Revista Pueblos Mágicos
altonivel
Back to edition Full screen Share
Accessibility Font size
A- A+
Animations
Reportaje

Secuestro de datos: 10 tips para saber qué hacer

Compañías de todo el mundo están enfrentando un rápido incremento de ransomware o secuestro de datos. Fortinet, proveedor mundial en soluciones de ciberseguridad amplias, integradas y automatizadas, preparó una lista de verificación para ayudar a las organizaciones a lidiar con este tipo de ataques.

Por: Alto Nivel Swipe

Continua en la historia

Swipe Desliza a la izquierda para continuar

Eduardo Zamora

Director general de Fortinet México

| Urge evaluar las políticas de seguridad

La pandemia y sus respectivas cuarentenas alrededor del mundo obligaron a las empresas a trabajar de manera remota. La hiperconectividad que resultó de esta situación potenció los ciberataques, por lo cual las amenazas de ransomware o secuestro de datos son cada vez más frecuentes.

El ransomware es un tipo de ciberataque que restringe el acceso a determinadas partes o archivos del sistema operativo y pide un rescate a cambio de quitar esta restricción. Generalmente, el delincuente ingresa a los sistemas a través de un correo electrónico que contiene un enlace malicioso o un archivo infectado.

Un informe reciente del panorama global de amenazas de FortiGuard, el laboratorio de inteligencia de amenazas de Fortinet demostró que los ataques de ransomware se multiplicaron por siete en la última mitad de 2020.

Eduardo Zamora, director general de Fortinet México, afirma que las tácticas de los cibercriminales continúan cambiando y ya no basta con instrumentar las estrategias defensivas adecuadas. Es necesario evaluar continuamente las políticas de seguridad para garantizar que las redes ofrezcan respuestas actualizadas frente a este tipo de ataques.

“El mercado necesita adaptarse a la nueva realidad; la sola estrategia de prevención ya no es válida. Los clientes deben invertir en capacidades de prevención, detección y respuesta para tener una postura de seguridad moderna”, enfatiza Zamora. Por estas razones, los expertos en seguridad de Fortinet han preparado la siguiente lista de verificación para ayudar a las organizaciones a lidiar con un ataque de ransomware en el caso de que ocurra.

| 10 Recomendaciones

1 No entrar en pánico y ejecutar un plan de respuesta:

El primer paso es mantener la calma y comenzar a ejecutar un plan de respuesta a incidentes (IR). Si no se tiene un plan de respuesta a incidentes, se debe solicitar ayuda al proveedor de seguridad o buscar el asesoramiento de expertos. Muchas organizaciones utilizan servicios de respuesta a incidentes como el que ofrece el equipo de respuestas de Fortinet, FortiGuard.


 

2 Aislar los sistemas y detener la propagación:

Existen múltiples técnicas para aislar la amenaza y evitar que se propague. En primer lugar, identifica el alcance del ataque. Si te diste cuenta de que el incidente se extendió, aplica bloqueos a nivel de red, como el aislamiento del tráfico en el conmutador o en el borde del firewall; o considera interrumpir temporalmente la conexión a internet. Si está disponible, la tecnología de detección y respuesta para endpoint puede bloquear el ataque a nivel de proceso, lo que sería la mejor opción inmediata con una interrupción mínima del negocio. La mayoría de los atacantes encuentran una vulnerabilidad para entrar en la organización, como un RDP (Remote Desktop Protocol) expuesto, correos electrónicos de suplantación de identidad u otro método para introducirse en el entorno.


 

3 Identificar la variante de ransomware:

Muchas de las tácticas, técnicas y procedimientos (TTP) de cada variante de ransomware están documentadas públicamente. Determinar con qué variante se está tratando puede dar pistas sobre la ubicación de la amenaza y de la forma como se está propagando. Dependiendo de la amenaza, algunas herramientas de descifrado pueden estar disponibles para recuperar los archivos.

Dependiendo de la amenaza, algunas herramientas de descifrado pueden estar disponibles para recuperar los archivos.

