“No pagar nunca el rescate”. Esta es la recomendación que se ha ofrecido recientemente desde el INCIBE (Instituto Nacional de Ciberseguridad) ante un posible ataque de ransomware.
Si una empresa se ha visto afectada por un ransomware lo más importante es no sucumbir ante las exigencias de los ciberdelincuentes. Y es que, pagar no garantiza que se volverá a tener acceso a los datos, pues se debe recordar que se trata de delincuentes.
“Si pagas es posible que seas objeto de ataques posteriores pues, ya saben que estás dispuesto a pagar. Puede que te soliciten una cifra mayor una vez hayas pagado. Pagar fomenta el negocio de los ciberdelincuentes”.
En todo caso, si una organización o persona se ha visto afectada por un ataque de ransomware, desde el INCIBE se ha exhortado a reportarlo a través de la dirección de correo que se ha puesto a disposición para tal fin, aportando una descripción detallada del incidente y los datos de contacto.
Además, es recomendable adjuntar una captura de la pantalla con la nota de rescate (ransom note) y dos archivos cifrados por el ransomware (que no contengan datos de carácter personal, cuyos originales fueran formato Word o Excel y ocupen menos de un MB).
Una vez realizado todos estos procedimientos, el Cert (Centro de Respuesta a Incidentes de Seguridad) de INCIBE informará a la víctima sobre los avances con respecto al suceso.
Es importante que si las personas tienen dudas acerca de este tipo de amenazas se pongan en contacto con el Instituto Nacional de Ciberseguridad a través de su correo electrónico.
Actuando ante ataque de ransomware
Un aspecto que se debe tomar muy en cuenta es que el incidente tiene que ser notificado antes de las 72 horas por parte del “Responsable del tratamiento” a la “Autoridad de control competente”, en caso de que la incidencia afecte a datos de carácter personal.
“La autoridad competente para resolver cuestiones legales relacionadas con el RGPD es la AEPD (Agencia Española de Protección de Datos) o las análogas Autoritat Catalana de Protecció de Dades y del País Vasco Datuak Babesteko Euskal Bulegoa”.
También es recomendable que se denuncie el incidente de seguridad para que se investigue el origen del delito. Así, las víctimas pueden colaborar en las labores de prevención a otras empresas y en las acciones para capturar al ciberdelincuente que ejecute el Grupo de Delitos Telemáticos de la Guardia Civil o la Brigada de Investigación Tecnológica (BIT) de la Policía Nacional.
Simultáneamente se pueden seguir algunos pasos para recuperarse del ataque de ransomware, tales como aislar el equipo de la red, para evitar que el ataque se propague a otros dispositivos.
También se ha recomendado realizar una clonación completa del disco con el objetivo de mantener el dispositivo original y así intentar recuperar los datos sobre el clon.
“El siguiente paso sería desinfectar el disco clonado para intentar después recuperarlo. Para ello se debe utilizar una herramienta antivirus o antimalware actualizada. Es muy importante eliminar el software malicioso y sus posibles persistencias antes de recuperar los datos, ya que si no se hace, podrían volver a ser cifrados”.
Los expertos también exhortan a utilizar la página web No More Ransom, un proyecto colaborativo avalado por la EUROPOL que cuenta con una base de datos de ataques de este tipo, así como las soluciones (si existieran).
Allí se puede acceder a la sección de Crypto-sheriff para identificar correctamente la variante que ha infectado el o los equipos. “Te harán falta dos ficheros cifrados o la nota de rescate. Recuerda leer antes las normas para el envío de datos”.
La página, si existe una solución, ofrecerá la herramienta para descifrar los ficheros y un manual explicativo que contiene la información detallada de cómo utilizarla. Si no existe solución, igualmente se debe conservar el disco cifrado por si apareciera una solución en el futuro.
“Con el nombre del ransomware, puedes contactar con la Línea de Ayuda en Ciberseguridad de INCIBE para ampliar información con otras fuentes de desinfección posibles, así como herramientas de descifrado que vayan apareciendo”.
Además, se debería contactar con el proveedor de software si se cuenta con un antivirus en la empresa, por si hubieran desarrollado una herramienta específica. En caso contrario, se puede consultar el Catálogo de Empresas y Soluciones de Ciberseguridad.
Otro paso importante es revisar si el sistema de ficheros del sistema operativo cuenta con shadow copy o snapshot, que mantiene copias de versiones anteriores de ficheros. Si se localiza una copia previa a la infección hay que restaurarla inmediatamente. “Habrás perdido datos, pero podrás continuar con tu actividad”.
“Finalmente, utiliza un disco nuevo o formateado, así como una instalación en limpio del sistema operativo y restaura la copia de seguridad más reciente anterior a la infección. En caso de haber descifrado la información, puedes transferirla a tu instalación en el nuevo soporte”.
Una amenaza en aumento
Como se sabe, el ransomware es una extorsión que se realiza a través de un malware que se introduce en los equipos de las empresas: ordenadores, portátiles y dispositivos móviles. Si se quiere conocer más sobre este fenómeno se puede consultar el documento titulado Ransomware: una guía de aproximación para el empresario.
“Este software malicioso secuestra la información de la empresa, impidiendo el acceso a la misma generalmente cifrándola, y solicitando un rescate (en inglés ransom) a cambio de su liberación”.
Ya se ha conocido que en las empresas causa pérdidas temporales o permanentes de información, interrumpe la actividad normal, ocasiona pérdidas económicas y daños de reputación.
Se ha informado que este tipo de ataque está creciendo de forma exponencial debido a que es muy rentable para los delincuentes. Además, cada vez hay más dispositivos secuestrables y es más fácil secuestrar la información debido a los avances de la criptografía.
Los ciberdelincuentes, según lo expuesto, también pueden ocultar su actividad para lanzar ataques masivos y, al utilizar sistemas de pago anónimo internacionales, es más difícil el seguimiento del delito.
“Lo más habitual es que las infecciones se produzcan por alguna de las siguientes vías: correo electrónico con adjuntos maliciosos; escritorio remoto expuesto a Internet, con credenciales poco robustas y sin mecanismos de protección; vulnerabilidades en el navegador web que facilitan la infección al navegar por sitios maliciosos”.
Igualmente pueden suceder por vulnerabilidades de los servicios expuestos a Internet (FTP, SSH, RDP, etc.) y por dispositivos externos infectados que se conectan a los equipos corporativos.
El ataque de ransomware se manifiesta cuando el daño ya está hecho, es decir, cuando la información ha sido bloqueada. Allí se muestra un mensaje advirtiendo de este hecho y pidiendo el rescate para su liberación. El mensaje puede incluir amenazas de destrucción total de la información si no se cancela e incitar a realizar el pago de manera urgente.
Para evitarlo se debe entrenar constantemente para no caer víctima de las técnicas de ingeniería social, configurar y mantener los sistemas para que no tengan agujeros de seguridad, así como tener siempre actualizados el antivirus o antimalware, entre otras buenas prácticas que se han detallado en la publicación del INCIBE.