Actuar ante un Ransomware
El proveedor de servicios de contact center GSS, Grupo Covisian, ha sufrido recientemente un ciberataque de ransomware. Esta compañía ofrece sus servicios a empresas como Vodafone y el Canal de Isabel II. Concretamente, el servicio de atención telefónica comercial del Canal de Isabel II ha tenido que ser suspendido temporalmente.
Jaya Baloo, Chief Information Security Officer (CISO) de Avast, comenta lo siguiente al respecto de este tipo de ataques, indicando el protocolo de actuación una vez producidos:
Los ataques de ransomware suelen ser el último paso de una cadena de acontecimientos que conducen a una red informática en peligro. Para evitar que las infraestructuras críticas sufran una interrupción generalizada, deben proteger sus redes y disponer de copias de seguridad online y offline para restaurar cualquier pérdida de datos importantes. Cuando una organización se ve afectada por el ransomware, los cinco pasos a seguir serían:
- Aislar los sistemas afectados;
- Identificar y asegurar las opciones de backup;
- Recoger la información de los registros y realizar análisis forenses cuando sea necesario;
- Intentar identificar la cepa del ransomware (comprobar No More Ransom) y ver si hay una clave de descifrado disponible; y
- Ponerse en contacto con las autoridades y decidir cómo proceder.
De cara al futuro, también deberían crear un plan de respuesta a incidentes que les ayude a realizar el triaje y a proporcionar no sólo una capacidad de respuesta rápida a los incidentes de seguridad, sino también a establecer una ruta de mejora incremental. Esto llevará tiempo, pero es un proceso crítico, de lo contrario la puerta quedará abierta para que vuelva a ocurrir lo mismo en el futuro. Desgraciadamente, vemos un aumento de ataques exitosos porque los ciberdelincuentes ejecutan el ransomware como un servicio, lo que aumenta tanto la sofisticación como la facilidad para lanzar un ataque. Necesitamos una coordinación nacional para mejorar nuestras defensas en las infraestructuras críticas y una cooperación internacional para acabar con estas operaciones cibercriminales.