Imagina que eres administrador de TI y acabas de comenzar tu jornada laboral, listo para verificar el estado de las aplicaciones críticas de tu organización sin ransomware.
Pero al encender tu computadora, te encuentras con el mensaje ‘Tus archivos han sido encriptados. Para recuperar el acceso, debes pagar un rescate de 2 millones de dólares en bitcoin’.
El ataque ha comprometido todos los documentos importantes de tu organización, datos de clientes e información de productos.
Para empeorar las cosas, tienes 72 horas para cumplir con las condiciones que imponen. De lo contrario, perderás los datos de forma permanente.
Esta es la realidad que viven muchas empresas que son impactadas por ataques de ransomware.
Estos ataques de ransomware pueden reflejarse en pérdidas financieras y paros operativos para las empresas afectadas. De acuerdo con Gartner, el impacto financiero total promedio de un ataque ransomware es de 4.54 millones de dólares.
Es importante considerar que las grandes empresas no son los únicos objetivos de este tipo de ataques, también las MiPyMEs se han visto afectadas.
En México pese a que el 57.6 % de las MiPyMEs consideran poco probable ser víctimas de un ciberataque, el 71.9 % le dan gran peso a la ciberseguridad.
Considerando el contexto anterior, es importante que las organizaciones se preparen ante los posibles ataques de ransomware. Por esto, les comparto cuatro recomendaciones para ‘sobrevivir’ a este tipo de incidentes de seguridad:
Tener un plan de respuesta y recuperación ante incidentes
Actualmente es muy difícil evitar por siempre un ciberataque; sin embargo, es posible tener un plan de recuperación ante estos incidentes. Lo importante es contar con un plan escrito, que esté en constante actualización.
Es necesario realizar pruebas y ejercicios de simulación con frecuencia para hacer frente a un incidente que vulnere la seguridad de los datos. Así, se podrá minimizar los impactos del ataque y restaurar las operaciones de la organización inmediatamente.
Las pruebas de penetración y la gestión de vulnerabilidades son buenas prácticas para mantener el plan actualizado.
De igual forma, hay que identificar a los actores clave, es decir ¿cuál será la línea de acción una vez que suceda el siniestro? Contar con un equipo de recuperación y asegurarnos que estén preparados es fundamental para la pronta recuperación.
Se sugiere que este equipo incluya en la lista a un despacho de abogados y a la compañía de seguros cibernéticos.
Adicionalmente, se deben establecer todos los pasos necesarios para colaborar con las autoridades y considerar el seguro cibernético como parte de tu estrategia de resiliencia.
Gestionar la comunicación ante Ransomware
La comunicación efectiva es clave en una situación de crisis, y no es diferente en un escenario de ransomware o cualquier vulnerabilidad.
La creación de guías de comunicación como parte del Plan de Respuesta ante Incidentes (IRP, por sus siglas en inglés) será primordial.
Estos manuales deben incluir un plan detallado con comunicaciones oportunas y claras dentro de la organización. Además de tener en cuenta qué mensajes podrían ser necesarios para las partes interesadas externas.
Los ataques de ransomware pueden requerir una declaración a los medios, y se deberá establecer qué hacer en estos casos.
Colaborar con los equipos de comunicación y legal es fundamental para cumplir con las normativas, así como la notificación a las autoridades y clientes.
Asegurar una protección robusta de datos
La protección de datos es el eje central que se puede activar para evitar que algo malo se convierta en algo peor.
Tener datos críticos almacenados de forma aislada e inmutable, le ayudarán a la organización a recuperar los servicios y sistemas por orden de importancia.
Como parte de la recuperación, se pueden utilizar técnicas como la ‘sala limpia’: un método que implica crear un entorno seguro y aislado para reconstruir los sistemas. Este enfoque asegura que la organización tenga un proceso de recuperación seguro y que no utilice recursos comprometidos.
Y lo más importante, hay que asegurar que los datos recuperados sean completos y precisos.
Pagar el rescate debe ser tu última opción, ya que no hay garantía de que el hacker realmente devuelva los datos. Incluso en ese escenario, no se recuperarán los sistemas de inmediato.
Todavía se requerirá restaurar y probar todo antes de volver a operar normalmente.
Capacitar y educar a los colaboradores
Otra parte crítica de la estrategia de ciberseguridad debe incluir la capacitación y educación regular de los colaboradores. La causa principal de muchas brechas de seguridad se debe a fallas humanas.
Los atacantes pueden comprometer las credenciales de un empleado para acceder a la red corporativa, o alguien puede caer en una estafa de phishing. Esto abre las puertas de la empresa a un atacante.
Preparar a los colaboradores sobre las tácticas de phishing y la gestión de contraseñas es una primera línea de defensa.
Ante un entorno de ciberataques en constante evolución, la preparación para enfrentarlos es un factor clave.
Conclusiones ante el Ransomware
Enfrentar un ataque de ransomware puede tener impactos financieros, operativos y afectar a la imagen y reputación de la marca.
Para reducir estos impactos y enfrentar de mejor forma un ataque de este tipo, es necesario contar con un Plan de Respuesta ante Incidentes activo.
Que involucre a toda la organización para, de esta, forma recuperar la operación, minimizar los daños a la marca. Pero, sobre todo, proteger a los activos más valiosos de la organización: sus datos críticos.
Por Juan Carlos Galán, director de Canales para Dell Technologies México.