Ataques de ransomware: protocolo de actuación para pymes

España es el país más propenso a sufrir de un ciberataque, de hecho más de la mitad de las empresas españolas (53%) han sufrido un ataque de este tipo en 2020, según un informe de Hiscox. Es más, se estima que entorno al 58% de las empresas afectadas pagaron un rescate, ya fuera para recuperar los datos o para evitar la publicación de información sensible. El tipo de ciberataque más común es el ransomware, que se trata de "una amenaza, cada vez más sofisticada, que consiste en un conjunto de ataques perfectamente orquestados por el atacante: phising, malspam, malware, ataques a vulnerabilidades no parcheadas, etc”, explica José de la Cruz, director técnico de Trend Micro Iberia, que continúa explicando que los “ataques se suelen iniciar a partir de campañas de phising o spam donde se intenta conseguir cuantas más infecciones mejor. (...) En definitiva, el objetivo no es otro que extorsionar a la empresa afectada para conseguir un rescate", asegura.

Pero, ¿cuál es la forma correcta de actuar en caso de que tu pyme sea víctima de un ataque ransomware?

Aunque en la gran mayoría de situaciones se es consciente de la infección cuando el ransomware ha finalizado su ejecución y todos los ficheros del dispositivo han sido cifrados y retenidos, existe la posibilidad de que éste aún no haya terminado su ejecución. "De este modo, en el mejor de los escenarios todavía es posible recuperar la clave de cifrado o evitar que más ficheros sean cifrados", explican desde el grupo de ciberseguridad Excem Technologies.

En este sentido, Excem Technologies recomienda seguir los siguientes pasos generales en el momento de la detección de un ransomware:

Desconectar las unidades de Internet

Tan simple como ‘tirar del cable’ de red o desactivar las interfaces inalámbricas. De este modo, se puede evitar la propagación a otros equipos o elementos de la empresa.

Comprobar si el proceso dañino aún se sigue ejecutando localmente

"Se recomienda tratar de 'matar' el proceso desde el Administrador de tareas (Windows) o con un comando kill desde un terminal (Linux). En caso de no ser posible o no estar familiarizado con estas herramientas, lo más sensato es apagar la máquina con el propio botón de encendido", aseguran desde Excem

Notificarlo a las autoridades competentes

Dependiendo del tipo de organización que haya sido vulnerada, se debe acudir a un organismo u otro. Si se trata de Sistemas Clasificados o de Gobiernos Autonómicos y Locales, al CCN-CERT; al INCIBE-CERT, en el caso de empresas privadas o ciudadanos; al CNCPIC si son Infraestructuras críticas, o al ESP-DEF-CERT si está relacionado con las Fuerzas Armadas. 

No pagar nunca el rescate

Ceder ante el chantaje no otorga la certeza sobre la recuperación de los datos, además de ser una práctica ilegal en España.

"Este tipo de amenazas pueden llegar a ser inasumibles para las empresas que lo sufren, por eso es tan importante que las pymes sean conocedoras de las medidas que pueden poner en marcha para prepararse ante un eventual ciberataque, así como el protocolo de actuación en caso de ser víctimas del ransomware", afirma Rubén Vega, Cibersecurity Manager en Excem Technologies.