{"id":24774,"date":"2021-02-19T13:51:31","date_gmt":"2021-02-19T11:51:31","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=24774"},"modified":"2021-02-19T13:51:31","modified_gmt":"2021-02-19T11:51:31","slug":"ransomware-attack-what-to-do","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/ransomware-attack-what-to-do\/24774\/","title":{"rendered":"Han cifrado tus datos, \u00bfy ahora qu\u00e9?"},"content":{"rendered":"

Seguro que ya has le\u00eddo nuestros miles<\/a> de art\u00edculos sobre c\u00f3mo proteger tu red de todas las amenazas habidas y por haber. Pero a veces, y a pesar de todas las precauciones, se produce una infecci\u00f3n. Este es el momento para actuar con determinaci\u00f3n, rapidez y raciocinio. Con tu respuesta, el incidente podr\u00eda ser un tremendo dolor de cabeza para la empresa o un punto a tu favor.<\/p>\n

A medida que avanzas por el proceso de recuperaci\u00f3n, no te olvides de documentar todas tus acciones, lo que favorecer\u00e1 la transparencia tanto para los empleados como para el p\u00fablico en general. Y, sobre todo, no te olvides de hacer todo lo posible por guardar pruebas del ransomware<\/em>, ya que, en el futuro, esto te ayudar\u00e1 a localizar otras herramientas maliciosas que tengan tu sistema en el punto de mira. Esto implicar\u00e1 guardar los registros y otros rastros de malware<\/em> que podr\u00edan ser \u00fatiles para otras investigaciones.<\/p>\n

Primera parte: Localizar y aislar<\/h2>\n

El primer paso es determinar hasta d\u00f3nde ha llegado la intrusi\u00f3n. \u00bfEl malware<\/em> se ha expandido por toda la red? \u00bfA m\u00e1s de una oficina?<\/p>\n

Busca primero los ordenadores y segmentos de red infectados en la infraestructura corporativa y a\u00edslalos de inmediato del resto de la red, con el objetivo de contener la contaminaci\u00f3n.<\/p>\n

Si no hay muchos ordenadores en la empresa, comienza con el antivirus, el EDR<\/a> y los registros del firewall<\/em><\/a>. En entornos muy reducidos, tambi\u00e9n est\u00e1 la opci\u00f3n de llevar a cabo una revisi\u00f3n m\u00e1quina por m\u00e1quina f\u00edsicamente.<\/p>\n

Si hay muchos ordenadores, lo mejor es analizar los eventos y los registros en el sistema SIEM<\/a>. Esto no eliminar\u00e1 el trabajo de campo, pero es un buen inicio para plantearte el panorama completo.<\/p>\n

Despu\u00e9s de aislar las m\u00e1quinas infectadas de la red, crea im\u00e1genes de disco de estas y, si es posible, ap\u00e1rtalas hasta terminar la investigaci\u00f3n. (Si la empresa no puede costear el tiempo muerto de estos ordenadores, crea las im\u00e1genes igualmente y guarda el volcado de memoria para la investigaci\u00f3n).<\/p>\n

Segunda parte: Analizar y actuar<\/h2>\n

Una vez que hayas hecho la comprobaci\u00f3n correspondiente, te encontrar\u00e1s ante una lista de m\u00e1quinas con discos llenos de archivos cifrados, adem\u00e1s de las im\u00e1genes de estos discos. Todos est\u00e1n desconectados de la red, por lo que ya no son una amenaza. Podr\u00edas <\/em>iniciar el proceso de recuperaci\u00f3n de inmediato, pero primero garantiza la seguridad del resto de la red.<\/p>\n

Ha llegado el momento de analizar el ransomware<\/em>, de averiguar c\u00f3mo ha entrado y qu\u00e9 grupos lo utilizan normalmente, es decir, iniciar el proceso de caza de la amenaza. El ransomware<\/em> no aparece as\u00ed de la nada; un dropper<\/a><\/em>, una RAT<\/a>, un cargador de troyanos<\/a> o algo de su misma cala\u00f1a debe haberlo instalado. Tienes que buscarlo y erradicarlo.<\/p>\n

