Cómo hacer frente a los ataques de ransomware

El ransomware es una de las amenazas de ciberseguridad más graves a las que se enfrentan hoy en día las organizaciones de todo el mundo. Su impacto puede ser devastador, causando interrupciones operativas, pérdidas financieras y daños a la reputación a largo plazo.

Los ciberdelincuentes han desplazado su foco de atención de los consumidores individuales y ahora se dirigen a las empresas, los organismos del sector público y los servicios críticos, donde el rendimiento financiero potencial es mucho mayor.

Investigaciones recientes muestran que los ataques de ransomware contra las empresas han aumentado drásticamente, con un incremento de los incidentes de más del 363% en un solo año. Solo en 2019 se detectaron más de 61 millones de ataques de ransomware en todo el mundo, lo que pone de manifiesto lo extendida y persistente que se ha vuelto esta amenaza.

Entre los sectores más frecuentemente atacados se encuentran la administración local, la educación, la tecnología, la sanidad, la industria manufacturera, los servicios financieros y los medios de comunicación. Sin embargo, ningún sector es inmune. Toda organización, independientemente de su tamaño o industria, debe tomar medidas proactivas para reducir su riesgo de sufrir un ataque de ransomware.

A pesar de la creciente amenaza, muchas organizaciones siguen subestimando la gravedad del ransomware. A menudo, sólo después de sufrir un ataque importante se invierte suficiente tiempo, presupuesto y recursos en ciberseguridad. Por desgracia, para entonces, el daño ya suele estar hecho.

¿Qué es el ransomware?

El ransomware es una forma de malware que bloquea el acceso a sistemas o datos cifrando archivos y exigiendo el pago de un rescate para su liberación. Los pagos suelen solicitarse en criptomonedas como Bitcoin, lo que dificulta el seguimiento de las transacciones.

Los atacantes suelen imponer plazos estrictos para el pago. Si no se paga el rescate en el plazo especificado, la demanda puede aumentar o los archivos encriptados pueden ser eliminados permanentemente.

Algunas variantes de ransomware son capaces de propagarse rápidamente por las redes. Un ejemplo notable es el ataque WannaCry de 2017, que infectó cientos de miles de dispositivos en más de 150 países y causó grandes trastornos, incluidos cortes generalizados en todo el NHS del Reino Unido.

¿Cómo se contagia el ransomware?

El ransomware suele introducirse en los sistemas a través de correos electrónicos de phishing que contienen enlaces o archivos adjuntos maliciosos. Estos correos electrónicos están diseñados para parecer legítimos, a menudo haciéndose pasar por organizaciones o colegas de confianza. Una vez que se hace clic en un enlace o se abre un archivo adjunto, el malware se instala y comienza a cifrar los archivos.

Otros métodos de entrega incluyen conexiones comprometidas del protocolo de escritorio remoto (RDP), sitios web maliciosos o infectados, dispositivos multimedia extraíbles como unidades USB e incluso plataformas de mensajería de medios sociales.

Qué hacer en caso de ataque de ransomware

1. Aísle las máquinas infectadas

Desconecte inmediatamente de la red cualquier dispositivo sospechoso de estar infectado, desactivando Wi-Fi, Bluetooth y desenchufando los cables de red. Esto ayuda a evitar que el ransomware se propague a otros sistemas.

2. Avise a su equipo de seguridad informática

Alerte inmediatamente a su equipo informático o de ciberseguridad para que puedan activar su plan de respuesta a incidentes. Una respuesta estructurada garantiza la conservación de las pruebas, la contención de la amenaza y la gestión eficaz de los esfuerzos de recuperación.

3. Identifique el tipo de ransomware

Identificar la cepa del ransomware puede ayudar a determinar cómo se propaga, qué archivos se ven afectados y si se dispone de herramientas de descifrado. El ransomware de cifrado es significativamente más dañino que las variantes de bloqueo de pantalla.

4. Informar a los empleados

Comunique claramente al personal el incidente, los trastornos previstos y los pasos siguientes. La transparencia ayuda a reducir el pánico y garantiza que los empleados sigan los procedimientos de seguridad correctos durante la respuesta.

5. Cambiar las credenciales de inicio de sesión

Restablezca inmediatamente todas las credenciales de usuario y administrativas. Las credenciales robadas permiten a los atacantes moverse lateralmente por las redes y comprometer las copias de seguridad.

6. Tome una foto de la nota de rescate

Capture el mensaje de rescate utilizando un dispositivo móvil. Puede ser una prueba valiosa para las fuerzas del orden, las aseguradoras y las investigaciones forenses.

7. Notifique a las autoridades

Informe del incidente a la policía y, en su caso, a la OIC. En virtud del GDPR, las organizaciones que manejen datos de ciudadanos de la UE deben notificar a la ICO en un plazo de 72 horas a partir de una violación que cumpla los requisitos.

8. Nunca pague el rescate

Pagar un rescate fomenta nuevas actividades delictivas y no ofrece ninguna garantía de recuperación de los datos. Las organizaciones que pagan también tienen más probabilidades de volver a ser objetivo de los delincuentes.

9. Actualice los sistemas de seguridad

Realice una auditoría de seguridad completa y asegúrese de que todos los sistemas están parcheados y actualizados. Las actualizaciones periódicas reducen el riesgo de que los atacantes exploten vulnerabilidades conocidas.

10. Recuperarse de las copias de seguridad

Las copias de seguridad fiables y actualizadas son esenciales para la recuperación. Seguir la regla 3-2-1 de las copias de seguridad garantiza que los datos puedan restaurarse sin recurrir al pago de rescates.

Cómo prevenir los ataques de ransomware

• Ofrezca a los empleados formación periódica de concienciación sobre ciberseguridad.
• Haga copias de seguridad de los datos críticos con frecuencia y pruebe los procesos de recuperación.
• Limite los permisos de los usuarios para reducir la propagación del malware.
• Aplique puntualmente las actualizaciones de software y los parches de seguridad.
• Instale y mantenga herramientas antivirus y de protección de puntos finales.
• Analice los correos electrónicos entrantes y salientes en busca de amenazas.
• Evite hacer clic en enlaces desconocidos o descargar archivos adjuntos sospechosos.
• Configure los cortafuegos para bloquear las direcciones IP maliciosas.
• Utilice contraseñas seguras y active la autenticación multifactor.

Más información sobre MetaCompliance Solutions

Construir una defensa eficaz contra el ransomware empieza por reducir el riesgo humano y reforzar la concienciación en toda su organización. MetaCompliance proporciona una amplia gama de soluciones diseñadas para prevenir los ataques de phishing, mejorar la resistencia cibernética y apoyar la madurez de seguridad a largo plazo a través de nuestra Plataforma de Gestión de Riesgos Humanos, incluyendo:

• Security Awareness automatizada
• Simulaciones avanzadas de phishing
• Risk Intelligence & Analytics
• Compliance Management

Si desea descubrir cómo estas soluciones pueden ayudarle a proteger su organización frente al ransomware y las amenazas de phishing, póngase en contacto con nosotros hoy mismo para reservar una demostración.