MENÚ
Si hay algo en lo que insistimos hasta la saciedad en Maldita.es es en la importancia de la ciberseguridad de nuestra vida digital (y física). Por eso, hemos recopilado consejos que van desde cómo minimizar riesgos cuando conectamos nuestro móvil a un coche de alquiler hasta medidas de ciberseguridad en centros educativos. Para saber a qué podemos estar expuestos hemos ahondado en qué es un ataque DDoS o de denegación de servicio o los conocidos ransomware, en los que se secuestran y hacen inaccesibles los archivos de un dispositivo. Hasta os hemos explicado cómo puede ser un hackeo en Twitter y cómo funciona el proceso de recuperación de cuentas, sólo por poner algunos ejemplos.
Cada una de esas amenazas informáticas es particular y tiene sus propias características, pero nuestra respuesta ante ella puede tener puntos en común. Nos habéis preguntado por un cabo suelto que es importante si queremos extremar una buena conducta ante un ataque informático: ¿cómo debemos actuar si sufrimos uno y no queremos borrar las pruebas de que, efectivamente, nos han hackeado?
Primer paso: cerciorarse de que hemos sufrido un ataque informático y que no es un fallo corriente
Antes de nada, también puede que te preguntes, ¿y para qué quiero yo que esas huellas sigan ahí? Pues porque según la envergadura del hackeo, robo de datos o incluso acciones en tu nombre que hayan podido suceder, sería muy normal que necesitaras denunciar que has sufrido este ataque. Sin pruebas, puede ser difícil.
Por eso los peritos informáticos son los que se encargan (entre otras cosas) de hacer un rastreo de lo que ha pasado en el dispositivo y recabar posibles pruebas del delito informático, hasta poder dar con el autor o autores. Con estos datos, pueden construir un informe basado en evidencias digitales que se podría llevar ante la policía o usar en un juicio. De hecho, las empresas cada vez cuentan más con este tipo de especialistas. Ahora bien, ¿qué podemos hacer nosotros a nivel individual para facilitar esa tarea?
Lo primero es darnos cuenta de que estamos siendo víctimas de un ataque informático. En el caso del ransomware, será un ataque visible porque, como hemos indicado, habrá un bloqueo de los archivos de nuestro dispositivo. Sin embargo,“hay otros ataques mucho más difíciles de detectar que se basan por ejemplo en keyloggers o tecnologías de detectar pulsaciones en teclado, y recopilan información de forma silenciosa. Estos son los más peligrosos”, indica Juan José Delgado, director del título ‘Experto Universitario en Peritaje Informático e Informática Forense’ de la Universidad Internacional de La Rioja (UNIR).
En estos casos, hay señales que nos pueden hacer sospechar, recopila Delgado: “Que el dispositivo vaya lento (porque hay procesos que no deberían estar sucediendo o porque se están enviando muchos datos a través de la web), que haya un consumo excesivo de la conexión o que sucedan cosas inesperadas”.
Formatear o reiniciar el dispositivo borrará las huellas que luego deben analizar peritos informáticos
Una vez nos percatamos de que hemos tenido la mala suerte de ser víctimas de un ataque informático, de manera natural, lo primero que podemos pensar es en borrar todo del dispositivo para ‘hacer desaparecer el hackeo’. “Lo normal es entrar en pánico y decir, voy a formatear, reinstalar y empezar de cero, pero así estás eliminando las pruebas. Si quieres hacer un análisis, es lo último que tienes que hacer”, avisa José Juan Díaz, senior sales engineer en la empresa de ciberseguridad Barracuda Networks. Es decir, controlar el impulso y no formatear ni borrar nada.
Si lo hiciéramos, estaríamos no solo destruyendo esas huellas del hackeo, sino también sobreescribiendo información. Aquí entra en juego el término log, que en informática significa registro. “Todo dispositivo guarda unos logs, una especie de historial y seguimiento detallado de lo que sucede en el equipo. Estos no se deben modificar, porque si tenemos la suerte de que el atacante no ha iniciado la fase en la que limpia su rastro de esos logs, son los que nos pueden ayudar a saber qué ha estado haciendo, hasta dónde ha accedido o cómo ha conseguido esos permisos”, indica Díaz. Un usuario con un nivel básico de tecnología probablemente no interactúa con este registro habitualmente, pero de ahí que sea importante no formatear el dispositivo, para no eliminarlo cuando un profesional técnico necesite consultarlo.
Además, los logs no sólo están en el equipo, también en el router. “Si has tenido la mala suerte de que el atacante ha tapado o sobrescrito la información de los logs, al menos podrá haber un rastro en el acceso externo”, añade. Por eso, cuando vayas a darle la información a un perito, es probable que tengas que entregar también el router.
Ya nos ha quedado claro que no debemos formatear ni eliminar nada; ¿qué podemos hacer entonces para detener el ataque mientras lo llevamos a un especialista? “Tocar lo menos posible del terminal, desconectarlo de la red y aislarlo del tráfico de datos. Después, apagarlo. Si no podemos porque no funciona, tendremos que quitarle la batería. Y, por supuesto, no volver a utilizarlo hasta que lo llevemos a analizar, que debería ser cuanto antes”, enumera Delgado de la UNIR.
Díaz, de Barracuda Networks, coincide: “Al desconectarlo de la red quitas el acceso a quien esté atacando. Pero no basta con eso y también debemos apagarlo, porque puede haber un software instalado que tenga autoejecución de procesos. Desconectando y apagando, lo paramos todo”.
Ojo: el procedimiento no es exactamente igual para todos los tipos de ataques
Todo esto es la casuística general pero, Paula González, especialista en seguridad informática y maldita que nos ha prestado sus superpoderes, recuerda que lo que habrá que hacer “dependerá del tipo de ataque, no es lo mismo un robo de datos que un ransomware: en este habría que detener la propagación aunque se destruyan evidencias; con otro tipo de ataques con dejar fuera al atacante te sirve”.
Si hemos detectado el ataque, no hemos tocado ni eliminado nada, lo hemos aislado de la red y lo hemos conseguido apagar, ya podremos llamar a un experto.
¿Cuál es el proceso que seguirá un perito informático para rastrear esas huellas y llegar a los autores? “Siempre se intentará no trabajar directamente con el dispositivo. Se hará una copia y se extraerá la información. Por ejemplo, si es un ordenador, se copiará el disco duro; y si es el móvil, a través del puerto de datos se transferirá la información. El objetivo es que el impacto en el dispositivo sea el menor posible para que pueda servir de prueba en un juicio”, explica Delgado de la UNIR.
Una vez que la información se ha extraído, se detectan las vulnerabilidades gracias al análisis de los logs o registros. “Lo normal es que las evidencias no estén a simple vista, sino que se encuentren pequeños indicios repartidos alrededor del terminal. Juntando esas pequeñas pistas se podrá determinar el ataque y el impacto”, detalla.
Con todos estos pasos y recomendaciones, esperamos que si sufres un ataque informático (dedos cruzados para que no), sepas rápidamente qué no hacer (borrar y formatear) y que sí (desconectar de la red, apagar y acudir a un experto).
