Luis Corrons, Security Evangelist de Avast, analiza para Ticpymes el riesgo al que se efrentan las empresas de ser contagiadas por virus ransomware.
Después de casi un año y medio de pandemia, el miedo generalizado a la propagación de virus impera en toda la población mundial. Sin embargo, hay otro tipo de virus que también atemoriza, en este caso, a las empresas e instituciones de todos los continentes. Hablamos de los virus informáticos y concretamente de la creciente oleada de ataques de ransomware que se está produciendo. Al igual que la Covid-19, los ciberdelitos tampoco discriminan a nadie, afectando a organismos de todos los tamaños y sectores. De hecho, el Instituto Nacional de Ciberseguridad (INCIBE) gestionó más de 130.000 incidentes de ciberseguridad durante 2020 en España, de los cuales 106.466 afectaban a ciudadanos y empresas.
En el sector sociosanitario, los ataques de ransomware tienen nombre propio. El hospital catalán de Sant Joan Despí – Moisès Broggi o el hospital Universitario de Torrejón de Ardoz en Madrid, son solo algunos de los afectados. Incluso la propia Agencia Europea del Medicamento (EMA) fue víctima de un ciberataque el pasado mes de diciembre a través del cual los ciberdelincuentes lograron acceder ilegalmente a datos sobre la vacuna de Pfizer y BioNTech, la cual estaba a punto de aprobarse. En este contexto, el equipo de Respuestas frente a Amenazas del Cibercrimen de INTERPOL ya hacía saltar la alarma en el mes de abril advirtiendo sobre el aumento significativo en el número de intentos de ataques de ransomware contra organizaciones e infraestructuras clave involucradas en la respuesta al virus de la Covid-19.
El objetivo último de un ataque de ransomware es afectar la vida de miles de personas para generar la urgencia de pagar el rescate.
Por lo tanto, los hospitales son susceptibles de quedar atrapados en el fuego cruzado de los ataques a gran escala porque presentan vulnerabilidades en las redes y en los dispositivos que están conectados a Internet y les resulta difícil evitar que los empleados hagan clic en enlaces de phishing. Sin embargo, no son los hospitales los únicos objetivos vulnerables.
Los ataques de malware de este tipo suelen ser la culminación de una cadena de acontecimientos que conducen a una red informática comprometida. Para evitar que las infraestructuras críticas, como las instituciones sanitarias, sufran una interrupción generalizada, se deben proteger sus redes y disponer de copias de seguridad online y offline para restaurar cualquier pérdida de datos que pueda llegar a producirse.
El objetivo último de un ataque de ransomware es afectar la vida de miles de personas para generar la urgencia de pagar el rescate. En España, la administración pública tampoco ha permanecido ajena a esta realidad. Desde el ataque al Servicio Público de Empleo (SEPE) que inhabilitó su web y servicios durante al menos un mes, hasta ayuntamientos públicos como el de Castellón o el de Oviedo, han sufrido ataques de esta índole.
Pero el sector privado tampoco permanece inmune a estas amenazas. Ejemplo de ello es el ciberataque sufrido por Acer el pasado mes de marzo que exigía a la compañía 50 millones de dólares, el mayor rescate de la historia hasta la fecha. Otros ejemplos son Mapfre, Honda o SegurCaixa Adeslas. Estos ciberataques son conocidos públicamente por la notoriedad de las instituciones y empresas damnificadas. Sin embargo, aunque estos sean los casos más visibles no significa que sean los más dañinos.
Las pymes son las víctimas más vulnerables en esta realidad. Para ellas, el impacto de un ciberataque puede ser devastador e incluso llegar a provocar su cierre. ¿Por qué? Porque sufrir
un ataque de ransomware no solo implica tener que plantearse el pago de un rescate millonario, sino también la pérdida de información, la interrupción de la actividad con su consiguiente repercusión económica, así como daños en la reputación corporativa de la empresa. Estos factores, en una pyme no acostumbrada a hacer copias de seguridad de su información, ni a destinar parte de su presupuesto a ciberseguridad, ni apostar por soluciones desplegables, pueden acarrear consecuencias catastróficas.
Índice de temas
Anticípate a tus enemigos
No existe una talla única para las pymes. Algunas pueden contar con un equipo completo de TI y otras estar limitadas por sus recursos y presupuesto. Aun así, la necesidad de ciberseguridad es la misma para cualquier tipo de empresa. En el momento en el que la ciberseguridad supone una amenaza para la continuidad del negocio existe un problema serio, indiferentemente del tamaño de la empresa.
Un punto a favor de las pymes es, aunque suene incierto, su tamaño. Para las grandes empresas es difícil ser rápidas y ágiles, pero en las pymes la falta de burocracia interna muchas veces facilita el camino. Es muy importante planificar con antelación antes de sufrir un ciberataque. La prevención viene de la mano de las copias de seguridad, un antivirus, parches automatizados o alguna forma de monitorización de la red.
Para evitar ser víctima de un ataque de este tipo es fundamental seguir una serie de directrices de prevención y contar con un plan de copias de seguridad y restauración eficaz.
Cuando una organización se ve afectada por el ransomware, los cinco pasos a seguir son:
- Aislar los sistemas afectados
- Identificar y asegurar las opciones de copia de seguridad
- Recoger la información de los registros y realizar análisis forenses digitales cuando sea necesario
- Intentar identificar la cepa del ransomware (comprobar No More Ransom) y ver si hay una clave de descifrado disponible
- Ponerse en contacto con las autoridades y decidir cómo proceder
Es muy importante aprender de los errores. Por eso, cuando se produzca un ciberataque se deben estudiar los datos del incidente para entender qué salió mal y ser capaces de memorizarlo para no caer en un futuro en los mismos errores. Con cada aprendizaje se puede ir gestando un plan de recuperación de “desastres”. Muchas empresas grandes no lo tienen, así que, de nuevo, la pyme debe aprovechar la ventaja de su tamaño para pensar de forma más inteligente. Si no puedes ser más grande, sé más inteligente.
Copias de seguridad, por qué son imprescindibles
Dentro de una estrategia de protección anti-ransomware, las copias de seguridad constituyen una parte fundamental. Un plan de copia de seguridad y restauración eficaz puede permitir que una empresa se recupere rápidamente de un ataque de estas características y no tenga que preocuparse por preguntas como “¿Pago el rescate?”. Cabe recordar que, tanto Avast como la policía y fuerzas de seguridad a nivel global, recomiendan no pagar el rescate en un incidente de ransomware para no fomentar este tipo de actos delictivos. Las copias de seguridad permitirán restaurar los sistemas afectados y seguir adelante sin necesidad de pagar ningún rescate.
De cara al futuro, también es importante que las pymes creen un plan de respuesta a incidentes que les ayude a realizar el triaje y a proporcionar no sólo una capacidad de respuesta rápida a los incidentes de seguridad, sino también a establecer una ruta de mejora incremental. Esto llevará tiempo, pero es un proceso indispensable, de lo contrario la puerta quedará abierta para que vuelva a ocurrir lo mismo en el futuro. En esta línea, la concienciación y educación tecnológica a los empleados es otro punto crucial en materia de ciberseguridad. Sin embargo, en muchos casos, la falta de capacidad económica complica esta tarea a las pymes.
Desgraciadamente, se está produciendo un aumento de los ataques exitosos porque el ransomware se está ejecutando “as a service” para los ciberdelincuentes, lo que aumenta tanto la sofisticación como la facilidad para lanzar un ataque. Si bien la tecnología es una medida preventiva fundamental, también lo es una coordinación nacional para mejorar las defensas en las infraestructuras críticas y una cooperación internaci