimizar el problema generalmente fracasa y causa aún más daño a la reputación que el ataque en sí.

Hay mucho en qué pensar, e incluso si haces todo de acuerdo con el libro, las consecuencias podrían ser bastante horribles. En julio de 2018, por ejemplo, LabCorp, una de las redes de laboratorios más grandes del mundo, fue atacado por el ransomware SamSam. Aunque su equipo de TI se movió rápidamente para contener el malware, SamSam logró infectar alrededor de 7 mil puntos finales y cerca de 2 mil servidores.

Más recientemente, el cambio de divisas Travelex fue atacado por el ransomware Sodinokibi (también conocido como REvil), y durante más de dos semanas, sus empleados se vieron obligados a usar bolígrafos y trozos de papel para hacer su trabajo.

Un ataque de ransomware puede causar todo tipo de problemas, especialmente si se dirige a una organización más grande. Con el riesgo de caer en la trampa del cliché, debemos decir que tomar medidas de prevención activas es la mejor estrategia en la lucha contra este tipo de amenaza.

¿Qué puede hacer para evitar un ataque de ransomware exitoso?

Instalar un programa antivirus en las computadoras de sus empleados y hacer una copia de seguridad de sus discos duros no es suficiente. Una vez más, estamos hablando de un proceso complejo que tiene muchas dificultades, y el estado saludable del negocio de ransomware muestra claramente que las empresas cometen errores todo el tiempo.

Un producto de seguridad simple no puede salvar el día si todo su sistema de TI se basa en un software antiguo que no ha recibido sus parches de seguridad. Nada menos que las Naciones Unidas aprendieron de la manera difícil lo importantes que son las actualizaciones de seguridad, y si usted es responsable de mantener la red de una empresa completa, no tiene excusas para ejecutar software que tenga vulnerabilidades de seguridad conocidas.

Tampoco hay excusa para redes mal configuradas. Muchas de las familias de ransomware que actualmente se dirigen a las organizaciones se propagan a través de protocolos de red no seguros que han sido abiertos por administradores de sistemas descuidados. Las contraseñas predeterminadas también son un punto destacado frecuente de una serie de informes sobre incidentes de ransomware, lo que demuestra que la ingeniería social en los correos electrónicos no deseados está lejos de ser la única arma en el arsenal de los piratas informáticos. Dicho esto, siempre es una buena idea capacitar a sus empleados para que no hagan clic en enlaces aleatorios y archivos adjuntos en mensajes inesperados.

Como puede ver, ya hay muchas tareas que atender, y ni siquiera hemos tocado la cuestión de hacer una copia de seguridad de los datos.

Toda empresa debe tener una estrategia de respaldo sólida, y crear una no es tan fácil como parece. Dependiendo de cómo use sus datos, debe pensar en la frecuencia con la que se debe hacer una copia de seguridad, pero quizás lo más importante, debe pensar en el mecanismo real para crear copias de seguridad.

Idealmente, deberá seguir la regla 3-2-1, que establece que debe tener 3 copias de sus datos almacenados en 2 lugares diferentes, 1 de los cuales está fuera del sitio. Si no puede apegarse a esta estrategia, debe probar regularmente sus copias de seguridad para asegurarse de que funcionen, y también debe mantenerlas desconectadas del resto de sus sistemas de TI. De esa manera, un posible ataque de ransomware no podrá afectar las copias de sus datos.

Estas son solo algunas de las cosas que debe tener en cuenta y, dependiendo del negocio de la empresa para la que trabaje, puede haber muchos otros factores que debe tener en cuenta. Con todo, tratar de proteger a una empresa contra un ataque de ransomware es posiblemente aún más doloroso que limpiar el desorden después de que ya ha sido atacado. Sin embargo, dado lo devastador que podría ser el daño, el esfuerzo bien vale la pena.