Otro nuevo ataque de ransomware, ¿y tu empresa sigue sin tomar medidas adecuadas?
Ayer fue el día donde otro ataque de ransomware tuvo una gran repercusión mediática. Posiblemente no fuera el más grave de los sufridos últimamente, pero afectó a una de las consultoras más importantes de nuestro país, Everis, y a un medio de comunicación como la Cadena Ser. Esto hace que muchas empresas cuando lo escuchan empiecen a pensar si toman las medidas adecuadas.
Lo más importante es tener una copia de seguridad a salvo. Y esto implica, una copia de nuestros datos que no esté conectada a un ordenador en el momento del ataque. Porque pagar por recuperar los datos no debe ser nunca una opción, en primer lugar porque es una extorsión que no nos garantiza que los vayamos a recuperar aunque se ingrese. Y tampoco el efecto que supone la recuperación de estos archivos cifrados en nuestros sistemas. Además es recomendable siempre denunciar.
Tener copias de seguridad a salvo de ataques
Conozco un par de casos de empresas que tuvieron que pagar. No tenían copia y la alternativa no era otra que cerrar o pagar. Recuperaron sus datos, pero pasaron más de un año con problemas diarios, fallos en sus aplicaciones y sistemas provocados por estos archivos que al descifrarse habían sufrido algún daño. El impacto en su productividad fue brutal.
Un sudor frío nos invadirá pensando si nuestra copia de seguridad funciona
Es fundamental tener un copia desconectada, un disco duro que cada día cambiamos para hacer la copia, o fuera de la empresa. En este segundo caso hay que tener cuidado con las copias de sincronización en la nube que podrían también verse afectadas o sistemas que puedan sincronizar datos entre diferentes oficinas.
Y también es fundamental realizar test de esfuerzo de forma periódica y aleatoria para saber que podemos recuperar la información. ¿Imagináis la situación de tener la copia en un disco duro externo que cuando vamos a recuperar descubrimos que está dañado?
La segunda variable a tener en cuenta es el tiempo de recuperación. Tenemos una copia buena, ¿cuánto tardamos en normalizar los sistemas? En los casos más dañinos, el ransomware no afecta solo a los archivos, sino que puede dañar también el sistema operativo de ordenadores y servidores. Y esto si no tenemos previsto un método de recuperación, implica un problema. No es raro que en muchos casos se mande a los empleados a casa.
Prevenir desde el diseño para minimizar los incidentes
Y la tercera variable es la prevención. Hay cuestiones básicas que muchas empresas no aplican. Empezando por tener sus sistemas operativos actualizados, por muy tedioso que sea, las actualizaciones de seguridad cierran muchos de estos agujeros aprovechados para estos ataques. También hacer que los usuarios trabajen con el mínimo privilegio posible, no como administradores de su equipo o instalar un cortafuegos que pare este tipo de ataques.
Mantener equipos sin actualizaciones de seguridad, algo que ocurrirá con Windows 7 en apenas dos meses es un riesgo. Y a pesar de ello muchas organizaciones siguen sin tomarse en serio esta cuestión, con equipos todavía con Windows XP dentro de sus redes.
Si el incidente ha afectado a datos personales de nuestros clientes, trabajadores, etc. hay que notificarlo a la AEPD. Existe un protocolo que las empresas deberían conocer para saber como actuar, no solo recuperando los sistemas, sino investigando el suceso y poniendo remedio a las causas del mismo para que no vuelva a ocurrir. Porque recibir un ataque no implica que no volvamos a recibir otro en un tiempo.
Imagen | madartzgraphics