Juan Alejandro Aguirre, Gerente de Ingeniería de Sophos Latam, líder mundial en innovación y entrega de ciberseguridad como servicio, nos brinda una lista comprensiva sobre qué hacer cuando ya se ha sufrido un ataque.
En tiempos donde los ciberataques, sea a grandes compañías o, incluso, instituciones gubernamentales están a la orden del día, es más importante que nunca que los lugares de trabajo cuenten con medidas ante estas eventualidades virtuales, siendo el ransomware una de las amenazas más usuales, cuya característica principal es el robo de datos y su posterior rescate, con montos que pueden resultar exorbitantes. A continuación, una serie de consejos para reaccionar rápidamente a uno de estos ataques, en caso de que ocurriera.
Una respuesta debe ser rápida
Si descubres que has sido atacado por un ransomware, es importante activar el plan de continuidad comercial previamente diseñado. Pero más relevante es dar una rápida respuesta. Actualmente, existen servicios especializados que permiten actuar sobre la marcha, incluso en medio de una amenaza activa. Sophos cuenta con un servicio de respuesta a incidentes que puede neutralizar de forma rápida cualquier amenaza, ya sea una infección, un acceso no autorizado a los activos o un intento de eludir los controles de seguridad.
Limitar el “radio de alcance”
El ransomware se mueve muy rápido, en implementaciones masivas programáticas y autopropagación, y un atacante no tarda mucho en infectar a toda la organización. Eso hace que el momento y la velocidad de la respuesta sean cruciales. Esta respuesta debería integrar la reconstrucción y recuperación de los sistemas al mismo tiempo que conserva suficiente evidencia forense digital del ataque para ser analizada posteriormente. Es un acto de equilibrio difícil de lograr, y el pánico de la situación puede llevar a una inclinación natural a cerrar todo. Pero en la medida de lo posible, hay que desconectar los activos de la red para limitar la propagación del ransomware, sin apagar la energía por completo. Cuando hace eso, puede perder artefactos de memoria y, con ello, evidencia vital del ataque.
Lanzar una respuesta empresarial integral
El ransomware ya no es solo un asunto del equipo de TI de la organización atacada. Cada vez vemos más grupos como Conti que utilizan técnicas de doble extorsión: un ataque de dos frentes que no solo encripta los datos para pedir un rescate, sino que amenaza con filtrarlos si no se realiza el pago (o no se paga lo suficientemente rápido). Eso significa que ahora hay que conectar a los equipos de comunicaciones de crisis y relaciones públicas para gestionar esas posibles consecuencias. El departamento legal y el proveedor de seguros deben ser parte de la conversación sobre los problemas de privacidad que pueden surgir de posibles filtraciones. Y existiera algún proveedor preferido para lanzar una respuesta de incidente al ataque, también es necesario incluirlo en la conversación.
Mover las copias de seguridad a offline
Esta es una acción que más bien se debe tomar antes de un ataque y no durante. Si se detecta una infracción de ransomware en el acto, en tiempo real, hay que desconectar las copias de seguridad de la red y ponerlas fuera de línea. Si esto se hace horas después de un ataque, puede ser demasiado tarde. En cualquier caso, la mejor respuesta es verificar hoy mismo que las copias de seguridad estén protegidas contra una violación de la red como el ransomware, antes que sea demasiado tarde.
Las comunicaciones críticas también deben ser offline
La comunicación rápida y clara con los diversos equipos internos es crucial para una respuesta eficaz contra el ransomware. Pero la estrategia puede boicotearse si esas comunicaciones ocurren por correo electrónico o mensajes instantáneos. Un ataque de ransomware debe manejarse de forma distinta y no es un día común y corriente. Toda comunicación debe ocurrir fuera de línea o fuera del alcance de las aplicaciones comerciales normales. Los atacantes pueden estar monitoreando las comunicaciones electrónicas, y si estas contienen detalles de los planes de respuesta o la ubicación de las copias de seguridad, también lo sabrán. Se recomienda tomar el teléfono, enviar mensajes de texto o en lo posible hablar cara a cara
Mantener una presencia activa de caza de amenazas
La eficacia de la respuesta a un ataque de ransomware depende en gran medida de la etapa en la que se encuentren los atacantes en el momento en que son descubiertos, ya sea antes o después de que hayan cifrado los datos, o antes o después de que los hayan robado. Si es después, eso limita severamente la capacidad para defenderse. Esta es la razón por la que la caza de amenazas es tan importante. Tener un equipo de caza de amenazas que esté monitoreando activamente los sistemas en busca de posibles adversarios es esencial para adelantarse a un ataque de ransomware.
Juan Alejandro Aguirre
Senior Manager Sales Engineering LATAM de Sophos