Ya has leído nuestros miles de artículos sobre cómo proteger tu red de todas las amenazas habidas y por haber. Pero a veces, y a pesar de todas las precauciones, se filtra una infección. Este es el momento para actuar con determinación, rapidez y raciocinio. Con tu respuesta, el incidente podría ser un tremendo dolor de cabeza para la empresa o un punto a tu favor.
A medida que avanzas por el proceso de recuperación, no olvides documentar todas tus acciones a fin de transparentarlas tanto para los empleados como para el público en general. Y no olvides hacer lo posible por guardar evidencias del ransomware para que en el futuro, esto ayude a localizar otras herramientas maliciosas que tengan en la mira tu sistema. Esto quiere decir que guardes los registros y otros rastros de malware que podrían ser útiles para otras investigaciones.
Primera parte: Localizar y aislar
El primer paso es determinar hasta dónde llegó la intrusión. ¿El malware se expandió a toda la red? ¿A más de una oficina?
Busca primero computadoras infectadas y segmentos de red en la infraestructura corporativa. De inmediato aíslalos del resto de la red, a fin de contener la contaminación.
Si no hay muchas computadoras en la empresa, inicia con el antivirus, EDR, y registros del firewall. También es posible, en entornos muy reducidos, físicamente revisar máquina por máquina.
Si hay muchas computadoras, lo mejor es analizar los eventos y los registros en el sistema SIEM. Esto no eliminará el trabajo de campo, pero es un buen inicio para plantearte el panorama completo.
Después de aislar las máquinas infectadas de la red, crea imágenes de disco de estas, y, si es posible, apártalas hasta terminar la investigación. (Si la empresa no puede costear el tiempo muerto de estas computadoras, de todas maneras crea las imágenes y guarda el volcado de memoria para la investigación.)
Segunda parte: Analizar y actuar
Una vez que hayas hecho la verificación correspondiente, tendrás una lista de máquinas con discos llenos de archivos cifrados, además de las imágenes de estos discos. Todos están desconectados de la red, por lo que ya no son una amenaza. <em>Podrías</em> iniciar el proceso de recuperación de inmediato, pero primero garantiza la seguridad del resto de la red.
Llegó el momento de analizar el ransomware, de averiguar cómo entró y qué grupos lo utilizan normalmente, es decir, iniciar el proceso de caza de la amenaza. El ransomware no aparece así nada más; un dropper, RAT, Trojan loader, o algo de su misma calaña lo instaló. Tienes que erradicar ese algo.
Para esto, haz una investigación interna. Busca en los registros para determinar qué computadora se infectó primero y por qué esta no pudo detener el ataque.
Con base en tus resultados, elimina el malware escurridizo avanzado de la red y, si es posible, reinicia las operaciones del negocio. Después, averigua qué lo hubiera detenido: ¿qué faltaba en términos de software de seguridad? Tapa estos huecos.
Lo que sigue es alertar a los empleados sobre lo sucedido, dales instrucciones preliminares para detectar y evitar dichas trampas y diles que posteriormente serán capacitados.
Por último, y en adelante, instala actualizaciones y parches oportunos. La gestión de actualizaciones y parches es una prioridad crítica de los administradores de TI; con frecuencia, el malware se filtra a través de vulnerabilidades para las que ya existen parches.
Tercera parte: Limpiar y restaurar
Hasta este punto ya te encargaste de la amenaza a la red y del hueco por el que entró. Es hora de enfocarse en las computadoras que están fuera de servicio. Si ya no son necesarias para la investigación, formatea los discos duros y restaura los datos desde el respaldo limpio más reciente.
En caso de que no tengas una copia de respaldo, tendrás que tratar de descifrar lo que haya en los discos. Inicia en el sitio web de Kaspersky No Ransom donde es posible que ya exista un descifrador para el ransomware que encuentres; si no existe, comunícate con tu proveedor de ciberseguridad para que puedas recibir ayuda. En cualquier caso, no elimines los archivos cifrados. Descifradores nuevos aparecen con cierta frecuencia, y tal vez mañana haya uno; no sería la primera vez.
En ninguna circunstancia pagues. Estarías patrocinando la actividad delictiva y, aún así, no te garantiza que descifrarás tus datos. Además de bloquear tus datos, es posible que los atacantes del ransomware los roben para fines de chantaje. También es cierto que pagar a cibercriminales codiciosos solo los anima a pedir más. En algunos casos, apenas unos meses después de recibir el pago, los intrusos regresaron para pedir más dinero bajo amenaza de publicar todo a menos que se les pagara.
En general, considera todo dato robado como de conocimiento público, y prepárate para enfrentar la fuga. Tarde o temprano tendrás que hablar sobre el incidente: con los empleados, los grupos de interés, agencias gubernamentales y, posiblemente, con periodistas. La apertura y honestidad son importantes y se agradecen.
Cuarta parte: Toma medidas preventivas
Un ciberincidente importante siempre resulta en graves problemas, y la mejor protección es la prevención. Prepárate por adelantado para lo que podría salir mal:
- Instala protección confiable en todos los endpoints de la red (incluidos smartphones);
- Segmenta la red e instala firewalls bien configurados; o mejor aún, utiliza un firewall de siguiente generación (NGFW) o un producto similar que reciba datos de manera automática sobre amenazas nuevas;
- Ve más allá del antivirus y busca herramientas potentes para la caza de amenazas;
- Implementa un sistema SIEM (para grandes empresas) que emita alertas inmediatas;
- Capacita a los empleados en ciberseguridad mediante sesiones interactivas periódicas.