Etiquetas
Storage

Cómo gestionar un ataque de ransomware

Ilustración gráfica de una huella dactilar que da acceso a un sistema digital

Es la noticia que ninguna organización quiere escuchar: ha sido víctima de un ataque de ransomware y ahora se pregunta qué hacer a continuación. 

Lo primero que debe tener en cuenta es que no está solo. Más del 17 % de todos los ciberataques involucran ransomware, un tipo de malware que mantiene los datos o el dispositivo de la víctima bloqueados a menos que la víctima pague un rescate al hacker. De las 1350 organizaciones encuestadas en un estudio reciente, el 78 % sufrió un ataque de ransomware exitoso.

Los ataques de ransomware utilizan varios métodos, o vectores, para infectar redes o dispositivos, como engañar a las personas para que hagan clic en enlaces maliciosos mediante correos electrónicos de phishing y explotar vulnerabilidades en software y sistemas operativos, como el acceso remoto. Los ciberdelincuentes suelen solicitar pagos de rescate en Bitcoin y otras criptomonedas difíciles de rastrear, y proporcionan a las víctimas claves de descifrado una vez realizado el pago para desbloquear sus dispositivos.

La buena noticia es que, en caso de ataque de ransomware, hay pasos básicos que cualquier organización puede seguir para ayudar a contener el ataque, proteger la información confidencial y garantizar la continuidad del negocio minimizando el tiempo de inactividad.

Boletín del sector

Las últimas novedades sobre tecnología, respaldadas por conocimientos de expertos

Manténgase al día sobre las tendencias más importantes e intrigantes del sector en materia de IA, automatización, datos y mucho más con el boletín Think. Consulte la Declaración de privacidad de IBM.

¡Gracias! Está suscrito.

Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

Respuesta inicial

Aislar los sistemas afectados 

Dado que las variantes más comunes de ransomware escanean las redes en busca de vulnerabilidades para propagarse lateralmente, es crítico que los sistemas afectados sean aislados lo antes posible. Desconecte Ethernet y desactive WiFi, Bluetooth y cualquier otra función de red en cualquier dispositivo infectado o potencialmente infectado.

Otros dos pasos a tener en cuenta: 

  • Desactivación de las tareas de mantenimiento. Desactive inmediatamente las tareas automáticas (por ejemplo, eliminar archivos temporales o rotar registros) en los sistemas afectados. Estas tareas pueden interferir con los archivos y dificultar la investigación y recuperación del ransomware. 
  • Desconexión de las copias de seguridad. Dado que muchos tipos nuevos de ransomware atacan las copias de seguridad para dificultar la recuperación, mantenga las copias de seguridad de los datos fuera de línea. Limite el acceso a los sistemas de copia de seguridad hasta que haya eliminado la infección.

Fotografíe la nota del rescate

Antes de continuar con cualquier otra cosa, tome una foto de la nota de rescate, idealmente fotografiando la pantalla del dispositivo afectado con otro dispositivo, como un teléfono inteligente o una cámara. La foto acelerará el proceso de recuperación y ayudará a la hora de presentar una denuncia policial o una posible reclamación a su compañía de seguros.

Notificar al equipo de seguridad

Una vez que haya desconectado los sistemas afectados, notifique el ataque a su equipo de seguridad de TI. En la mayoría de los casos, los profesionales de seguridad de TI pueden asesorarle sobre los próximos pasos y activar el plan de respuesta a incidentes de su organización, es decir, los procesos y tecnologías de su organización para detectar y responder a los ciberataques.

No reiniciar los dispositivos afectados

Cuando se enfrente a un ransomware, evite reiniciar los dispositivos infectados. Los hackers saben que esta puede ser su primera reacción, y algunos tipos de ransomware detectan los intentos de reinicio y causan daños adicionales, como dañar Windows o eliminar archivos cifrados. El reinicio también puede dificultar la investigación de los ataques de ransomware: se almacenan pistas valiosas en la memoria del ordenador, que se borran durante un reinicio. 

En vez de eso, ponga los sistemas afectados en hibernación. Esto guardará todos los datos de la memoria en un archivo de referencia en el disco duro del dispositivo, conservándolos para futuros análisis.

Mixture of Experts | 28 de agosto, episodio 70

Descifrar la IA: resumen semanal de noticias

Únase a nuestro panel de ingenieros, investigadores, responsables de producto y otros profesionales de talla mundial que se abren paso entre el bullicio de la IA para ofrecerle las últimas noticias y conocimientos al respecto.
Ver los últimos episodios del pódcast

Erradicación

Ahora que ha aislado los dispositivos afectados, es probable que desee desbloquearlos y recuperar sus datos. Aunque erradicar las infecciones de ransomware puede ser complicado de gestionar, especialmente las cepas más avanzadas, los siguientes pasos pueden ayudarle a iniciar la recuperación. 

Determinar la variante de ataque

Varias herramientas gratuitas pueden ayudarle a identificar el tipo de ransomware que infecta sus dispositivos. Conocer la cepa específica puede ayudarle a entender varios factores clave, incluyendo cómo se propaga, qué archivos bloquea y cómo puede eliminarla. Simplemente suba una muestra del archivo cifrado y, si las tiene, una nota de rescate y la información de contacto del atacante. 

