Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2024 S2 Grupo
Actualidad

Ataque Ransomware: ¿qué hacer si ocurre?

25 Sep 2023

En la esfera de los ciberdelincuentes, los ataques de ransomware son ya un modelo de negocio altamente sofisticado con técnicas cada vez más complejas, como los casos de ransomware de triple extorsión. 

Si bien el primer ataque Ransomware conocido se documentó en 1989 y llegó en forma de disquete y a través de correo postal, hoy la evolución del ciberataque ransomware lo posiciona como uno de los más dañinos a nivel global por su capacidad disruptiva.

El impacto de un ataque Ransomware va más allá de los aspectos puramente monetarios o de cómo recuperar archivos cifrados por ransomware: supone un mazazo a la reputación de una empresa respecto a sus clientes y proveedores.  
Si en anteriores ocasiones hemos hablado de qué es ransomware en una guía breve pero exhaustiva, hoy abordamos qué hacer frente a los ataques de ransomware. Te lo contamos.

¿Quién puede ser víctima de ransomware?

Los ataques de ransomware son hoy una amenaza transversal a cualquier tipo de organismo y sector, cuyas víctimas pertenecen a un amplio espectro.

En EEUU, por ejemplo, un estudio ofrecido por CompariTech halló que los tres sectores más afectados eran los de negocios, educación, organizaciones médicas e instituciones gubernamentales. 

La ubicuidad de estos ataques es también visible observando las cifras de impacto: en Europa, el sector educativo fue especialmente castigado en 2022, con un 275% más de ataques que el año anterior según cifras de Sonicwall. El aumento de la incidencia en el sector de las finanzas llegó al 41% ese mismo año.

Cifras de Cyberint, por su parte, citan como los sectores más afectados en Europa los de manufactura, negocios, retail, construcción, educación y transporte (en orden descendente en impacto).

Además, un informe de Sonicwall aseguró observar en Europa un aumento del 83% de incidencia en 2022 respecto al año anterior.

Cómo reconocer un ataque ransomware: síntomas comunes de un ataque de Ransomware

Archivos cifrados con extensiones desconocidas

Al ser víctima de un ataque de Ransomware, es común detectar cambios en extensiones de archivos, dando lugar a nombres desconocidos. 

Una vez que los archivos están cifrados, se vuelven inaccesibles e ilegibles sin la clave de descifrado correcta. Además, el cambio en las extensiones dificulta que los usuarios puedan identificar y acceder a sus archivos. Por ejemplo, si un archivo originalmente tenía la extensión ".docx" , el ciberataque ransomware podría cambiarla a algo como ".xyz123". Esto confunde al usuario y evita que el sistema operativo y las aplicaciones reconozcan el tipo de archivo.

Pantalla de advertencia exigiendo un rescate

Es común encontrar un mensaje en el que los atacantes exigen un rescate a cambio de la clave de descifrado. En este punto, se recomienda tomar una foto del mensaje o una captura de pantalla, de modo que sirva a la hora de realizar una denuncia y para acelerar el proceso. 

Lentitud o bloqueo del sistema

Un equipo sujeto a un ataque Ransomware puede presentar los siguientes problemas:

  • Rendimiento general lento en operaciones normales, como abrir aplicaciones o navegar por internet

  • El proceso de arranque del sistema operativo puede tomar más tiempo de lo habitual

  • Las aplicaciones pueden no responder o congelarse con mayor frecuencia 

Qué no hacer ante un ataque de Ransomware

Recurrir a negociadores

La premisa principal es que se recomienda encarecidamente no negociar con cibercriminales ya que hacerlo, en último término, alimenta este tipo de actividad. 

No obstante, han surgido servicios específicos de asistencia en el proceso de negociación que aseguran poder lidiar con este tipo de situación. Se deben extremar las precauciones al lidiar con este tipo de empresas, ya que se han dado casos de fraude. De este modo, solo se recomienda negociar a través de empresas de máxima confianza.

Utilizar descifradores sin evaluación previa

Tras un ataque de Ransomware, es común que se publiquen mecanismos de descifrado mediante las cuales la empresa puede recuperar el acceso. En cualquier caso, es también imprescindible contar con descifradores de confianza, ya que algunos pueden resultar desmesuradamente lentos o maliciosos, llegando a hacer que la recuperación total de la información sea inviable.

Pasos ante un ataque de Ransomware

Aislar el sistema

Aislar un equipo o una red ante un ataque de ransomware es importante para limitar la propagación y el impacto del malware. El ransomware suele propagarse rápidamente a través de sistemas conectados en red, lo que significa que si un equipo se infecta, existe un riesgo considerable de que el malware se propague a otros dispositivos y cause un daño aún mayor. Aislando el sistema es posible contener el ataque y prevenir su expansión a otros sistemas y datos.

¿Debo pagar por un rescate de ransomware?

Desde S2 Grupo tenemos una respuesta clara: nunca debe pagarse un rescate de ransomware. Ceder a este chantaje favorece que se continúen desarrollando este tipo de delitos y, además, el pago no garantiza poder volver a acceder a los archivos o que estos no hayan sido dañados de forma irreparable. 

Evaluar la restauración desde copias de seguridad

Importancia de realizar copias de seguridad

Realizar copias de seguridad de forma regular es una medida indispensable para proteger los datos y sistemas de una organización y, en el caso de un ataque de ransomware, mitigar sus efectos. 

Las copias de seguridad facilitan la recuperación de datos a un estado previo al ataque (evitando pagar un rescate) y minimizan pérdidas.

