A pesar de los esfuerzos conjuntos de varias entidades en contra de las amenazas de tipo ransomware y la continua presión sobre las bandas que operan los grupos de ransomware, los ataques exitosos todavía están en los titulares de los medios internacionales. No solo las grandes empresas u organizaciones son quienes están en la mira de los ciberdelincuentes, sino también entidades de gobierno y empresas más pequeñas que pueden carecer de medios suficientes para defenderse de este tipo de ataques.

Derivado de esto de acuerdo con una publicación de la empresa ESET, se realizan las siguientes recomendaciones en caso de que su negocio se vea afectado por un ataque de ransomware o si tiene la intención de prepararse por si esto llegara a ocurrir en algún momento, estas cinco medidas son las que puede llevar a cabo en conjunto con sus equipos de TI para minimizar el impacto que podría ocasionar un incidente de estas características:

1.- Realizar copias de seguridad
Muchas empresas afectadas por el ransomware descubren que sus copias de seguridad están en mal estado o que faltan datos clave. Esto se mencionó en el ataque a Colonial Pipeline, donde pagaron de forma temprana a los criminales por temor a las demoras en la restauración de los datos a partir de las copias de seguridad. Sin embargo, lo irónico fue que, después de pagar, descubrieron que la herramienta de descifrado proporcionada para recuperar los archivos era tan lenta que de todos modos se restauraron los sistemas a partir de las copias de seguridad, por lo que aún no está claro hasta qué punto realmente necesitaban pagar para descifrar y recuperar la información.

Ante una situación tan preocupante como es sufrir un ataque de ransomware, debe tener una gran confianza en la solidez y calidad de sus respaldos de información (backups).

2.- Saber cómo restaurar sus copias de seguridad
Cuando llega el momento de hacer uso de estas copias en medio de un incidente, puede ser demasiado tarde para descubrir la cantidad de información faltante y las demoras que pueden provocar en la restauración de las copias de seguridad.

También se debe de procurar tener varias copias de seguridad con diferentes tecnologías para evitar contratiempos si una presenta algún problema en el futuro. Sorprendentemente, esto ha sido uno de los factores que más tiempo logra ahorrar en caso de eliminar o sobrescribir archivos accidentalmente, pero también es de ayuda al momento de la recuperación ante incidentes. Los discos duros son mucho más baratos que sus datos críticos, así que no tema comprar más.

3.- Comprobar que sus copias de seguridad en la nube funcionen
Si bien es conveniente realizar una copia de seguridad en la nube, una restauración desde aquí puede resultar en un proceso muy lento, especialmente cuando hablamos de grandes volúmenes. Si lo que necesita restaurar desde la copia de seguridad es una lista de contactos, está bien. Pero si tiene que restaurar imágenes de disco a lo largo de toda su empresa, puede resultar un proceso de mucho tiempo lento.

Además, los propios proveedores de la nube tienen problemas de seguridad y pueden ser impactados, lo que podría exponer sus copias de seguridad a personas no autorizadas y utilizada para fines malintencionados, así que asegúrese de contar con medidas de seguridad adecuadas y que estén bien configuradas. Para los datos más sensibles algunas organizaciones nunca tocan la nube simplemente para proteger su información contra ataques. Para las copias de seguridad de este tipo de información a menudo los medios de almacenamiento no están conectados a ninguna red, sino que están separados en redes aisladas y almacenados físicamente de forma segura.

4. Estar preparado para la restauración
Puede ser abrumador realizar un simulacro de recuperación ante desastres en toda la organización, pero puede ser más factible elegir de manera aleatoria una parte específica del organigrama y realizar un simulacro de recuperación ante desastres. Cuando lo haga, es muy probable que identifique cosas que debería cambiar. Estos hallazgos son muy positivos ya que no hay nada mejor que detectar estas necesidades de mejora cuando no existe la presión de un ataque real.

Además, estos hallazgos son una gran noticia para los altos ejecutivos cuando entienden que están aprendiendo a través de la práctica para poder estar más preparado. Hasta que se realiza el proceso de restauración a partir de una copia de seguridad, no se sabe si se realizó correctamente o no. Puede evitar esta incertidumbre realizando pruebas periódicas de restauración, idealmente en una computadora diferente para poder verificar que los datos valiosos de su empresa son íntegros. Recuerde que el mejor momento para poner a prueba una copia de seguridad es antes de que la necesite debido a una emergencia.

5. Tener un plan o estrategia
Se debe tener un plan o estrategia para saber qué hacer en caso de que un ataque de ransomware ocurra. Por ejemplo: ¿contratará a un negociador o dispone de un equipo capacitado para dialogar con los atacantes y sus reclamos? Decisiones como esta son difíciles de tomar bien cuando el ataque está activo, por lo que prepararse para este posible escenario y saber responder ante situaciones adversas serán siempre de gran ayuda.

Referencias:
https://www.welivesecurity.com/la-es/2021/06/22/cosas-deberia-hacer-prepararse-ataque-ransomware/