4 Identificar el acceso inicial:

Determinar el punto de acceso inicial o paciente cero ayudará a identificar y cerrar el agujero en la seguridad. Los vectores de acceso inicial más comunes son el phishing o suplantación de identidad, las vulnerabilidades de software (como los servicios de escritorio remoto) y el uso no autorizado de credenciales. Determinar el punto de acceso inicial es a veces difícil y puede requerir la experiencia de equipos digitales expertos en IR.


 

5 Identificar todos los sistemas y cuentas infectadas:

Identifica cualquier malware activo o restos persistentes en los sistemas que aún se comunican con el servidor de comando y control (C2). Las técnicas de persistencia más comunes incluyen la creación de nuevos procesos que ejecutan la carga útil maliciosa, el uso de claves de registro de ejecución o la creación de nuevas tareas programadas.


 

6 Localizar las copias de seguridad y determinar su integridad:

Un ataque de ransomware intentará borrar las copias de seguridad en línea y las instantáneas de volumen para disminuir las posibilidades de recuperación de los datos. Por esa razón, Fortinet recomienda asegurarse de que la tecnología de copias de seguridad no se haya visto afectada por el incidente y que siga operando. Como sucede en muchos casos, los ataques de ransomware suelen estar en la red durante días, incluso semanas, antes de cifrar los archivos. Esto significa que puedes tener copias de seguridad que contengan cargas útiles maliciosas que no quieras restaurar en un sistema limpio. Analiza tus copias de seguridad para determinar su integridad.

7 Sanear los sistemas o crear nuevas construcciones:

Si confías en tu capacidad para identificar todo el malware activo y los incidentes de persistencia en tus sistemas, entonces puedes ahorrar algo de tiempo al no reconstruirse. Sin embargo, puede ser más fácil y seguro crear sistemas nuevos y limpios. Incluso considera la posibilidad de crear un entorno limpio, completamente separado, al que puedas migrar. Esto no debería llevar demasiado tiempo, si estás ejecutando un entorno virtual. Cuando reconstruyas o sanees tu red, asegúrate de que se han instalado los controles de seguridad adecuados y que se siguen las mejores prácticas para garantizar que los dispositivos no se vuelvan a infectar.


 

8 Informar del incidente:

Es importante informar del incidente. También debes determinar si es necesario y obligatorio informar. Si el ataque es grave y tu empresa se extiende por varias regiones geográficas, es posible que tengas que ponerte en contacto con los servicios policiacos federales, en lugar de con la policía local.


 

9 ¿Pagar el rescate?

Los expertos recomiendan no pagar el rescate. Sin embargo, si lo estás considerando, contrata una empresa de seguridad con conocimientos especializados para que te ayude. Además, pagar el rescate no va a reparar las vulnerabilidades que los atacantes explotaron, así que asegúrate de haber identificado el acceso inicial y parchar las vulnerabilidades.

10 Finalmente, realiza una revisión posterior al incidente:

Revisa tu respuesta a incidentes para comprender lo que ha ido bien y documentar las oportunidades de mejora. Esto asegurará la mejora continua de tus capacidades de respuesta y recuperación para el futuro. Considera la posibilidad de simular los detalles técnicos y no técnicos del ataque para revisar tus opciones.

Aunque los ataques seguirán, es importante seguir los lineamientos de expertos, como Fortinet, en el caso de que vuelvan a ocurrir. Una sola acción no detendrá a los delincuentes. Para evitar los ataques, debes efectuar una serie de acciones constantes y eficaces en toda el área.

“La seguridad es un proceso; no es una acción única. Es necesario encarar el problema del ransomware con decisión e inversión. Tener solo una estrategia de prevención no basta; hay que invertir tanto en la capacidad de prevención como en la detección y reacción. Es aconsejable privilegiar una visión central y unificada de toda la superficie de ataque. Incorporar capacidad de análisis y reacción a velocidad digital, asistida por inteligencia artificial para tener una detección temprana y respuesta automatizada, es crítico por el volumen de información”, concluye Zamora. AN

Obtén más información AQUÍ

Compartir