• +34 93 737 64 01
  • info@pymelegal.es

Ciberseguridad y Protección de Datos: Ataques Ransomware

por

Como indicábamos en nuestro último post son muchas las ciberamenazas y fraudes que están afectando a pymes y autónomos poniendo en riesgo nuestro negocio, los datos personales que gestionamos, la reputación de la empresa y la confianza de nuestros clientes.

Uno de los ataques más frecuente es el llamado ransomware, que afecta desde grandes corporaciones a pequeñas pymes que, sin las medidas adecuadas, pueden llegar a ver afectada su operativa diaria, incluso a detenerla.

¿Qué es un ataque ransomware?

El ransomware es un tipo de malware o software malicioso que afecta a la información contenida en los diferentes dispositivos impidiendo su acceso, generalmente cifrándola y solicitando un rescate económico (habitualmente en bitcoins) a los afectados a cambio de poder recuperar su acceso.

Las infecciones de ransomware se producen principalmente por dos vías:

  1. Campañas de malware a través del correo electrónico: Los ciberdelincuentes envían correos electrónicos fraudulentos donde se distribuye el software malicioso que puede estar adjunto en el propio correo. Suelen utilizar técnicas de ingeniería social con las que forzar a los usuarios a descargar y ejecutar los ficheros.
  2. Vulnerabilidades o configuraciones de seguridad deficientes: Los ciberdelincuentes también pueden infectar los dispositivos sin interacción de los usuarios aprovechando vulnerabilidades no parcheadas o configuraciones de seguridad deficientes, como, por ejemplo, los escritorios remotos.
Correo electrónico malicioso tipo phishing - ataques ransomware
Ejemplo de correo electrónico malicioso que distribuye malware, como un ransomware. Fuente: INCIBE

¿Cómo evitar un ataque de ransomware?

Es importante seguir estos consejos para evitar un ataque de ransomware:

  • Precaución con adjuntos en correos electrónicos y enlaces a páginas externas: Se deben seguir las mismas recomendaciones que en las campañas de phishing y en caso de duda, no descargar ficheros adjuntos ni acceder a los enlaces del correo. Siempre se deberá analizar con el antivirus del equipo o con alguna herramienta en línea los archivos adjuntos o que provengan de una web externa. Algunas de estas extensiones de ficheros nunca deben ejecutarse a menos que se conozca su origen: .exe, .msi, .vbs, archivos ofimáticos con macros (.docm, .xlsm, .pptm, .doc, .xls, .ppt, .docx, .xlsx, .pptx), y cualquier archivo comprimido que contenga alguna de estas extensiones.
  • Software actualizado y configuraciones de seguridad robustas: Todo el software de la empresa, tanto en los dispositivos como en servicios a través de internet, deben estar siempre actualizados a la última versión.  Entre los errores de configuración que destacan como origen de un ransomware es el uso de credenciales débiles de acceso. Se deben utilizar contraseñas robustas y evitar nombres de usuario genéricos como ‘administrador’, nombre de la empresa, etc.
  • Herramientas antiransomware: Existen herramientas específicas que reducen o evitan las consecuencias de un ataque de este tipo ya que monitorizan la red y los dispositivos deteniendo y bloqueando los procesos de cifrado.

Además de estas recomendaciones es clave concienciar a los trabajadores sobre la existencia de estas amenazas mediante formaciones y realizar de forma periódica copias de seguridad.

¿Qué hacer si sufrimos un ataque de ransomware?

Debemos seguir una serie de pasos para minimizar las consecuencias:

  • Aislar el equipo o equipos infectados de la red principal de la organización para que no se propague la infección.
  • Clonar los discos de los dispositivos infectados para mantener el disco en su estado original; en un futuro puede que exista método de recuperación.
  • Desinfectar los dispositivos afectados y el disco clonado para intentar recuperar los archivos cifrados. Analizar todos los equipos de la empresa con un antimalware.
  • Intentar recuperar los archivos cifrados en el disco clonado previamente desinfectado. El proyecto de la EUROPOL No More Ransom cuenta con diferentes herramientas de descifrado.
  • En caso de disponer de una copia de seguridad se debe restaurar utilizando la más reciente y libre de modificaciones maliciosas.
  • Utilizar un disco nuevo o formateado, así como una instalación en limpio del sistema operativo, y restaurar la copia de seguridad más reciente a la infección.
  • No acceder al pago del ‘rescate’; pagarlo no garantiza que la información se nos devuelva y nos deja ante una posición de debilidad ante nuevos ataques o la petición de más pagos. 

Además, es recomendable interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado aportando toda la información disponible y poner en conocimiento del INCIBE-CERT el incidente. Y si se han visto afectados datos personales es necesario comunicarlo a la AEPD.

¿Cómo comunico a la AEPD una brecha de seguridad de este tipo?

Si el ataque ha afectado a los datos personales de nuestra empresa (clientes, proveedores, trabajadores, potenciales, etc.) debemos comunicar esta brecha de seguridad a la Agencia Española de Protección de Datos a través de su sede electrónica (Herramienta Comunica-Brecha).

La AEPD facilita este tipo de comunicaciones a través de una serie de formularios para determinar la gravedad de la brecha y para aportar la documentación necesaria sobre el caso. Además, dependiendo del volumen de datos, exposición y tipología de estos, puede ser necesario comunicar el incidente a los afectados.

Te ayudamos con tu brecha de seguridad

Si sois víctimas de algún ataque de este tipo, poneros en contacto con nosotros, y valoraremos la mejor forma de gestionar el caso para recuperar cuanto antes uno de los mayores activos de vuestra empresa, vuestros datos.

El equipo de PymeLegal.


Atención telefónica

93 737 64 01

Empresa finalista de la primera edición (2016-2017) Cuatrecasas ACELERA.