Qué hay que hacer antes y después de un ciberataque

1- Copias de seguridad

La primera medida básica para atenuar los efectos de un ataque de ransomware puede parecer obvia, pero a menudo no se cumple. Es tener copias de seguridad de todo. “Y sobre todo, hay que mantener una copia de seguridad separada de la red y en buenas condiciones”, explica el director de la Agencia de Ciberseguridad de Catalunya, Oriol Torruella. Hace falta como mínimo una copia desconectada porque los piratas informáticos a menudo lo primero que hacen es buscar y cifrar también estos bots salvavidas. “Un buen sistema de copias de seguridad facilita volver a la normalidad”, añade el consultor en seguridad informática José Nicolás Castellano. Para el jefe de la unidad central de delitos informáticos de los Mossos, el subinspector Albert Álvarez, las copias de seguridad “forman parte de la higiene en ciberseguridad que tiene que tener cualquier empresa”.

2- Software actualizado

El analista sénior de Kasperski Marc Rivero explica que los piratas analizan la “superficie de ataque” del objetivo, las máquinas y servicios expuestos a internet, “y esto es lo que te tienes que centrar en proteger”. Pero también aprovecharán cualquier vulnerabilidad que encuentren en cualquier ordenador, y la forma de minimizarlas es tenerlos al día. “Interesa tener todos los sistemas actualizados, desde el sistema operativo en los programas, los navegadores de internet y la protección antivirus y antimalware”, insiste el subinspector Albert Álvarez. Aunque Castellano recuerda que ya hay grupos de ransomware capaces de generar sus propios 0 day –vulnerabilidades que el fabricante de un programa no conoce y no ha podido remendar con una actualización–, son los más sofisticados. La mayoría usan vulnerabilidades conocidas y que ya están solucionadas. Estar al día puede ser una barrera eficaz.

3- Sistemas de protección

“Los antivirus son casi una obligación para todos los PC, y hace falta que sean de pago y al día, no copias piratas sin actualizar”, alerta Castellano. “También hay que tener cuidado de la seguridad de los accesos remotos”, avisa. Con la pandemia se ha hecho más habitual que nunca que un trabajador acceda al ordenador del trabajo desde casa, “pero hay que vigilar con las contraseñas por defecto o que son demasiado fáciles de adivinar”, insiste el consultor. También hacen falta cortafuegos que puedan parar las intrusiones y que un antivirus compruebe los correos electrónicos, una vía de entrada habitual para los intrusos a través de correos fraudulentos de phishing. Además, evidentemente, hay que tener cuidado con las contraseñas de los diferentes espacios de trabajo, que tienen que ser sólidas, únicas y se tienen que cambiar periódicamente.

4- Protocolos de respuesta

Una cuestión clave es la formación básica de los trabajadores “en técnicas básicas de higiene y seguridad informática”, asegura el subinspector Álvarez. Sobre todo para que sepan identificar un correo fraudulento, pero también cuando tienen que hacer saltar la alarma y a quién avisar. Evidentemente, las empresas grandes que tienen un servicio informático con suficiente capacidad tienen que planificar una situación de amenaza. “Las empresas medias o pequeñas con menos margen de maniobra tienen que tener sobre todo un protocolo de respuesta”, según Castellano, “el teléfono de un especialista a mano”, sentencia. En todo caso, toda entidad expuesta a internet y con dependencia de los sistemas informáticos –o sea, casi todas las empresas e instituciones, hoy en día–, se tiene que preparar para una situación de emergencia, como mínimo sabiendo a quién avisar. Porque puede suceder.

5- Desconectar las máquinas

Un ciberataque de ransomware cifra tantos archivos como puede de un sistema informático. No es un proceso automático y, a veces, interrumpiendo el proceso se puede salvar información que después un especialista puede recuperar. Castellano recomienda “apagar todos los ordenadores inmediatamente” para parar el proceso. Álvarez, en cambio, avisa que “apagar los equipos es lo que no se tiene que hacer”. Recomienda desconectarlos todos de la red para que los infectados no puedan contagiar a los demás. “Si los apagas perderás algunas evidencias forenses que se alojan en la memoria RAM y se borran cuando se para el ordenador. En algunos casos podría estar incluso la clave para desencriptar los ordenadores”, avisa el subinspector. Castellano admite que puede ser útil, pero recuerda que si no se paran continúan cifrando.

