Un ransomware ha cifrado mis datos. ¿Qué puedo hacer?

En la actualidad, existen múltiples amenazas que cada día se ciernen sobre las empresas y los usuarios, y de todas ellas, quizá la más devastadora sea el “Ransomware”.

Desde la época del archiconocido virus “Barrotes” (si, son historias del abuelo cebolleta), los ciberdelincuentes han estado utilizando distintas formas de obtener beneficio económico a costa de empresas y particulares.

Un “Ransomware” es un tipo de virus cuyo principal efecto es el cifrado de todos los datos almacenados en el equipo infectado. Además, el virus intentará propagarse de forma masiva a otros equipos de la red. Lo hará a través de carpetas compartidas, explotación de vulnerabilidades o cualquier otro medio que tenga a su alcance.

Habitualmente el vector de entrada suele ser un correo electrónico, que incluye el virus como un adjunto, camuflado en una factura, documento ofimático, o cualquier otro formato que invite al usuario a descargarlo y ejecutarlo en su equipo.

El resultado de este tipo de infecciones suele ser un bloqueo total de la empresa que lo sufre, que no podrá acceder (temporal o definitivamente) a sus archivos, bases de datos, etc…

En los ataques mediante “Ransomware”, existe siempre un ciberdelincuente con cara y ojos (aunque no podamos verle). El ciberdelincuente, mediante algún mensaje fácilmente visible en los equipos infectados realizará una oferta: Nos entregará el software necesario para recuperar nuestros archivos a cambio de una cierta cantidad de dinero, habitualmente en criptomonedas (Bitcoin es la más conocida).
Esto es un chantaje, de los de toda la vida, pero en versión 3.0.

En ese momento, suenan las alarmas, los teléfonos empiezan a echar humo y todo el mundo se pone muy nervioso, porque la empresa ha quedado paralizada.

¿Qué debemos hacer en ese momento? Quiero indicaros 5 pautas básicas que quizá puedan ayudaros si desafortunadamente os véis en medio de un incidente de este tipo.

1. Evaluar la situación y mantener la calma.

Antes de actuar, es muy importante que podamos tomarnos un minuto de respiro, sentarnos y evaluar la situación de la forma más objetiva posible.
Si tomamos decisiones en caliente, luego podemos arrepentirnos.

Debemos identificar el tipo de “Ransomware” con el que estamos lidiando (el mensaje del ciberdelincuente o la extensión de los archivos cifrados suelen ser indicadores bastante fiables), por si existieran “antidotos” ya conocidos.

En este momento, una buena opción es contactar con un experto en respuesta ante incidentes de ciberseguridad, que nos ayude a gestionar toda esta situación.

¿Pero cómo nos dices que nos gastemos más dinero en contratar a alguien con la que tenemos encima?

Un cliente cabreado 😉

La respuesta es sencilla: El problema ya lo tienes. Ahora debes decidir si te ayudas de un profesional que quizá, con suerte (dado que no es un dios todopoderoso) pueda ayudarte a salir de esta situación con el mínimo daño posible, o intentas salir de él con tus propios medios.

Si quieres saber qúe hace un experto en respuesta ante incidentes, te invito a que consultes este otro artículo: El forense digital: La figura clave para la respuesta ante incidentes de seguridad informática

Una salida muy habitual en estos casos es denunciar el caso ante las FCSE (Policía, Guardia Civil, etc…). Esto es una opción en algunos casos, pero ellos no pueden ayudarte en una gestión completa de todo el incidente (desde el punto de vista técnico, legal, judicial, etc…). Desafortunadamente en el 99% de estos casos, es imposible identificar al ciberdelincuente, lo cual complicará el que un juez autorice la investigación de los hechos.

2. Localizar la última copia de seguridad disponible

En caso de “Ransomware”, la copia de seguridad es nuestro mejor aliado. Nunca antes, ese proceso tan tedioso y repetitivo, tan denostado en muchos casos, te va a ser más útil.

