En los últimos años, pequeñas empresas, compañías gigantes, ciudades y hasta países enteros han sido atacados con ransomware por parte de los ciberdelincuentes. Los ataques de este tipo provocan pérdidas importantes la mayoría de las veces, tanto en términos de reputación como financieros, por lo que existe un gran interés en enfocar todos los esfuerzos en no sufrir las consecuencias. Es de suma importancia no perder de vista otra cuestión: cómo evitar que esto vuelva a ocurrir.
¿Por qué es más probable volver a ser víctima del ransomware?
Hace tiempo, los propios autores de ransomware trataban de atacar a las empresas enviando a sus troyanos mediante archivos de spam. En la actualidad, los grupos más modernos trabajan con el principio del ransomware como servicio: es decir, proporcionan acceso a la infraestructura y al código del malware a cambio de una parte del rescate. Esto quiere decir que, en general, el “negocio del cifrado” se está convirtiendo en una industria especializada en toda la extensión de la palabra. Específicamente, existen grupos criminales que buscan (o fabrican) y venden el acceso primario a las redes de las empresas, conocidos como brokers de acceso inicial.
Si los medios de comunicación o los foros de hackers informan que tu empresa es víctima de un ransomware, esto atraerá, de manera automática, la atención de otros atacantes, en especial si accediste a entregar un rescate. Esto pasará porque, en primer lugar, significa que tu infraestructura es vulnerable y, en segundo lugar, que estás dispuesto a negociar con los atacantes. Para los delincuentes de la actualidad, esto es una señal clara de que vale la pena volver a hacerlo. Y como muestran los resultados de la encuesta “Cómo perciben los ejecutivos de las empresas las amenazas de ransomware“ realizada por nuestros compañeros, no se alejan de la realidad: el 88 % de los ejecutivos de las empresas que fueron afectadas por ransomware afirman que están dispuestos a pagar si el ataque se repite.
¿Cómo minimizar las posibilidades de otro ataque de ransomware?
La pregunta de cómo evitar que un ataque se repita debe ser planteada en el proceso de investigación y eliminación de las consecuencias, y es necesario comenzar en la fase de decisión sobre el pago del rescate. A corto plazo, la idea de pagar el rescate puede parecer una buena solución, pero, antes de transferir el dinero, hay que tomar esto en cuenta:
- El pago del rescate no garantiza la seguridad de tu información, pues esta ya se encuentra en las manos equivocadas.
- Aunque los atacantes no la hagan pública de inmediato, no existen garantías de que no la vendan en secreto o los delincuentes la utilice para otros ataques.
- Al pagar a los delincuentes, estás financiando su negocio, y esto conlleva, de manera inevitable, a la expansión y aumento del número de ataques.
- Al pagar, das a entender que puedes ser víctima de un ataque de nuevo.
Por tanto, nuestra mayor recomendación es no pagar. Por lo demás, nuestro consejo para los que no quieren que se repita un ataque de ransomware es bastante estándar:
– Investiga de manera minuciosa cómo se llevó a cabo el ataque: esto no solo ayudará a evitar que se repita el ataque de la misma forma, sino que también te permitirá decidir cuáles serán tus próximos pasos. Si no tienes recursos para investigarlo por tu cuenta, recurre a expertos externos.
– Después de asegurarte que no hay intrusos en la infraestructura, tómate un tiempo para comprobar en qué estado se encuentran los sistemas críticos (sistemas operativos, herramientas de acceso remoto, soluciones de seguridad). Si lo ves necesario, actualízalos y contempla la opción de sustituir algunos por otros de mayo fiabilidad.
– Realiza un análisis exhaustivo de tu infraestructura y busca vulnerabilidades. Después de un ataque exitoso, es muy probable que los atacantes comiencen a buscar métodos de entrada alternativos.
– Si los atacantes pudieron acceder a tus sistemas mediante ingeniería social, presta más atención a la formación del personal en términos de ciberseguridad.
– Si utilizaron herramientas de acceso remoto y contraseñas filtradas en el ataque, cambia todas las contraseñas que utilizan en ese sistema.
– Asegúrate de que todos los dispositivos corporativos con acceso a Internet (incluidos los servidores y los teléfonos móviles) estén protegidos con soluciones de confianza.