¿Está mi organización lista para hacer frente a un ciberataque?

En anteriores publicaciones nos hemos preguntado “¿Por qué mis datos interesan a los ciberdelincuentes? Y sobre todo “¿Es posible evitar ataques a través de los mails? ¿Cómo? También hemos informado de algún caso en que un ataque ha sido gestionado de forma a disminuir su afectación y el tiempo de recuperación posterior.

Sin embargo, siguen siendo generalidades, muchas, lejos de nuestro entorno. Ahora, queremos responder a la pregunta: “¿Está mi organización lista para hacer frente a un ciberataque?”.

En vez de hacer una árida lista con los elementos que debemos tomar en cuenta antes, durante y después de un ciberincidente, hoy queremos simular un ataque, para así poder ilustrar cómo debería ser la reacción de nuestra organización (en un escenario ideal, claro). Puede que nos sorprenda la aparente sencillez de la situación aquí presentada, la hemos simplificado para hacer que su lectura sea más amena. Pero la realidad suele ser mucho más complicada y dolorosa.

Un viernes como cualquier otro … O no

Estamos a viernes, son las 17h45 y la semana está a punto de terminar. Los 85 empleados van a poder disfrutar de un merecido descanso de fin de semana. Pablo, el responsable financiero, sigue delante de su pantalla. De pronto ve que algunos nombres de ficheros han cambiado y que no los puede abrir. Su instinto le dice que debe llamar e informar a Enrique, su contacto del departamento de informática. Enrique no contesta, pero por suerte, Pablo tiene su número de móvil personal.

Enrique no es un especialista en ciberseguridad, pero entiende que podría tratarse de una tentativa de secuestro de datos (ransomware). Al mismo tiempo que sigue hablando con Pablo, por teléfono, se conecta a la consola del antivirus y constata que, efectivamente, el software ha detectado “anomalías” en 3 dispositivos, entre ellos el de Pablo. El ordenador de María, la presidenta, y el de Alberto, jefe de ventas, también podrían estar infectados.

Pablo comenta que desde que descargó un fichero adjunto de un correo, temprano esa tarde, su ordenador va lento. Además, el fichero nunca se abrió. Enrique entiende que ese correo es, probablemente, el elemento a partir del cual se ha generado el ataque.

Preguntas que debemos hacernos

  • ¿Saben los empleados a quién contactar, aún los fines de semana, en caso de duda o cuando detectan una situación de emergencia?
  • ¿Están nuestros trabajadores formados para detectar las situaciones problemáticas, dudosas o de emergencia y dar la alarma?
  • ¿Tenemos una solución de detección de malwares en todos los dispositivos y servidores de la organización?
  • ¿Hay alguien encargado de vigilar esa solución de detección de malwares en todo momento o bien descubriremos los daños el lunes por la mañana?

¿Necesitas un colaborador experto, de confianza, para vigilar tu solución de detección de malwares y a quien poder contactar en caso de necesidad?

No dudes en contactar a ESCUDA, ya sea por teléfono, al 931 931 848, o rellenando este:

  1. Solicitar Ayuda experta

Enrique entiende rápidamente que no tiene los conocimientos necesarios para responder a este ataque. Está muy preocupado al pensar que, por ahora, solo se han identificado a 3 empleados que han descargado el fichero infectado, pero es muy probable que muchos otros hayan recibido también eses correo y también lo hayan descargado.

¡Es cuestión de tiempo antes que la infección esté fuera de control! Por lo que decide contactar a una antigua colega, Ana, especialista en ciberseguridad.

Enrique explica rápidamente la situación a Ana, quien le recomienda las siguientes acciones:

  • Cortar las comunicaciones de los dispositivos infectados con la red local e Internet. Esta acción evita la exfiltración de datos, la contaminación cruzada y la recepción de ordenes malintencionadas por parte de personas externas a la empresa.
  • Borrar el correo malicioso de todos los buzones de correo de la compañía. Esta acción evita que más personas descarguen el malware y la infección se extienda.
  • Revocar los accesos de Pablo, María y Alberto a los sistemas de la empresa, como el sistema de contabilidad y los sistemas en red. La revocación de los accesos permite limitar las posibilidades de que los atacantes puedan acceder a los sistemas de la empresa.
  • Examinar los registros (logs) de los principales sistemas de la empresa y verificar si se han realizado acciones ilegítimas desde los dispositivos de Pablo, María o Alberto. ¿Hay algún archivo que haya sido leído y/o potencialmente extraído?

Preguntas sobre el acceso a la Ayuda

  • ¿Tenemos acceso, en todo momento, a expertos en ciberseguridad que puedan ayudarnos en caso de ataque?
  • ¿Podemos aislar rápidamente los dispositivos de trabajo o servidores de nuestra red y de Internet, incluso en un contexto de teletrabajo?
  • ¿Sabemos a qué tienen acceso nuestros trabajadores y tenemos la capacidad de revocar rápidamente esos accesos? Para limitar la contaminación y conocer la envergadura potencial de los daños
  • ¿Tenemos acceso rápido a los registros clave de los sistemas para poder comprender el alcance potencial de los daños?

Evaluar los daños

Por suerte, Enrique pudo realizar con rapidez las operaciones que Ana le recomendó. La empresa tenía las herramientas adecuadas, estaban bien configuradas y Enrique tenía la experiencia y los permisos suficientes, para poder controlar rápidamente la amenaza.

