El reciente ataque por ransomware contra la infraestructura de Colonial Pipeline en Estados Unidos pone de manifiesto, una vez más, que la protección y la prevención son factores clave.
¿Cómo pueden las empresas protegerse frente al ransomware?
Todavía se desconoce el vector de ataque en el Oleoducto Colonial, al menos hasta que los equipos forenses terminen su análisis. Una infección de ransomware puede provenir de algo tan simple como un correo electrónico de suplantación de identidad (phishing) o de un ataque más complejo dirigido a una vulnerabilidad particular sin parchear. En cualquier caso, las empresas deben considerar todos los casos cuando exponen sus sistemas.
Existe un pensamiento generalizado de que las organizaciones pueden protegerse contra el ransomware si adquieren una solución para proteger su infraestructura vital. Si bien el software y el hardware son partes fundamentales, uno de los aspectos más críticos permanece en el exterior la mayor parte del tiempo.
Es posible que se produzcan numerosas infecciones de ransomware porque los empleados no reciben suficiente formación en ciberseguridad, si es que la reciben. Lo cierto es que las personas son el eslabón más débil en la defensa de cualquier organización, por lo que es necesario fomentar la formación. Enseñar a las personas cómo reconocer los correos electrónicos de phishing o sospechar cuando reciben correos electrónicos, no abrir archivos adjuntos de correo electrónico, usar contraseñas únicas y nunca revelar credenciales en ataques de phishing son solo algunos de los aspectos más destacados de la formación en ciberseguridad.
La formación tiene que complementar a las soluciones de seguridad existentes, que pueden proporcionar análisis de riesgo del comportamiento humano para identificar problemas dentro de la infraestructura. Cada empresa es diferente y, dependiendo del sector en el que operen, las medidas de seguridad variarán mucho. No existe un asesoramiento o una configuración universal que se adapte a todos los perfiles de la empresa, pero sí hay una constante: la formación de los empleados.
¿Qué pasos deben dar las empresas una vez que han sufrido un ataque por ransomware?
Un consejo que es válido para cualquier organización es que las víctimas de ransomware no deberían pagar nunca. Al acceder al chantaje, se da alas a los hackers para continuar con su acción delictiva ya que consiguen más fondos para mejorar su software, lo que conllevará más víctimas.
Si los hackers comprometen con éxito a una empresa con ransomware, lo primero que hay que hacer es apagar los sistemas afectados y cualquier otro posible sistema involucrado en el proceso. El siguiente paso es contactar a la policía. Finalmente, dependiendo de las medidas adoptadas para solucionar el problema, las empresas deben investigar el incidente para analizar cómo sucedió y cómo pueden prevenirse tales ataques en el futuro.
No todos los ataques de ransomware son iguales, pero el comportamiento de los ciberdelincuentes ha cambiado en los últimos años. En la actualidad, muchos de los ciberataques que sufren las empresas, vienen acompañados del robo de datos y estos datos robados se utilizan más tarde en chantajes. La respuesta de una empresa variará según las copias de seguridad existentes, su ciberseguro y la importancia de los sistemas comprometidos, entre otros factores.
*** Alfonso Gimeno es director de ventas para la zona Este en Bitdefender.