Para ello, haz una investigaci\u00f3n interna. Busca en los registros para determinar qu\u00e9 ordenador se infect\u00f3 primero y por qu\u00e9 no pudo detener el ataque.<\/p>\n

Con ayuda de tus resultados, elimina el malware<\/em> escurridizo que avanza por la red y, si es posible, reinicia las operaciones de la empresa. Despu\u00e9s, averigua qu\u00e9 lo hubiera detenido, es decir, qu\u00e9 faltaba en t\u00e9rminos de software<\/em> de seguridad y cubre todas esas fisuras.<\/p>\n

Lo siguiente es alertar a los empleados sobre lo sucedido, d\u00e1ndoles instrucciones preliminares para detectar y evitar dichas trampas y organizando posteriormente formaciones en sensibilizaci\u00f3n sobre la materia de ciberseguridad.<\/p>\n

Por \u00faltimo, y en adelante, instala las actualizaciones y parches oportunos. La gesti\u00f3n de las actualizaciones y parches es una prioridad cr\u00edtica de los administradores inform\u00e1ticas, ya que, con frecuencia, el malware<\/em> se filtra a trav\u00e9s de vulnerabilidades para las que ya existen parches.<\/p>\n

Tercera parte: Limpiar y restaurar<\/h2>\n

Hasta ahora, ya te has encargado de la amenaza a la red y de la fisura por la que entr\u00f3. Ha llegado el momento de centrarse en los ordenadores que est\u00e1n fuera de servicio. Si ya no son necesarios para la investigaci\u00f3n, formatea los discos duros y restaura los datos desde la copia de seguridad limpia m\u00e1s reciente.<\/p>\n

En caso de que no tengas una copia de seguridad, tendr\u00e1s que tratar de descifrar lo que haya en los discos. Entra en el sitio web de Kaspersky No Ransom<\/a> donde es posible que ya exista un descifrador para el ransomware<\/em> que te ha atacado; si no existe, comun\u00edcate con tu proveedor de ciberseguridad para recibir asistencia. En cualquier caso, no elimines los archivos cifrados. Con cierta frecuencia aparecen descifradores nuevos, por lo que tal vez ma\u00f1ana haya uno; no ser\u00eda la primera vez<\/a>.<\/p>\n

En ninguna circunstancia pagues. Estar\u00edas patrocinando la actividad delictiva y, a\u00fan as\u00ed, no te garantiza que acabes descifrando tu informaci\u00f3n. Adem\u00e1s de bloquear tus datos, es posible que los atacantes del ransomware<\/em> los roben<\/a> para fines de chantaje. Adem\u00e1s, pagar a ciberdelincuentes codiciosos solo los anima a pedir m\u00e1s. En algunos casos<\/a>, apenas unos meses despu\u00e9s de recibir el pago, los intrusos regresaron para pedir m\u00e1s dinero bajo la amenaza de publicar todo si no recib\u00edan un nuevo pago.<\/p>\n

En general, considera todo dato robado como de conocimiento p\u00fablico y prep\u00e1rate para enfrentarte a la filtraci\u00f3n. Tarde o temprano tendr\u00e1s que hablar sobre el incidente: con los empleados, los grupos de inter\u00e9s, agencias gubernamentales y, posiblemente, con periodistas. Una actitud abierta y honesta<\/a> es de vital importancia y de buena acogida por el p\u00fablico.<\/p>\n

Cuarta parte: Tomar medidas preventivas<\/h2>\n

Un ciberincidente importante siempre da lugar a graves problemas y la mejor protecci\u00f3n es la prevenci\u00f3n. Prep\u00e1rate por adelantado para lo que podr\u00eda salir mal:<\/p>\n