Debemos localizar la copia más reciente con la que se cuenta (por cada equipo o servicio afectado) y comprobar que la copia no está cifrada (si la teníamos en una unidad de red, el “bicho” puede haberla cifrado tambíen).

Si tenemos esa copia (y es suficientemente reciente), podemos empezar a respirar más tranquilos. Únicamente habrá que restaurar estas copias para intentar recuperar la normalidad lo antes posible.

La restauración se deberá hacer siempre que sea posible sobre equipos o discos nuevos, puesto que algunos “Ransomware” pueden esconderse hasta en la “BIOS” de nuestros equipos.

3. ¿Negociación? En algunos casos, no queda más remedio

Si desafortundamente no tenemos una copia de seguridad mínimamente válida, seguimos teniendo un grave problema.

Ante la pregunta de si debemos negociar o pagar el rescate que nos piden un ciberdelincuente que nos ha infectado con un “Ransomware”, la respuesta académica es que NO.

Pero los que leáis este pequeño post entenderéis que dile tu a un empresario que ve peligrar todo su negocio, que de ninguna manera debe pagar, y que su única solución es dar todo por perdido y comenzar todo de nuevo desde cero.

Por tanto, si nos vemos en la necesidad de negociar con el ciberdelincuente, ahí van algunos pequeños consejos:

• Tener en cuenta que el pago NUNCA garantiza que vayamos a recuperar los archivos.
• Nunca, nunca, nunca realizar ostentación o mostrar al ciberdelincuente que estamos “excesivamente” necesitados.
• Intentar negociar una cifra razonable y asumible.

4. Recuperación de los ficheros cifrados por el “Ransomware”

En caso de que la negociación haya resultado éxitosa, el ciberdelincuente probablemente os hará llegar un programa (o varios) y os dará las instrucciones para descifrar vuestros archivos.

En este punto es primordial no trabajar nunca sobre los ficheros originales. Siempre trabajad a partir de una copia, puesto que si algo falla, no perderéis estos ficheros. Algunos ciberdelincuentes son tan profesionales que cuentan con un servicio de atención al cliente, que nos ayudará a resolver las incidencias que podamos tener a la hora de recuperar nuestros datos.

Todo lo que hagáis, debéis intentar realizarlo en una máquina aislada de la red, que debemos desechar (o formatear) tras el uso, porque nunca se sabe qué pueden contener los ficheros que el malo nos ha enviado a cambio de nuestro dinero.

5. Tomar medidas de prevención ante futuros casos

Si finalmente, tras pasar unas horas agobiantes, hemos podido escapar con éxito de un incidente de este tipo, lo más importante es poder sacar conclusiones de lo que ha ocurrido y tomar medidas para que no vuelva a ocurrir.

Un análisis forense del incidente puede ayudarnos a identificar cómo se ha producido la infección. Si se han visto afectados datos personales, posiblemente tengáis que reportar el incidente a la Agencia Española de Protección de Datos o al Centro Criptológico Nacional (si se trata de una administración pública).

Y sobre todo, debéis enfocar vuestras medidas en 2 focos: Concienciacíon y Copias de Seguridad.

Los usuarios son siempre el eslabón más débil de la cadena, y es conveniente que estén formados sobre cómo actúal los ciberdelincuentes y cómo protegerse de este tipo de ataques.

Y respecto a las copias de seguridad, se deben revisar todas las políticas, para asegurarse de que siempre se cuenta con una copia actualizada.

A día de hoy, lo más seguro es contar con un sistema de backup hibrido (interno + externo en la nube), que cuente con medidas de cifrado y seguridad. De esta forma, si el “Ransomware” accediera a las copias internas, siempre pudieran recuperarse las externas.

Por ejemplo, la empresa Securizame tiene un servicio de backup que está pensado justo para evitar este tipo de problemas.

Espero que este artículo os haya resultado interesante. Podéis dejarme vuestros comentarios aquí, o si tenéis cualquier duda o cuestión, podéis mandarme un mail y os contestaré encantado.

!Happy Hacking!