¿Está mi organización lista para hacer frente a un ciberataque?
En anteriores publicaciones nos hemos preguntado “¿Por qué mis datos interesan a los ciberdelincuentes?” Y sobre todo “¿Es posible evitar ataques a través de los mails? ¿Cómo?” También hemos informado de algún caso en que un ataque ha sido gestionado de forma a disminuir su afectación y el tiempo de recuperación posterior.
Sin embargo, siguen siendo generalidades, muchas, lejos de nuestro entorno. Ahora, queremos responder a la pregunta: “¿Está mi organización lista para hacer frente a un ciberataque?”.
En vez de hacer una árida lista con los elementos que debemos tomar en cuenta antes, durante y después de un ciberincidente, hoy queremos simular un ataque, para así poder ilustrar cómo debería ser la reacción de nuestra organización (en un escenario ideal, claro). Puede que nos sorprenda la aparente sencillez de la situación aquí presentada, la hemos simplificado para hacer que su lectura sea más amena. Pero la realidad suele ser mucho más complicada y dolorosa.
Un viernes como cualquier otro … O no
Estamos a viernes, son las 17h45 y la semana está a punto de terminar. Los 85 empleados van a poder disfrutar de un merecido descanso de fin de semana. Pablo, el responsable financiero, sigue delante de su pantalla. De pronto ve que algunos nombres de ficheros han cambiado y que no los puede abrir. Su instinto le dice que debe llamar e informar a Enrique, su contacto del departamento de informática. Enrique no contesta, pero por suerte, Pablo tiene su número de móvil personal.
Enrique no es un especialista en ciberseguridad, pero entiende que podría tratarse de una tentativa de secuestro de datos (ransomware). Al mismo tiempo que sigue hablando con Pablo, por teléfono, se conecta a la consola del antivirus y constata que, efectivamente, el software ha detectado “anomalías” en 3 dispositivos, entre ellos el de Pablo. El ordenador de María, la presidenta, y el de Alberto, jefe de ventas, también podrían estar infectados.
Pablo comenta que desde que descargó un fichero adjunto de un correo, temprano esa tarde, su ordenador va lento. Además, el fichero nunca se abrió. Enrique entiende que ese correo es, probablemente, el elemento a partir del cual se ha generado el ataque.
Preguntas que debemos hacernos
- ¿Saben los empleados a quién contactar, aún los fines de semana, en caso de duda o cuando detectan una situación de emergencia?
- ¿Están nuestros trabajadores formados para detectar las situaciones problemáticas, dudosas o de emergencia y dar la alarma?
- ¿Tenemos una solución de detección de malwares en todos los dispositivos y servidores de la organización?
- ¿Hay alguien encargado de vigilar esa solución de detección de malwares en todo momento o bien descubriremos los daños el lunes por la mañana?
- Solicitar Ayuda experta
Enrique entiende rápidamente que no tiene los conocimientos necesarios para responder a este ataque. Está muy preocupado al pensar que, por ahora, solo se han identificado a 3 empleados que han descargado el fichero infectado, pero es muy probable que muchos otros hayan recibido también eses correo y también lo hayan descargado.
¡Es cuestión de tiempo antes que la infección esté fuera de control! Por lo que decide contactar a una antigua colega, Ana, especialista en ciberseguridad.
Enrique explica rápidamente la situación a Ana, quien le recomienda las siguientes acciones:
- Cortar las comunicaciones de los dispositivos infectados con la red local e Internet. Esta acción evita la exfiltración de datos, la contaminación cruzada y la recepción de ordenes malintencionadas por parte de personas externas a la empresa.
- Borrar el correo malicioso de todos los buzones de correo de la compañía. Esta acción evita que más personas descarguen el malware y la infección se extienda.
- Revocar los accesos de Pablo, María y Alberto a los sistemas de la empresa, como el sistema de contabilidad y los sistemas en red. La revocación de los accesos permite limitar las posibilidades de que los atacantes puedan acceder a los sistemas de la empresa.
- Examinar los registros (logs) de los principales sistemas de la empresa y verificar si se han realizado acciones ilegítimas desde los dispositivos de Pablo, María o Alberto. ¿Hay algún archivo que haya sido leído y/o potencialmente extraído?
Preguntas sobre el acceso a la Ayuda
- ¿Tenemos acceso, en todo momento, a expertos en ciberseguridad que puedan ayudarnos en caso de ataque?
- ¿Podemos aislar rápidamente los dispositivos de trabajo o servidores de nuestra red y de Internet, incluso en un contexto de teletrabajo?
- ¿Sabemos a qué tienen acceso nuestros trabajadores y tenemos la capacidad de revocar rápidamente esos accesos? Para limitar la contaminación y conocer la envergadura potencial de los daños
- ¿Tenemos acceso rápido a los registros clave de los sistemas para poder comprender el alcance potencial de los daños?
