grandeduc - Fotolia
Consejos para recuperarse de un ataque de ransomware
Recuperarse del ransomware es un proceso complejo y costoso, y cualquiera puede sufrir un ataque. Tomar precauciones y actuar antes podría salvar sus datos y una buena cantidad de dinero.
El ransomware es una amenaza generalizada en el mundo de TI y puede dirigirse a cualquiera. Gracias a la tecnología en evolución y los guiones bien practicados, incluso los profesionales experimentados en el mundo de la protección y recuperación de datos pueden encontrarse bajo asedio.
Todavía estoy sorprendido de haber sido víctima de un ataque de ransomware. Como analista, escritor y educador, he estado involucrado en actividades relacionadas con la seguridad durante muchos años, pero aún así me convertí en una víctima. Gran parte del enfoque en el ransomware hoy en día es la prevención, pero la recuperación del ataque de ransomware es un tema igual de importante. Aquí discutiré lo que sucedió, cómo respondí y las lecciones que aprendí del incidente.
Cada ataque de ransomware es único, y las tácticas evolucionan constantemente. Con suerte, esta experiencia lo ayudará a sentar las bases para un plan de recuperación de ransomware y evitar errores comunes.
El ataque inicial
Mi experiencia con el ransomware comenzó de una manera que será familiar para muchos: Estaba en internet cuando, de repente, la pantalla del portátil mostró un mensaje que decía que mi computadora había sido bloqueada.
Error No. 1. Mantuve el sistema encendido, en lugar de apagarlo. Una vez que leí el mensaje, llamé al número que aparece en la pantalla para tener el bloqueo deshabilitado y, por supuesto, ese fue el comienzo de mi experiencia. La gente en el otro extremo parecía muy amigable y comprensiva, pero para salir de mi apuro, tuve que hacer la primera de lo que se convirtió en varias «inversiones».
A pesar del nombre, la parte de rescate inicial del ataque rara vez se presenta como tal. En lugar de eso, los datos de una víctima se reportan como bloqueados, y el dinero requerido para desbloquear los datos se presenta como pago por los servicios destinados a ayudar.
En mi situación, la inversión inicial fue de aproximadamente $400, más $4 por mes durante un año para obtener los «servicios de seguridad» de la empresa. Me enviaron un documento con información de contacto y la promesa de que, si experimentaba problemas adicionales, podría llamar al número proporcionado y recibir asistencia. Lamentablemente, para desbloquear mi computadora portátil tuve que entregar el control del sistema a la empresa.
Error No. 2. Nunca ceda el contacto de su sistema a otra persona, especialmente con alguien que usted no conoce. Sin que yo lo supiera, mientras se realizaban las reparaciones, mis salvadores de hecho estaban navegando dentro de mi sistema, buscando contraseñas y otros mecanismos de acceso, lo que complicaba aún más mi plan de recuperación en el futuro.
Pronto, mi portátil fue «arreglada» y volvió a mí. Todo parecía estar bien en ese momento. Es cierto que me faltaban $400 y $50 adicionales para el próximo año, pero erróneamente pensé que mis problemas habían terminado.
Seguimiento
Unos días más tarde, cometí el error de responder a mi teléfono cuando el identificador de llamadas entrantes decía «no disponible».
Error No. 3. Si no es un número o mensaje que conoce, no lo conteste. Uno de los aspectos más difíciles de la recuperación de ataques de ransomware, junto con el hecho de que podría no darse cuenta de que sus datos están siendo atacados, es que mientras las líneas de comunicación estén abiertas, el ataque continuará. Tomé la llamada, y fue la misma empresa que me rescató de antes. Pero esta vez fue un mensaje nuevo y bien practicado.
Afirmaron que accidentalmente me habían «acreditado» con $3.000 y querían que les devolviera su dinero. Lo que no me di cuenta en ese momento, y luego me enteré, para mi horror, fue que habían ingresado en mis cuentas bancarias y movido $3.000 de una cuenta a otra, afirmando que habían acreditado accidentalmente mi cuenta. En el momento entré en pánico, ya que amenazaron con bloquear mi sistema nuevamente si no les enviaba el dinero.
Todo el sentido de la razón me dejó en ese momento, así que procedí a obtener tarjetas de efectivo de Google y moví $ 2.000 a esas tarjetas. Los atacantes cuentan con este tipo de reacción para seguir recibiendo pagos de una víctima, por lo que mantener la calma es clave para la recuperación del ataque de ransomware.
A continuación, coloqué esas tarjetas en mi impresora/escáner, y la empresa examinó las tarjetas de Google para obtener los fondos. No hace falta decir que querían más.
Me dijeron que habían instalado software en mi sistema que podían activar en cualquier momento para bloquear mi computadora. Para entonces, les había pagado $2,400. Busqué en mi unidad C y encontré el software, pero no pude eliminarlo, ya que requería una contraseña que no tenía. Durante este tiempo todavía no apagaba mi sistema.
Cuando finalmente apagué el sistema y lo volví a encender, parecía estar funcionando normalmente. Pero, por supuesto, la firma ya había accedido a contraseñas y otros artículos de seguridad.
Recuperación y consecuencias del ataque de ransomware
Dejé de contestar llamadas de números desconocidos y llevé el sistema a un Best Buy local donde tenían un Geek Squad en funcionamiento. Compré un contrato de servicio de $200 que fue válido por un año. El Geek Squad tomó mi computadora portátil y al día siguiente eliminaron el software incorrecto, limpiaron mi sistema e instalaron un bloqueador de anuncios y un firewall más fuerte en comparación con el software existente en mi computadora portátil. Un día después, volví a Best Buy y compré otra computadora portátil por $700, configurada de manera similar a mi computadora portátil normal e hice que Geek Squad instalara las mismas herramientas de seguridad y bloqueador de anuncios que instalaron en mi sistema primario.
Una vez que traté el aspecto tecnológico de mi respuesta de ransomware, comencé a abordar las repercusiones financieras. Me puse en contacto con mi banco, que congeló mis cuentas hasta que pude resolver los problemas de seguridad de mi computadora. También cambié las contraseñas, y desde entonces he sido mucho más diligente al pasar tiempo en internet.
Al evocar el proceso de ransomware, mis atacantes no solo pudieron seguir pidiéndome más dinero, sino que también dificultaron mi recuperación final. Cuanto más tiempo tengan para ocupar su sistema, más difícil será para usted recuperar los datos y volver al trabajo como de costumbre. A continuación, algunos de los puntos clave que aprendí:
- Manténgase alejado de sitios web sospechosos y desconocidos. Podrían ser un frente para hackers listos para lanzar ataques de phishing y ransomware.
- Si algo amenaza el sistema, apague el dispositivo de inmediato y desconecte cualquier contacto con internet.
- Instale software de bloqueador de anuncios para reducir la probabilidad de navegar a un sitio web riesgoso.
- Instale software de seguridad de nivel militar y un firewall tan potente como pueda permitirse.
- Si cree que podría haber sido víctima de un ataque de ransomware, no responda llamadas con mensajes de identificación de llamadas como «no disponible» y «restringido». Si es posible, responda solo las llamadas de una persona que conoce hasta que se resuelva el problema.
- Este tipo de incidentes puede suceder a prácticamente cualquier persona, y los hackers lo saben. Habrán formulado guiones que son muy convincentes cuando tratan con las víctimas y están diseñados para provocar el pánico que puede hacer que usted esté más inclinado a pagar.
Mi experiencia me costó casi $3.500, una lección muy costosa proveniente del descuido y la creencia de que mi sistema estaba seguro.