Ana, ahora, invita a Enrique a evaluar los daños. Los registros de los sistemas clave nos permiten pensar que no hubo accesos ilegítimos a ellos.

Resulta necesario evaluar los archivos presentes en los dispositivos afectados. Ana recomienda las siguientes acciones:

  • Identificar, con las víctimas, si sus dispositivos contenían archivos con información confidencial.
  • Verificar si esos ordenadores establecieron conexiones con destinos (servidores) externos desconocidos y/o sospechosos.
  • Verificar, con las víctimas, si tenían acceso a más sistemas informáticos que aquellos cuyo acceso ha sido revocado y asegurarse de que estén bien aislados.
  • Tomar una muestra del malware del ordenador de Pablo y analizarlo. En caso de ser un malware conocido, a menudo es posible encontrar información adicional que nos facilite la eliminación completa de este huésped hostil y malintencionado.

Preguntas sobre la Evaluación de los daños

  • ¿Tenemos un proceso de escalado que nos permita comunicar rápidamente con les victimes potenciales en caso de ciberincidente?
  • ¿Sabemos dónde se encuentra la información sensible en nuestra empresa, como la información sobre los empleados, nuestros proveedores, nuestros clientes, nuestra propiedad intelectual? Si esta información esté copiada en varios lugares, resulta difícil demostrar que no ha sido robada en caso de incidente de seguridad.
  • ¿Disponemos de un inventario actualizado de los sistemas a los que tiene acceso cada trabajador? Cuando el dispositivo o la identidad digital de un empleado se ve comprometida, resulta mucho más fácil evaluar el impacto del incidente si sabemos a qué información pueden haber tenido acceso los ciberdelincuentes.
  • ¿Tenemos el conocimiento y experiencia internos para realizar la identificación de un malware en un dispositivo electrónico y evaluar su naturaleza?

¿No sabes quién te puede ayudar en caso de que tus datos y/o comunicaciones hayan sufrido un ciberataque?

¿Necesitas asistencia para evaluar los daños y recuperar la normalidad?

Contacta con ESCUDA , ya sea por teléfono, al 931 931 848, o rellenando este:

La recuperación

Con la ayuda de Ana, Enrique ha podido identificar el malware. La técnica de erradicación fue sencilla y se pudo llevar a cabo con rapidez. Además, por suerte, no había ningún dato confidencial en los dispositivos contaminados. Se siguieron las precauciones habituales antes de restablecer los dispositivos de las víctimas.

Una historia que termina bien, tan bien que podríamos pensar que es una ficción organizada por el encargado de seguridad. Normalmente este no es el caso, la respuesta al ataque es mucho más caótica y los daños mayores.

Por lo que debemos responder a las siguientes preguntas:

  • ¿Tenemos copias de seguridad actualizadas y que funcionan?
  • En caso afirmativo, ¿podemos usarlas?
  • ¿Qué información confidencial ha potencialmente caído en manos de los cibercriminales?
  • ¿Debemos informar a nuestros trabajadores, clientes, socios, a nuestro seguro?
  • ¿Debemos reportar el incidente a las autoridades? ¿Qué debe contener la notificación de la brecha de seguridad?

No olvidemos

No basta con haber “aprobado” una auditoría de ciberseguridad, aún con nota, para estar preparado ante un ciberataque. Debemos ser capaces de reaccionar con rapidez y tomar las decisiones correctas, de lo contrario los daños podrían ser considerables.

 

Puedes contar con ESCUDA para acompañarte en todo el proceso de seguridad informática de tu empresa, desde realizar una auditoría de seguridad, hasta ayudarte en caso de incidente o vulneración, sin olvidar formar y concienciar a tus equipos en ciberseguridad. Contáctanos al 931931848 o cumplimentado este formulario.

ESCUDA – Servicios informáticos para guiar a las PYMES y demás organizaciones en su Evolución Digital Segura

¿Necesitas soporte en gestión TIC?
Habla con ESCUDA

Pide Más Información o habla con un especialista

Teléfono +34 931 931 848 | horario 8.00h – 18.00h.

¿Necesitas soporte en gestión TIC?
Habla con ESCUDA

Pide más información o habla con un especialista

Teléfono +34 931 931 848 | horario de atención 8.00h – 18.00h.

Puede que estos artículos te gusten

¿Qué es Pegasus? El software espía más famoso

¿Qué es Pegasus? El software espía más famoso

A mediados de 2021, en Francia, se comenzó a hablar mucho del software Pegasus. Un software espía o ‘spyware’ que parecía afectar a dispositivos móviles. Sobre todo smartphones de personalidades nacionales, incluido al jefe de estado francés, Emmanuel Macron.  Desde...

Leer más
¿Nos afecta la ciberguerra? Riesgos y medidas preventivas

¿Nos afecta la ciberguerra? Riesgos y medidas preventivas

Este mes de enero, los vientos de guerra pasaron de ser una mera posibilidad a ser una tempestad que, de la mano de Rusia, está azotando a Ucrania. Más allá del conflicto armado en sí, lo novedoso que comporta este conflicto es que va acompañado de una importante...

Leer más

¿Te ha gustado este artículo?

Comparte esta publicación con quien tú quieras