Protocolo de actuación para pymes ante ataques ransomware

Según el informe Hiscox Cyber Readiness Report 2021, España es el país más propenso a sufrir un ciberataque con el 53% sobre el total de las empresas. Además, de acuerdo a este mismo informe, el 58% de los afectados pagaron un rescate, ya fuera para recuperar los datos o para evitar la publicación de información sensible.

Los ataques globales de ransomware a infraestructuras críticas, empresas e instituciones públicas han aumentado drásticamente en el primer trimestre de 2021. Durante este año hemos sido testigos de ataques como el del SEPE el pasado marzo, en el que datos de los ciudadanos fueron secuestrados a la espera de ser liberados a través del pago de un rescate. A este, se suman muchos otros ocurridos ya en 2020 como el de SNAKE, que infectó a una serie de hospitales privados en Europa o REvil, que se hizo con hasta 756 gigabytes de datos privados de representados y sus contactos de un bufete de abogados centrado en la representación legal de personalidades de la industria del entretenimiento.

Ante este panorama, las pymes son particularmente vulnerables al no contar con suficientes recursos humanos, tecnológicos y económicos para protegerse; de hecho, fuerzas de seguridad como la Guardia Civil han afirmado que las pymes son el objetivo del 70% de los ciberdelitos.

En este sentido, Excem Technologies, grupo de seguridad y ciberseguridad español con más de 30 años de experiencia, ha recopilado algunas de las claves y consejos de actuación que las pymes deben tener en cuenta en caso de ser víctimas de un ataque de ransomware.

El término ransomware hace referencia a un tipo de malware que, tras comprometer un equipo, secuestra su información para más tarde extorsionar a sus víctimas solicitando el pago de una suma de criptomonedas para recuperar esos datos. Esta palabra es un acrónimo de las palabras ransom (rescate) y software. Así pues, estas campañas pueden ser difundidas de forma masiva y aleatoria, o tratarse de ataques dirigidos que emplean códigos maliciosos concretos para corromper empresas u organizaciones. Este fue el caso del ataque que sufrió el SEPE el pasado mes de marzo, en el que, los equipos se vieron infectados por un malware llamado Ryuk.

La forma más habitual en la que se distribuye un ransomware es a través de correos phishing con archivos adjuntos o enlaces que lo que pretenden es engañar a los usuarios y permiten la descarga del malware. Otros métodos incluyen el Protocolo de Escritorio Remoto (RDP en inglés), que aprovecha el uso de contraseñas débiles, la visita a sitios web comprometidos, dispositivos USB o la descarga de algún software pirata.

Aunque en la gran mayoría de situaciones se es consciente de la infección cuando el ransomware ha finalizado su ejecución y todos los ficheros del dispositivo han sido cifrados y retenidos, existe la posibilidad de que éste aún no haya terminado su ejecución. De este modo, en el mejor de los escenarios todavía es posible recuperar la clave de cifrado o evitar que más ficheros sean cifrados.

De esta forma se recomienda seguir los siguientes pasos generales en el momento de la detección de un ransomware:

Desconectar las unidades de Internet, esto supone 'tirar del cable' de red (o desactivar las interfaces inalámbricas). De este modo se podría llegar a evitar la propagación a otros equipos o elementos de la empresa.

En segundo lugar, es preciso comprobar si el proceso dañino aún sigue ejecutándose localmente, es decir, aunque hayamos desconectado los equipos de la red. Si es así, se recomienda tratar de 'matar' el proceso desde el Administrador de tareas (Windows) o con un comando kill desde un terminal (Linux). En caso de no ser posible o no estar familiarizado con estas herramientas, lo más sensato es apagar la máquina con el propio botón de encendido.

Además, debe notificarse al departamento de IT de la empresa, si lo tiene, y a las autoridades competentes en cada caso. Dependiendo del tipo de organización que haya sido vulnerada, se debe acudir a un organismo u otro. Si se trata de Sistemas Clasificados o de Gobiernos Autonómicos y Locales, al CCN-CERT; al INCIBE-CERT, en el caso de empresas privadas o ciudadanos; al CNCPIC si son Infraestructuras críticas, o al ESP-DEF-CERT si está relacionado con las Fuerzas Armadas.

Por otro lado, es fundamental no ceder ante las demandas económicas de los ciberdelincuentes y no pagar nunca el rescate, ya que además de tratarse de una práctica ilegal en España, no hay certeza sobre la recuperación de los datos secuestrados. La colaboración con las fuerzas y cuerpos de seguridad del estado es esencial, ya que cuentan con procedimientos para la recuperación de los datos secuestrados y protocolos de ayuda para las organizaciones en función de los diferentes escenarios posibles, por ejemplo, si la empresa dispone o no de copia de seguridad, o de los recursos con los que cuenta la misma.

Para prepararse ante este tipo de ataques, las pymes pueden poner en marcha una combinación de medidas preventivas, basadas en la lógica y el sentido común:

• Mantener siempre los sistemas operativos de los dispositivos actualizados hasta su nivel más reciente de parcheado y emitido por el fabricante oficial del software.
• Asimismo, es muy importante contar con una buena protección, preferiblemente un antivirus de nueva generación o también denominado EEP+EDR.
• De forma adicional, es recomendable realizar copias de seguridad periódicas de todas las máquinas e información que se consideren relevantes para el trabajo de la empresa en el día a día.
• Las empresas deben contemplar también medidas restrictivas en lo relacionado a la compartición de archivos, ejecución remota de aplicaciones, etc.
• Del mismo modo, es conveniente deshabilitar todos aquellos servicios que vienen activados por defecto en los sistemas operativos, pero que no son de uso común en nuestra empresa.
• Además, de forma más avanzada, se recomienda implementar protecciones más sofisticadas de análisis, detección y bloqueo de tráfico malicioso.
• Finalmente, existen recursos como los ofrecidos por el CCN-CERT que proporcionan guías técnicas de manera periódica orientadas a empresas y organizaciones.

“Este tipo de amenazas pueden llegar a ser inasumibles para las empresas que lo sufren, por eso es tan importante que las pymes sean conocedoras de las medidas que pueden poner en marcha para prepararse ante un eventual ciberataque, así como el protocolo de actuación en caso de ser víctimas del ransomware”, afirma Rubén Vega, Cibersecurity Manager en Excem Technologies.