Los hackers continúan recurriendo al ransomware como una herramienta eficaz para atacar a empresas y financiar sus actividades. Algunos análisis señalan que este tipo de amenazas se duplicaron a lo largo del pasado año, y otros especialistas auguran que en este 2021 se producirá un ataque de ransomware cada once segundos. Por eso es importante que las empresas estén preparadas ante la posibilidad de sufrir un ataque de este tipo, que podría afectar a sus datos, servicios y a la continuidad de su negocio.
El primer paso importante en este tipo de casos es aislar, desconectar y apagar los sistemas de la empresa que hayan sido infectados. Existe la posibilidad de que el ransomware no haya afectado a todos los datos y sistemas accesibles, por lo que aislar tanto los sistemas comprometidos como los que no lo han sido, ayudará a contener el código malicioso. Desde los primeros indicios de la presencia de ransomware en la red, la contención debe ser la prioridad.
Los expertos subrayan la importancia de disponer de un plan de continuidad de negocio (BCP) y su componente de recuperación de desastres, es esencial para mantener cierto nivel de operabilidad. El plan de continuidad es una guía detallada que ayuda a todos los departamentos a comprender el funcionamiento de la empresa en caso de problemas que alteren la actividad normal. Y el componente de recuperación de desastres es la parte que especifica la forma en la que se pueden restaurar y volver a poner en línea los datos y sistemas críticos.
El siguiente paso es informar del ciberataque. Muchas empresas dudan sobre la conveniencia de hacerlo público, pero es esencial notificar del ataque a los clientes, a las partes interesadas y a las autoridades (de esta forma las fuerzas del orden pueden acceder a recursos que de otro modo no estarían disponibles). En cualquier caso, notificar las brechas de seguridad es una norma de obligado cumplimiento: el GDPR proporciona a las empresas un plazo de 72 horas para revelar toda violación de datos que implique información personal de sus clientes.
Copias de seguridad
En la fase final de la recuperación de un ataque de ransomware, las empresas deben aplicar las operaciones necesarias para la desinfección de los equipos, parchear los sistemas que pueden haber llevado al compromiso inicial con el que entró el malware y supervisar el entorno para detectar la presencia de cualquier otra actividad maliciosa.
A partir de ahí, la mejor medida de protección de datos es disponer de copias de seguridad. Aunque, incluso en el mejor de los casos, es importante tener en cuenta que restaurar grandes cantidades de datos puede llevar mucho tiempo, obligando a la empresa a estar offline durante un largo periodo. Esta situación pone de manifiesto la necesidad de identificar y contener las infecciones de ransomware lo antes posible para reducir la cantidad de datos que haya que recuperar y minimizar ese tiempo perdido.
Por otro lado, si la vulnerabilidad que condujo al ataque inicial permanece, es probable que el entorno pueda verse comprometido de nuevo. A medida que las empresas buscan reforzar sus redes contra el ransomware y otras amenazas maliciosas, es crucial observar los puntos de entrada comunes para este tipo de ataques.
¿Debo pagar el rescate?
Es importante considerar que incluso si se paga el rescate, o si se restauran los sistemas infectados la actividad maliciosa puede continuar, inmediatamente o en el futuro. Además, al pagar se está dando un aliciente a los criminales para continuar con sus actividades. Por otro lado, tampoco existe ninguna garantía de que una vez efectuado el pago, liberarán tus archivos, ni de que no volverás a ser chantajeado de nuevo. Tampoco sabes dónde terminará el dinero del rescate, hasta el punto de que podrías estar apoyando actividades delictivas aún más graves.