Te levantas una mañana, vas hacia la oficina de tu pequeño negocio y, al encender el ordenador, descubres que no tienes acceso a la información más básica de la empresa y que en su lugar hay un documento de texto que te pide un rescate para recuperarla. Se trata de un ataque ransomware y aunque lo más habitual es que los objetivos de los ciberdelincuentes sean grandes empresas y administraciones (simplemente porque tienen capacidad para pagar más), cualquier persona o negocio podría convertirse en víctima. ¿Qué pasos hay que seguir si ocurre? ¿Se puede mejorar la seguridad de manera preventiva para no verme envuelto en este tipo de chantajes?
El primer paso a seguir ante un ataque ransomware es no pagar nunca el rescate. Nuestra maldita Mar Arribas, especializada en ingeniería informática y ciberseguridad, nos presta sus superpoderes para explicarnos que transferir el dinero “anima a estos criminales a seguir ejerciendo y no tenemos garantía de que tras pagar recuperemos la información”. Generalmente suelen pedirse bitcoins porque son más difíciles de rastrear.
A modo de ejemplo, Arribas añade que en uno de sus anteriores empleos la empresa fue víctima de uno de estos ataques y el responsable tomó la decisión de pagar a los ciberdelincuentes, que nunca llegaron a devolver la información encriptada.
Pagar un rescate no garantiza que nos vayan a devolver la información
Desde el Instituto Nacional de Ciberseguridad (INCIBE) también desaconsejan pagar cualquier tipo de rescate. Según afirman a Maldita.es, transferir dinero a los delincuentes “no garantiza que la clave de descifrado que nos proporcionen vaya a funcionar o incluso que nos la vayan a entregar. También al pagar el rescate es posible que seas objetivo de ataques posteriores, ya que saben que estás dispuesto a pagar”.
El primer paso es llamar a la Policía Nacional y al 017 para notificar el ataque. Este último número es el de emergencias relacionadas con ciberseguridad, atendido por los expertos del INCIBE, y podrán ayudarte tanto para este caso como para cualquier otro relacionado con estafas y ataques online.
Una vez hecho esto, desde el INCIBE recomiendan aislar los dispositivos infectados para evitar que el ransomware “se propague por el resto de la red y, en caso de sospecha, hacer lo mismo con el resto de equipos, incluso apagarlos”.
Después de evitar que el virus se extienda, hay que clonar el disco duro infectado para mantener por un lado el dispositivo original y, por otro, intentar recuperar los datos desde la nueva unidad clonada. “Si no existiera solución a día de hoy, es posible que en el futuro sí la haya, por lo que podrías llegar a recuperar tus ficheros. Si fuera posible, recoge y aísla muestras de ficheros cifrados, así como la nota de rescate”, añaden desde el instituto.
Una vez iniciado el proceso de recuperación, surgen otras dudas. ¿Y sí entre la información secuestrada hay datos importantes de clientes? ¿Hay que avisarles? Para resolver esta duda hablamos con la Agencia Española de Protección de Datos (AEPD) desde donde recomiendan, lo primero de todo, realizar una autoevaluación sobre la gravedad de esta brecha de seguridad.
En esta autoevaluación debemos tener en cuenta qué tipo de datos se han visto afectados, el número de personas y registros alcanzados, la capacidad que tenemos para reestablecer estos datos y el riesgo real de que se pueda identificar a los clientes tras el robo de información.
Además, según el artículo 33 del Reglamento General de Protección de Datos, tienes la obligación de notificar el ciberataque a la AEPD y a los propios afectados “cuando sea probable que la brecha constituya un riesgo para los derechos y libertades de las personas”. Todo ello en un plazo máximo de 72 horas.
Una vez revisado todo el protocolo de actuación, es importante recordar que para evitar este tipo de situaciones vale más prevenir que curar. Sobre todo teniendo en cuenta que el impacto de los ataques ransomware puede minimizarse si se mantiene una rutina de guardado y copia periódica de todos nuestros datos (si hay una filtración en el caso que hemos comentado un poco más arriba habría que notificarla igualmente).
Es recomendable tener tres copias de la información en al menos dos sitios distintos
Mar Arribas nos pone un ejemplo muy gráfico: el de la pandemia. “No pensemos en qué hacer si nos contagiamos, sino en cómo evitarlo o minimizarlo de antemano. Es muy fácil hacer que un ataque de ransomware sea inútil: tan solo necesitamos hacer copias de seguridad periódicas y almacenarlas offline”, afirma.
Para una pequeña empresa, sería muy útil contar con un disco duro o un lápiz de memoria en el que podamos volcar toda la información sensible al final del día de trabajo. Así, en caso de ataque, ya sabríamos que esta información no se va a perder de manera irremediable.
“La política de copias de seguridad recomendada para pequeñas empresas y usuarios en general es la siguiente: debemos tener tres copias de nuestros datos (incluyendo la copia con la que trabajamos) en al menos dos sitios distintos de los cuales al menos uno esté en una ubicación remota. Es más fácil de lo que parece: si por cada fichero tenemos una copia en un pendrive y en un sistema de almacenamiento en nube, ya cumpliríamos esta regla”, concluye Arribas.
Además, resulta clave estar alerta a los emails que nos llegan y poner mil ojos encima de los archivos adjuntos que vamos a abrir. Muchas veces este tipo de documentos son la puerta de entrada a los ciberdelincuentes en nuestras redes de trabajo. Y cuantas menos facilidades les demos, mejor.
Teniendo todo esto en mente, es importante ser conscientes de que un ataque con ransomware es en esencia un chantaje: o me pagas o no te doy la llave para que recuperes lo que te he robado. De ahí que muchas empresas opten por pagar para ver si así consiguen acceder a sus sistemas y evitar lo que consideran un mal mayor: que afecte a los datos de sus clientes, quedarse sin servicio, dañar su reputación, etc. Por eso la prevención es un arma mucho más eficaz que tratar de buscar una solución una vez ha ocurrido el ataque y no haya realmente un consenso sobre cómo arreglarlo más allá de no pagar a los ciberdelincuentes.
En este artículo ha colaborado con sus superpoderes la maldita Mar Arribas.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Primera fecha de publicación de este artículo: 18/06/2021