Ciberseguridad y Protección de Datos: Ataques Ransomware


Como indicábamos en nuestro último post son muchas las ciberamenazas y fraudes que están afectando a pymes y autónomos poniendo en riesgo nuestro negocio, los datos personales que gestionamos, la reputación de la empresa y la confianza de nuestros clientes.

Uno de los ataques más frecuente es el llamado ransomware, que afecta desde grandes corporaciones a pequeñas pymes que, sin las medidas adecuadas, pueden llegar a ver afectada su operativa diaria, incluso a detenerla.

¿Qué es un ataque ransomware?

El ransomware es un tipo de malware o software malicioso que afecta a la información contenida en los diferentes dispositivos impidiendo su acceso, generalmente cifrándola y solicitando un rescate económico (habitualmente en bitcoins) a los afectados a cambio de poder recuperar su acceso.

Las infecciones de ransomware se producen principalmente por dos vías:

  1. Campañas de malware a través del correo electrónico: Los ciberdelincuentes envían correos electrónicos fraudulentos donde se distribuye el software malicioso que puede estar adjunto en el propio correo. Suelen utilizar técnicas de ingeniería social con las que forzar a los usuarios a descargar y ejecutar los ficheros.
  2. Vulnerabilidades o configuraciones de seguridad deficientes: Los ciberdelincuentes también pueden infectar los dispositivos sin interacción de los usuarios aprovechando vulnerabilidades no parcheadas o configuraciones de seguridad deficientes, como, por ejemplo, los escritorios remotos.
Correo electrónico malicioso tipo phishing - ataques ransomware
Ejemplo de correo electrónico malicioso que distribuye malware, como un ransomware. Fuente: INCIBE

¿Cómo evitar un ataque de ransomware?

Es importante seguir estos consejos para evitar un ataque de ransomware:

  • Precaución con adjuntos en correos electrónicos y enlaces a páginas externas: Se deben seguir las mismas recomendaciones que en las campañas de phishing y en caso de duda, no descargar ficheros adjuntos ni acceder a los enlaces del correo. Siempre se deberá analizar con el antivirus del equipo o con alguna herramienta en línea los archivos adjuntos o que provengan de una web externa. Algunas de estas extensiones de ficheros nunca deben ejecutarse a menos que se conozca su origen: .exe, .msi, .vbs, archivos ofimáticos con macros (.docm, .xlsm, .pptm, .doc, .xls, .ppt, .docx, .xlsx, .pptx), y cualquier archivo comprimido que contenga alguna de estas extensiones.
  • Software actualizado y configuraciones de seguridad robustas: Todo el software de la empresa, tanto en los dispositivos como en servicios a través de internet, deben estar siempre actualizados a la última versión.  Entre los errores de configuración que destacan como origen de un ransomware es el uso de credenciales débiles de acceso. Se deben utilizar contraseñas robustas y evitar nombres de usuario genéricos como ‘administrador’, nombre de la empresa, etc.
  • Herramientas antiransomware: Existen herramientas específicas que reducen o evitan las consecuencias de un ataque de este tipo ya que monitorizan la red y los dispositivos deteniendo y bloqueando los procesos de cifrado.

Además de estas recomendaciones es clave concienciar a los trabajadores sobre la existencia de estas amenazas mediante formaciones y realizar de forma periódica copias de seguridad.

¿Qué hacer si sufrimos un ataque de ransomware?

Debemos seguir una serie de pasos para minimizar las consecuencias:

  • Aislar el equipo o equipos infectados de la red principal de la organización para que no se propague la infección.
  • Clonar los discos de los dispositivos infectados para mantener el disco en su estado original; en un futuro puede que exista método de recuperación.
  • Desinfectar los dispositivos afectados y el disco clonado para intentar recuperar los archivos cifrados. Analizar todos los equipos de la empresa con un antimalware.
  • Intentar recuperar los archivos cifrados en el disco clonado previamente desinfectado. El proyecto de la EUROPOL No More Ransom cuenta con diferentes herramientas de descifrado.
  • En caso de disponer de una copia de seguridad se debe restaurar utilizando la más reciente y libre de modificaciones maliciosas.
  • Utilizar un disco nuevo o formateado, así como una instalación en limpio del sistema operativo, y restaurar la copia de seguridad más reciente a la infección.
  • No acceder al pago del ‘rescate’; pagarlo no garantiza que la información se nos devuelva y nos deja ante una posición de debilidad ante nuevos ataques o la petición de más pagos. 

Además, es recomendable interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado aportando toda la información disponible y poner en conocimiento del INCIBE-CERT el incidente. Y si se han visto afectados datos personales es necesario comunicarlo a la AEPD.

¿Cómo comunico a la AEPD una brecha de seguridad de este tipo?

Si el ataque ha afectado a los datos personales de nuestra empresa (clientes, proveedores, trabajadores, potenciales, etc.) debemos comunicar esta brecha de seguridad a la Agencia Española de Protección de Datos a través de su sede electrónica (Herramienta Comunica-Brecha).

La AEPD facilita este tipo de comunicaciones a través de una serie de formularios para determinar la gravedad de la brecha y para aportar la documentación necesaria sobre el caso. Además, dependiendo del volumen de datos, exposición y tipología de estos, puede ser necesario comunicar el incidente a los afectados.

Te ayudamos con tu brecha de seguridad

Si sois víctimas de algún ataque de este tipo, poneros en contacto con nosotros, y valoraremos la mejor forma de gestionar el caso para recuperar cuanto antes uno de los mayores activos de vuestra empresa, vuestros datos.

El equipo de PymeLegal.