Cómo restaurar los datos desde copias de seguridad confiables

La restauración desde las copias de seguridad, no obstante, debe realizarse de forma cuidadosa y exhaustiva. 

Se recomienda asegurarse de que el sistema esté completamente limpio de ransomware y cualquier otra amenaza, trabajando con profesionales de ciberseguridad.

Será crítico verificar la integridad de las copias de seguridad, de modo que sean confiables y estén intactas, sin haber sido comprometidas antes del ataque.

Involucrar a profesionales en ciberseguridad

Involucrar a profesionales de seguridad después de un ataque de ransomware es esencial ya que van a ser capaces de aportar su experiencia y conocimientos especializados en la detección, respuesta y mitigación de este tipo de ataques. 

Tras realizar una evaluación precisa de la situación, son capaces de determinar cómo ocurrió el ataque, qué sistemas y datos se vieron comprometidos y cuál es el impacto real en la organización. 

A su vez, podrán gestionar de forma adecuada este tipo de incidente de seguridad, incluida la coordinación con las partes interesadas y la comunicación interna y externa.

Además, como hemos adelantado en el punto anterior, trabajar con profesionales en ciberseguridad puede ayudar a llevar a cabo una recuperación efectiva, guiando el proceso de restauración.

Finalmente, los profesionales en ciberseguridad pueden ayudar a reducir los riesgos legales y financieros al garantizar que se sigan los procedimientos adecuados y se cumplan los requisitos legales relacionados con la notificación de violaciones de datos.

Fortalecer la Seguridad para el Futuro

Los ataques de ransomware deben comprenderse como una amenaza compleja para las organizaciones para las que las organizaciones deben prepararse desde un enfoque proactivo, en lugar de una vez que ocurren.

Como parte de la respuesta ante el ransomware se habla de la capacidad de las organizaciones de desarrollar su ciberresiliencia, quedando consolidadas para la lucha y respuesta frente al ransomware. 

Así, incluso el mejor de los servicios de respuesta frente al ransomware va a estar altamente condicionado por la madurez y el estado de la seguridad previo al incidente, incluyendo el trabajo en torno a las copias de seguridad, o al registro de actividad, entre otras.

De este modo, el trabajo de los profesionales en ciberseguridad puede marcar la diferencia entre un ataque de ransomware devastador, o un incidente del cual las empresas pueden recuperarse.

Desde S2 Grupo tenemos el compromiso de trabajar para mitigar estos riesgos desde un punto de vista proactivo y exhaustivo. Nuestro CERT es testimonio de este esfuerzo: se trata del Centro de Operaciones de Ciberseguridad de S2 Grupo. Creado en 2007, supone a día de hoy uno de los SOC más modernos  en cuanto a catálogo de servicios, tecnología empleada, metodologías de trabajo y capacitación de equipos. 

A través de S2 Grupo CERT, sostenemos procesos operativos en 24×7 los 365 días del año, con 4 centros operativos en Valencia, Madrid, Bogotá y Ciudad de México desde los que prestamos, de forma sindicada, servicios continuos de protección, detección y respuesta en ciberseguridad, incluyendo nuestro trabajo en prevención y gestión de ataques de ransomware.

Nuestra infraestructura física cuenta con:

  • Más de 2.000 m2 

  • Espacios de acceso restringido para el manejo de información sensible

  • Laboratorios de ciberseguridad IT y OT

  • Nuestro propio Centro de Proceso de Datos

  • Sala de crisis

  • Centro de formación especializado en ciberseguridad con alta capacidad

  • Sala de servicio de operación en 24×7

  • Zona de acceso restringido (ZAR) para manejo de información clasificada

  • Sala de máquinas con Grupo Electrógeno que garantiza la continuidad del suministro eléctrico

  • Medidas de control de acceso físico 

  • Un equipo humano de más de 450 personas trabajando en el CERT, especialistas en distintos ámbitos de la ciberseguridad IT y OT con múltiples certificaciones técnicas y de gestión. 

  • Grupos Operativos Distribuidos (GOD), listos para trabajar de forma directa en las infraestructuras del cliente y usando como apoyo toda la plataforma tecnológica del CERT.

A través de él, somos capaces de ofrecer servicios clave en ciberseguridad y prevención de ataques de ransomware, incluyendo servicios en torno a:

  • Concienciación y formación en ciberseguridad

  • Gobierno, Riesgo y Cumplimiento

  • Seguridad de software

  • Auditorías de seguridad

  • Gestión de servicios de ciberseguridad

  • Ciberseguridad industrial

  • Operaciones digitales

  • Gestión de incidentes de ciberseguridad

  • Cibervigilancia

  • Ciberinteligencia avanzada

Actuamos desde el enfoque de la prevención y detección pero también en la respuesta y contención, además de soporte y asistencia.

¿Quieres saber más sobre la amenaza actual de los ataques de ransomware y cómo pueden prepararse las empresas para responder ante ellos? 

En S2 Grupo podemos ayudarte. Descarga nuestro informe ‘Panorama del Ransomware 2023’ de forma gratuita o ponte en contacto con nosotros para dar el paso y proteger tus sistemas.

Artículos relacionados
Ver todas →
Actualidad
Amplía tu formación en ciberseguridad con ENIGMA en S2 Grupo
Leer más →
Actualidad
Conoce los tipos de vulnerabilidades en seguridad informática
Leer más →
Actualidad
¿Debe pagarse el rescate tras un ciberataque de Ransomware?
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día