Pasos a seguir para plantar cara a un ataque de 'ransomware'

El secuestro de archivos o dispositivos por parte de los ciberdelincuentes, que después piden un rescate por ellos, aumenta. Es una de las conclusiones extraídas de un informe de seguridad llevado a cabo por Trend Micro, referido a la primera mitad de 2019, en el que aseguran que las detecciones de este tipo de malware aumentaron un 77% respecto a la segunda mitad de 2018.

Además, desde la firma advierten cambios en cuanto a los objetivos de estos ataques, ampliando el alcance de sus operaciones. Ya no solo se dirigen a individuos y empresas, sino que también están buscando víctimas entre los gobiernos locales que carecen de sistemas de seguridad integrales. Estos cambios en la forma de operar también los han detectado en Kaspersky, que sostiene que los ciberdelincuentes se han vuelto más selectivos en los últimos años y ahora se centran en las organizaciones con más probabilidad de hacer pagos sustanciales para recuperar sus datos. De ahí que sus previsiones aboguen por que, en el futuro, las extorsiones con fines monetarios serán aún más agresivas, con la posibilidad de que los malhechores amenacen con publicar los datos robados, más allá del tradicional cifrado de los mismos.

Cómo afrontar un ataque de 'ransomware'

Con el ransomware ocurre lo mismo que con cualquier otra ciberamenaza. El arma más eficaz para enfrentarnos a ella es la prevención. Así lo asegura Alejandro Guasch, profesor del Máster en Blockchain y Fintech de IEBS Business School: “Si sufrimos un ataque y no hemos tomado medidas previas, estamos en una situación muy vulnerable, por lo que mi recomendación es que tengamos backup en la nube de los documentos más importantes. Delante de un ransomware, es lo único que podemos hacer, más allá de no conectarnos a determinadas páginas y nunca hacer click en links de dudosa procedencia”, aclara.

No obstante, si se produce el ataque, ¿cómo debemos actuar? Según los expertos consultados, hay que tener una actitud firme y decidida. Pedro González, perito judicial experto en Ciberdelincuencia, defiende que “lo primero que hay que hacer es apagar el equipo en el que se detecte el comienzo del cifrado” y hacerlo de manera brusca, es decir, literalmente “tirando del cable de alimentación eléctrica para evitar que siga adelante el proceso y salvar así la información que no se haya cifrado hasta ese momento”.

De la misma opinión es Jordi Ubach, consultor-formador en Ciberseguridad de Osane Consulting, que advierte además que “ante las últimas variantes de Ruyk, que al parecer es capaz de activar ordenadores apagados mediante el comando ‘wake on lan’, tendremos que desconectar de la red eléctrica el resto de equipos y evitar tener dispositivos conectados, como pendrives o discos duros, para que se produzca el cifrado de los mismos”.

En un siguiente paso, deberemos desconectar los equipos de la red, “fundamentalmente para evitar la comunicación con el equipo de C&C (mando y control del ciberdelincuente) y recibir la orden de comenzar con el cifrado”, asegura González. Una vez hecho esto, deberemos apagar los equipos y proceder, desde el departamento de TI, a “una limpieza exhaustiva y una desinfección de los mismos”, antes de volver a arrancar los equipos y comprobar, aún desconectados de la red, que no hay “procesos extraños o sospechosos corriendo en la máquina”, aconseja.

Si todo va bien, podremos volver a conectar a la red corporativa y “recurrir a las copias de seguridad que deberíamos tener y restaurarlas en una instalación limpia, tras un formateo del equipo”, expone González, que remite al Incibe en el caso de que no contemos con copias de seguridad, que serán quienes “nos darán soporte para comprobar qué tipo de infección es la que hemos sufrido y si está disponible la clave de descifrado”.

Un apoyo institucional al que también remite Ubach, a fin de “comunicar la incidencia y recibir la ayuda pertinente”. Además, si somos afectados como ciudadanos particulares, “tenemos a nuestra disposición la Oficina de Seguridad del Internauta (OSI)”, recuerda Ubach.

Pagar el rescate no es una opción

Ahora bien, si todo sale mal y nos encontramos en la tesitura de elegir entre pagar el rescate solicitado o no hacerlo, todos los expertos consultados coinciden en la misma conclusión: no pagar jamás. Según explica Guasch, “si pagamos, aparte de la propia dificultad que un usuario puede tener si se pide el pago en criptomonedas, nadie te asegura que te envíen la clave de desencriptado y, en muchos casos, te piden más dinero, ya que te ven realmente interesado”.

González, por su parte, insiste en esto: “Si terminamos sufriendo el cifrado de la información y se nos solicita un rescate, no hay que pagar”, alegando que “no tenemos garantías de que el ciberdelincuente nos envíe la clave, y si lo hiciera, que esta funcione correctamente y podamos recuperar la información”. Además, sostiene que nada nos asegura “que no se nos active un nuevo cifrado pasado un tiempo”, entrando en una extorsión eterna.

Por último, y no menos importante, Ubach hace hincapié en que si no entramos al trapo y no pagamos, estaremos colaborando a “no fomentar ni mantener este tipo de delincuencia organizada”. Y es que, si los ciberdelincuentes continúan obteniendo un gran rédito económico de su actividad, continuarán poniendo todos sus recursos para maximizar su malvado negocio.