Los dos tipos más comunes de ransomware son los bloqueadores de pantalla y los cifradores. Los bloqueadores de pantalla bloquean su sistema pero mantienen sus archivos seguros hasta que pague, mientras que los cifradores son más difíciles de combatir porque encuentran y cifran todos sus datos sensibles y solo los descifran después de que haga el pago del rescate. 

Buscar herramientas de descifrado

Una vez que haya identificado la cepa de ransomware, considere la posibilidad de buscar herramientas de descifrado. También hay herramientas gratuitas que le ayudarán con este paso, incluyendo sitios como No More Ransom. Solo tiene que introducir el nombre de la cepa del ransomware y buscar el descifrado correspondiente. 

Recuperación

Si ha tenido la suerte de eliminar la infección por ransomware, es hora de comenzar el proceso de recuperación.

Comience por actualizar las contraseñas de su sistema y, a continuación, recupere sus datos a partir de las copias de seguridad. Siempre debe intentar tener tres copias de sus datos en dos formatos diferentes, con una copia almacenada fuera de las instalaciones. Este enfoque, conocido como la regla 3-2-1, le permite restaurar sus datos rápidamente y evitar pagos de rescate. 

Tras el ataque, también debería considerar realizar una auditoría de seguridad y actualizar todos los sistemas. Mantener los sistemas actualizados ayuda a evitar que los hackers exploten vulnerabilidades en software antiguo, y los parches regulares mantienen sus equipos actualizados, estables y resistentes a amenazas de malware. También es posible que desee perfeccionar su plan de respuesta a incidentes con las lecciones aprendidas y asegurarse de haber comunicado el incidente de manera adecuada a todas las partes interesadas necesarias. 

Notificar a las autoridades

Dado que el ransomware es una forma de extorsión y un delito, siempre debe informar de los ataques de ransomware a las fuerzas del orden. 

Las autoridades podrían ayudarle a descifrar sus archivos si sus esfuerzos por recuperarlos no funcionan. Pero incluso si no pueden salvar sus datos, es crítico que cataloguen la actividad de los ciberdelincuentes y, con suerte, ayuden a otros a evitar destinos similares. 

Es posible que algunas víctimas de ataques de ransomware también estén obligadas legalmente a denunciar las infecciones de ransomware. Por ejemplo, el cumplimiento de la HIPAA exige generalmente a las entidades sanitarias que informen de cualquier vulneración de datos, incluidos los ataques de ransomware, al Departamento de Salud y Servicios Humanos.

Decidir si pagar o no

Decidir si se debe pagar un rescate es una decisión compleja. La mayoría de los expertos sugieren que solo debe considerar pagar si ha probado todas las demás opciones y la pérdida de datos sería significativamente más perjudicial que el pago.

Independientemente de su decisión, siempre debe consultar con las fuerzas del orden y los profesionales de la ciberseguridad antes de seguir adelante.

Pagar un rescate no garantiza que recuperará el acceso a sus datos ni que los atacantes cumplan sus promesas: las víctimas suelen pagar el rescate y nunca reciben la clave de descifrado. Además, pagar rescates perpetúa la actividad ciberdelincuente y puede financiar aún más los delitos cibernéticos.

Prevenir futuros ataques de ransomware

Las herramientas de seguridad de correo electrónico y el software antimalware y antivirus son primeras líneas de defensa fundamentales contra los ataques de ransomware.

Las organizaciones también confían en herramientas avanzadas de seguridad de endpoints como firewalls, VPN y autenticación multifactor como parte de una estrategia de protección de datos más amplia para defenderse de las vulneraciones de datos.

Sin embargo, ningún sistema de ciberseguridad está completo sin unas capacidades de detección de amenazas y respuesta a incidentes de última generación para atrapar a los ciberdelincuentes en tiempo real y mitigar el impacto de los ciberataques exitosos.

Herramientas como los sistemas de gestión de eventos e información de seguridad (SIEM) pueden aplicar el machine learning y el análisis del comportamiento del usuario (UBA) al tráfico de red junto con los registros tradicionales para una detección más inteligente y una corrección más rápida.

 

Autor

Annie Badman

Staff Writer

IBM Think
Soluciones relacionadas
Servicios de gestión de amenazas

Pronostique, prevenga y responda a las amenazas modernas, aumentando la resiliencia de su empresa.

 

 Explore los servicios de gestión de amenazas
Soluciones de detección y respuesta a amenazas

Utilice las soluciones de detección y respuesta a amenazas de IBM para reforzar su seguridad y acelerar la detección de amenazas.

 Explore las soluciones de detección de amenazas
Soluciones de defensa contra amenazas móviles (MTD)

Proteja su entorno móvil con las completas soluciones de defensa frente a amenazas móviles de IBM MaaS360.

 Explore las soluciones de defensa frenta a amenazas móviles
Dé el siguiente paso

Obtenga soluciones integrales de gestión de amenazas para proteger de forma experta a su empresa de los ciberataques.

 Explore los servicios de gestión de amenazas Concierte una sesión informativa centrada en las amenazas