{"id":21096,"date":"2021-02-19T10:15:25","date_gmt":"2021-02-19T16:15:25","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=21096"},"modified":"2021-02-19T10:15:25","modified_gmt":"2021-02-19T16:15:25","slug":"ransomware-attack-what-to-do","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/ransomware-attack-what-to-do\/21096\/","title":{"rendered":"Cifraron tus datos, \u00bfahora qu\u00e9?"},"content":{"rendered":"

Ya has le\u00eddo nuestros miles<\/a> de art\u00edculos sobre c\u00f3mo proteger tu red de todas las amenazas habidas y por haber. Pero a veces, y a pesar de todas las precauciones, se filtra una infecci\u00f3n. Este es el momento para actuar con determinaci\u00f3n, rapidez y raciocinio.\u00a0 Con tu respuesta, el incidente podr\u00eda ser un tremendo dolor de cabeza para la empresa o un punto a tu favor.<\/p>\n

A medida que avanzas por el proceso de recuperaci\u00f3n, no olvides documentar todas tus acciones a fin de transparentarlas tanto para los empleados como para el p\u00fablico en general. Y no olvides hacer lo posible por guardar evidencias del ransomware<\/em> para que en el futuro, esto ayude a localizar otras herramientas maliciosas que tengan en la mira tu sistema. Esto quiere decir que guardes los registros y otros rastros de malware<\/em> que podr\u00edan ser \u00fatiles para otras investigaciones.<\/p>\n

Primera parte: Localizar y aislar<\/h2>\n

El primer paso es determinar hasta d\u00f3nde lleg\u00f3 la intrusi\u00f3n. \u00bfEl malware<\/em> se expandi\u00f3 a toda la red? \u00bfA m\u00e1s de una oficina?<\/p>\n

Busca primero computadoras infectadas y segmentos de red en la infraestructura corporativa. De inmediato a\u00edslalos del resto de la red, a fin de contener la contaminaci\u00f3n.<\/p>\n

Si no hay muchas computadoras en la empresa, inicia con el antivirus, EDR<\/a>, y registros del firewall<\/a>. Tambi\u00e9n es posible, en entornos muy reducidos, f\u00edsicamente revisar m\u00e1quina por m\u00e1quina.<\/p>\n

Si hay muchas computadoras, lo mejor es analizar los eventos y los registros en el sistema SIEM<\/a>. Esto no eliminar\u00e1 el trabajo de campo, pero es un buen inicio para plantearte el panorama completo.<\/p>\n

Despu\u00e9s de aislar las m\u00e1quinas infectadas de la red, crea im\u00e1genes de disco de estas, y, si es posible, ap\u00e1rtalas hasta terminar la investigaci\u00f3n. (Si la empresa no puede costear el tiempo muerto de estas computadoras, de todas maneras crea las im\u00e1genes y guarda el volcado de memoria para la investigaci\u00f3n.)<\/p>\n

Segunda parte: Analizar y actuar<\/h2>\n

Una vez que hayas hecho la verificaci\u00f3n correspondiente, tendr\u00e1s una lista de m\u00e1quinas con discos llenos de archivos cifrados, adem\u00e1s de las im\u00e1genes de estos discos. Todos est\u00e1n desconectados de la red, por lo que ya no son una amenaza. <em>Podr\u00edas<\/em> <\/em>iniciar el proceso de recuperaci\u00f3n de inmediato, pero primero garantiza la seguridad del resto de la red.<\/p>\n

Lleg\u00f3 el momento de analizar el ransomware<\/em>, de averiguar c\u00f3mo entr\u00f3 y qu\u00e9 grupos lo utilizan normalmente, es decir, iniciar el proceso de caza de la amenaza. El ransomware<\/em> no aparece as\u00ed nada m\u00e1s; un dropper<\/a>, RAT<\/a>, Trojan loader<\/a>, o algo de su misma cala\u00f1a lo instal\u00f3. Tienes que erradicar ese algo.<\/p>\n

Para esto, haz una investigaci\u00f3n interna. Busca en los registros para determinar qu\u00e9 computadora se infect\u00f3 primero y por qu\u00e9 esta no pudo detener el ataque.<\/p>\n

Con base en tus resultados, elimina el malware escurridizo avanzado de la red y, si es posible, reinicia las operaciones del negocio. Despu\u00e9s, averigua qu\u00e9 lo hubiera detenido: \u00bfqu\u00e9 faltaba en t\u00e9rminos de software de seguridad? Tapa estos huecos.<\/p>\n

Lo que sigue es alertar a los empleados sobre lo sucedido, dales instrucciones preliminares para detectar y evitar dichas trampas y diles que posteriormente ser\u00e1n capacitados.<\/p>\n

Por \u00faltimo, y en adelante, instala actualizaciones y parches oportunos. La gesti\u00f3n de actualizaciones y parches es una prioridad cr\u00edtica de los administradores de TI; con frecuencia, el malware<\/em> se filtra a trav\u00e9s de vulnerabilidades para las que ya existen parches.<\/p>\n

Tercera parte: Limpiar y restaurar<\/h2>\n

Hasta este punto ya te encargaste de la amenaza a la red y del hueco por el que entr\u00f3. Es hora de enfocarse en las computadoras que est\u00e1n fuera de servicio. Si ya no son necesarias para la investigaci\u00f3n, formatea los discos duros y restaura los datos desde el respaldo limpio m\u00e1s reciente.<\/p>\n

En caso de que no tengas una copia de respaldo, tendr\u00e1s que tratar de descifrar lo que haya en los discos. Inicia en el sitio web de Kaspersky No Ransom<\/a> donde es posible que ya exista un descifrador para el ransomware<\/em> que encuentres; si no existe, comun\u00edcate con tu proveedor de ciberseguridad para que puedas recibir ayuda. \u00a0En cualquier caso, no elimines los archivos cifrados. Descifradores nuevos aparecen con cierta frecuencia, y tal vez ma\u00f1ana haya uno; no ser\u00eda la primera vez<\/a>.<\/p>\n

En ninguna circunstancia pagues. Estar\u00edas patrocinando la actividad delictiva y, a\u00fan as\u00ed, no te garantiza que descifrar\u00e1s tus datos. Adem\u00e1s de bloquear tus datos, es posible que los atacantes del ransomware<\/em> los roben<\/a> para fines de chantaje. Tambi\u00e9n es cierto que pagar a cibercriminales codiciosos solo los anima a pedir m\u00e1s. En algunos casos<\/a>, apenas unos meses despu\u00e9s de recibir el pago, los intrusos regresaron para pedir m\u00e1s dinero bajo amenaza de publicar todo a menos que se les pagara.<\/p>\n

En general, considera todo dato robado como de conocimiento p\u00fablico, y prep\u00e1rate para enfrentar la fuga. Tarde o temprano tendr\u00e1s que hablar sobre el incidente: con los empleados, los grupos de inter\u00e9s, agencias gubernamentales y, posiblemente, con periodistas. La apertura y honestidad<\/a> son importantes y se agradecen.<\/p>\n

Cuarta parte: Toma medidas preventivas<\/h2>\n

Un ciberincidente importante siempre resulta en graves problemas, y la mejor protecci\u00f3n es la prevenci\u00f3n. Prep\u00e1rate por adelantado para lo que podr\u00eda salir mal:<\/p>\n