Evaluar los daños
Por suerte, Enrique pudo realizar con rapidez las operaciones que Ana le recomendó. La empresa tenía las herramientas adecuadas, estaban bien configuradas y Enrique tenía la experiencia y los permisos suficientes, para poder controlar rápidamente la amenaza.
Ana, ahora, invita a Enrique a evaluar los daños. Los registros de los sistemas clave nos permiten pensar que no hubo accesos ilegítimos a ellos.
Resulta necesario evaluar los archivos presentes en los dispositivos afectados. Ana recomienda las siguientes acciones:
- Identificar, con las víctimas, si sus dispositivos contenían archivos con información confidencial.
- Verificar si esos ordenadores establecieron conexiones con destinos (servidores) externos desconocidos y/o sospechosos.
- Verificar, con las víctimas, si tenían acceso a más sistemas informáticos que aquellos cuyo acceso ha sido revocado y asegurarse de que estén bien aislados.
- Tomar una muestra del malware del ordenador de Pablo y analizarlo. En caso de ser un malware conocido, a menudo es posible encontrar información adicional que nos facilite la eliminación completa de este huésped hostil y malintencionado.
Preguntas sobre la Evaluación de los daños
- ¿Tenemos un proceso de escalado que nos permita comunicar rápidamente con les victimes potenciales en caso de ciberincidente?
- ¿Sabemos dónde se encuentra la información sensible en nuestra empresa, como la información sobre los empleados, nuestros proveedores, nuestros clientes, nuestra propiedad intelectual? Si esta información esté copiada en varios lugares, resulta difícil demostrar que no ha sido robada en caso de incidente de seguridad.
- ¿Disponemos de un inventario actualizado de los sistemas a los que tiene acceso cada trabajador? Cuando el dispositivo o la identidad digital de un empleado se ve comprometida, resulta mucho más fácil evaluar el impacto del incidente si sabemos a qué información pueden haber tenido acceso los ciberdelincuentes.
- ¿Tenemos el conocimiento y experiencia internos para realizar la identificación de un malware en un dispositivo electrónico y evaluar su naturaleza?
La recuperación
Con la ayuda de Ana, Enrique ha podido identificar el malware. La técnica de erradicación fue sencilla y se pudo llevar a cabo con rapidez. Además, por suerte, no había ningún dato confidencial en los dispositivos contaminados. Se siguieron las precauciones habituales antes de restablecer los dispositivos de las víctimas.
Una historia que termina bien, tan bien que podríamos pensar que es una ficción organizada por el encargado de seguridad. Normalmente este no es el caso, la respuesta al ataque es mucho más caótica y los daños mayores.
Por lo que debemos responder a las siguientes preguntas:
- ¿Tenemos copias de seguridad actualizadas y que funcionan?
- En caso afirmativo, ¿podemos usarlas?
- ¿Qué información confidencial ha potencialmente caído en manos de los cibercriminales?
- ¿Debemos informar a nuestros trabajadores, clientes, socios, a nuestro seguro?
- ¿Debemos reportar el incidente a las autoridades? ¿Qué debe contener la notificación de la brecha de seguridad?
No olvidemos
No basta con haber “aprobado” una auditoría de ciberseguridad, aún con nota, para estar preparado ante un ciberataque. Debemos ser capaces de reaccionar con rapidez y tomar las decisiones correctas, de lo contrario los daños podrían ser considerables.
Puedes contar con ESCUDA para acompañarte en todo el proceso de seguridad informática de tu empresa, desde realizar una auditoría de seguridad, hasta ayudarte en caso de incidente o vulneración, sin olvidar formar y concienciar a tus equipos en ciberseguridad. Contáctanos al 931931848 o cumplimentado este formulario.
ESCUDA – Servicios informáticos para guiar a las PYMES y demás organizaciones en su Evolución Digital Segura
¿Necesitas soporte en gestión TIC?
Habla con ESCUDA
Pide Más Información o habla con un especialista
Teléfono +34 931 931 848 | horario 8.00h – 18.00h.
¿Necesitas soporte en gestión TIC?
Habla con ESCUDA
Pide más información o habla con un especialista
Teléfono +34 931 931 848 | horario de atención 8.00h – 18.00h.
Puede que estos artículos te gusten
10 tips para actualizar el software… Hazlo por Ciberseguridad
Los dispositivos digitales y el software que usamos a diario están expuestos a fallos de seguridad. Esos fallos pueden ser usados por cibercriminales para tomar el control de un ordenador, de un equipo móvil o hasta de un reloj digital. Actualizar el software, clave...
Phishing: Ciberataque de suplantación de identidad por email y SMS
Hemos sido víctimas de phishing. ¿Qué hacemos? El phishing consiste en el envío de un SMS o un mail fraudulento, destinado a engañar a la víctima, para animarla a comunicar datos personales y/o bancarios, haciéndose pasar por un tercero de confianza. ¿Qué hacer...