6- Analizar la situación

Cuando se ha sufrido un ataque de ransomware una de las medidas que hay que tomar es evaluar el alcance del destrozo. ¿Qué tipo de datos se han cifrado? ¿Son personales o especialmente sensibles? ¿Los atacantes los pueden haber copiado, además de cifrarlos? ¿La actividad se puede retomar sin toda esta información? “Hay que llamar a un especialista para hacer una evaluación de daños y de la naturaleza de los datos comprometidos”, explica Castellano. Además, hay que ver y estudiar qué hay en las copias de seguridad. Toda esta información, analizada más allá del pánico inicial, puede ayudar a tomar decisiones más adecuadas. A veces puede ser que lo más importante se haya salvado. Además, el incidente también puede ser una oportunidad para descubrir errores y situaciones que se pueden mejorar para evitar futuros sustos.

7- Avisar a autoridades y afectados

“Se tiene que denunciar siempre”, alerta el jefe de la unidad central de delitos informáticos de los Mossos, Albert Álvarez. Recuerda que es obligatorio por ley, siempre que se conoce un delito –y un ciberataque lo es–. Además, siempre que “se produce una violación de seguridad de los datos” hay que avisar a la Autoridad de Protección de Datos, según afirma el ente en su web, y en un plazo máximo de 72 horas. Además, “si es probable que la violación de seguridad comporte un alto riesgo para los derechos y libertades de las personas”, también hay que avisar a los afectados “sin dilaciones indebidas y en un lenguaje claro y sencillo”. Si hacerlo es demasiado complicado –porque hay demasiados afectados, por ejemplo– “se puede optar por una comunicación pública o una medida equivalente”.

8- Recuperar la actividad

Los ataques de ransomware inhabilitan los sistemas informáticos de la entidad objetivo, como mínimo temporalmente, porque o bien quedan cifrados o bien se tienen que analizar para asegurar que no están infectados. Por eso una de las primeras medidas que hay que poner en marcha es buscar formas alternativas de mantener o retomar la actividad. A menudo, pues, hay que montar otro sistema informático, ni que sea provisional. Para conseguirlo es más que probable que haga falta la ayuda de un especialista. Ante un ataque informático de estas características, y no solo para esta etapa del proceso, hace falta el apoyo de uno o más expertos y si no forman parte de la entidad se tienen que buscar fuera. Sin ayuda especializada es muy fácil que la entidad afectada corra peligro de quedar muy perjudicada, o de desaparecer.

9- ¿Pagar o no pagar?

El director de la Agencia de Ciberseguridad, Oriol Torruella, avisa que pagar el rescate “favorece el modelo de negocio de estos grupos criminales” y, por lo tanto, “fomenta la continuidad de esta actividad e incrementa el riesgo de nuevos ataques”. Por eso, insiste, no se tiene que hacer nunca. El subinspector Albert Álvarez es más directo: “Pagando estás financiando el cibercrimen y, por lo tanto, colaborando con futuros ataques que te podrían volver a afectar”. Tanto Rivero como Castellano también recomiendan que no se pague el rescate, pero reconocen que a menudo muchas empresas afectadas deciden hacerlo porque peligra su supervivencia. En este caso los dos recomiendan que el pago se haga de la mano de un experto, que se asegure que el código que envíen para descifrar los archivos no sea nada más que esto, y que no hay más consecuencias indeseadas. “Muchas empresas de ciberseguridad ofrecen este servicio en su cartera de productos”, explica el analista Marc Rivero.

10- Reforzar la seguridad

Cuando se recupera la actividad después de un ataque de ransomware hay que analizar qué ha pasado y tomar medidas para intentar evitar que vuelva a pasar. O sea: hay que invertir en ciberseguridad, y probablemente hacer una auditoría para reforzar los sistemas. Pero la seguridad no es una cuestión de un día, hay que revisarla periódicamente porque las técnicas de los ciberdelincuentes también evolucionan. Con todo, tampoco hay que hacer alarmismo: “En el entorno digital hay amenazas como en cualquier otro”, dice Torruella, “como pasa cuando conducimos o en el tránsito aéreo”.