¿Cómo prevenir los ciberataques y su impacto?

Durante el día de ayer se produjeron ciberataques masivos dirigidos a diversas empresas españolas, utilizando técnicas de Ransomware con el objetivo de interrumpir operaciones, bloquear equipos y solicitar una recompensa a cambio de deshacer el ataque. Según hemos podido observar, y por la información que manejamos, el ataque se produce a través del adjunto de un correo malicioso que afecta a los equipos de Windows que no tengan la última actualización de seguridad.

Un ataque de ransomware está basado en un programa informático malintencionado que bloquea, mediante técnicas de cifrado, el acceso a determinados datos o archivos de los sistemas o aplicaciones infectadas. Se usa para causar disrupción, tanto a empresas como a individuos, a quienes se les pide un rescate para que puedan volver a acceder a sus datos o aplicaciones.

Una vez sufrido un ataque de estas características, desde el equipo de ciberseguridad de KPMG recomendamos las siguientes medidas preventivas básicas: en primer lugar, informar a usuarios sobre este ataque, recordando como mínimo que “NO se debe pinchar con el ratón sobre ningún enlace”, que “NO se debe ejecutar o abrir documentos adjuntos en un correo sospechoso” y/o “notificar al equipo de ciberseguridad cualquier sospecha”. En segundo lugar, asegurarse de que las medidas de control de emails están efectivamente funcionando, por ejemplo, escaneo de antivirus de emails y adjuntos. En tercer lugar, dirigirse a la página web del Centro Criptológico Nacional (www.ccn-cert.cni.es) para consultar información sobre otras medidas técnicas. Finalmente, y una vez los equipos se han visto comprometidos, tendremos que activar los planes de contingencia definidos para estos ataques.

Estos planes deben permitir la restitución de la información cifrada por el ransomware, lo cual se puede realizar bien a partir de las copias de seguridad de datos que se dispongan (es vital para las organizaciones contar con un plan de Copias de Seguridad y Recuperación de datos probado y ágil) o bien por la disponibilidad del descifrado del virus de ransomware. Esta solución solo es posible en aquellos casos en los que los proveedores de tecnologías de seguridad hayan podido realizar una ingeniería inversa del malware para poder neutralizarlo.

Asimismo, y una vez que se haya producido la infección y se conozca cuál es el ransomware y su mecanismo de infección y propagación, se pueden configurar los sistemas de protección de la red (como los firewalls) para detectar el virus y detenerlo antes de que infecte al resto de activos de la red. Si la red aún no ha sido infectada, este procedimiento es el que nos garantizará la prevención de que se reproduzca la infección, junto con otras buenas prácticas como el mantenimiento actualizado a la última versión de todos los parches de seguridad que los fabricantes publican de sistemas operativos, de todos los sistemas antivirus, y también de los sistemas perimetrales y de análisis de la red de la organización.

 

Autor: Marc Martínez es socio responsable de servicios de Ciberseguridad de KPMG en España.

Fuente: Cinco Días. Publicado el 13 de mayo de 2017