Diversa empresas españolas han sufrido un ataque de ransomeware, según informan medios como El Mundo o Eldiario.es. Un ataque de ransomware es un tipo de acceso externo a la red de una empresa en la que el hacker solicita un rescate económico a cambio de liberar el sistema. En este caso, el rescate es de 300 dólares en bitcoins por endpoint (es decir, cada dispositivo, terminal o cada equipo afectado). El ataque ha utilizado la aplicación Wanna Decryptor y se ha enfocado en hasta seis vulnerabilidades comunes detectadas en los sistemas afectados.
Las claves para evitar uno de estos ataques en el sistema informático de una empresa, sea esta grande o pequeña son:
- Concienciarse de la existencia del peligro y formar a todos los responsables de IT sobre protección proactiva y reactiva.
- Utilizar el sentido común: no abrir mails de origen desconocido, no descargar adjuntos no solicitados o sospechosos y no hacer click en enlaces de los que no se conoce el origen, muy especialmente si han sido acortados.
- Prevenir una situación de ataque mediante:
- Analizar los riesgos a los que puede estar sometida la empresa. Empresas de ciberseguridad como MNEMO disponen de servicios para facilitar este tipo de trabajo preventivo.
- Copias de seguridad de todos los datos importantes. Lo recomendable es tener siempre al menos dos copias de seguridad actualizadas, para asegurarnos de seguir teniendo nuestros archivos si uno de los backups falla. Además, mejor que no estén las dos copias ubicadas en el mismo servidor ni en el mismo dispositivo.
- Mantener actualizados los navegadores web y procurar utilizar VPN (redes privadas seguras).
- Actualizar todo el software, ya que las propias empresas fabricantes procuran solucionar los bugs, errores y vulnerabilidades en cada actualización.
- Acotar los privilegios de acceso. Que cada empleado acceda solo a la parte del sistema que necesita para trabajar, usando una buena estructura de permisos. Solicitar a los empleados que usen contraseñas robustas y que las cambien periódicamente. También es importante eliminar todas las cuentas de usuario que no sean necesarias.
- Evitar la exposición de la red interna al exterior. Todos aquellos servicios que vayan a interrelacionarse con el exterior deben alojarse en servidores distintos a los que guardan la información, datos y servicios únicamente internos. Configurar un buen firewall puede ser de gran utilidad.
- Configurar el correo electrónico con buenos filtros de spam, autenticación de correos entrantes y un buen sistema de escaneo de todo tipo de correos. Es más que recomendable deshabilitar las macros y el html.
Si ya se ha producido el ataque lo recomendable es:
- Aislar los equipos con ransomware.
- No pagar el rescate. Si se paga, nada garantiza que se recupere el acceso a los datos y además, la empresa se convierte en un caramelo para futuros hackers que ya saben que una vez esa empresa aceptó el chantaje.
- Clonar los discos duros de los equipos infectados.
- Aislar muestras de ficheros cifrados o del propio ransomware
- Denunciar el incidente (a la Guardia Civil o la Policía Nacional, que cuentan con unidades de ciberdelincuencia).
- Cambiar todas las contraseñas de todos los servicios y dispositivos.
- En todo caso, lo más recomendable es contar con una empresa experta en ciberseguridad, como MNEMO, que analice los sistemas y prepare un plan de defensa y respuesta a incidentes.
