zephyr_p - stock.adobe.com
Por qué es crucial la transparencia ante los ataques de ransomware
Ser transparente al sufrir un ataque de ransomware facilita reconstruir la reputación y proporciona información clave para ayudar a otros a luchar contra las amenazas en el futuro.
Cuando una empresa sufre un ciberataque, los directivos de empresas suelen eludir el tema con un lenguaje vago y admiten solo un "incidente cibernético grave", en lugar de decir la palabra "ransomware" en voz alta. Pero cuando no son transparentes sobre los ataques, nos perjudican a todos.
Los ataques de ransomware están creciendo, con ataques que se han duplicado en el último año, según nuestra propia investigación. Este es un problema que afecta a todas las organizaciones, grandes o pequeñas, independientemente del sector en el que operen.
Al no ser transparentes ante los ataques, las compañías contribuyen a ocultar la verdadera magnitud y gravedad de la amenaza. Un gran número de empresas no están preparadas para hacer frente a un ataque porque desconocen los riesgos reales. La transparencia puede ayudar a remediar esto al difundir información sobre la frecuencia de estos ataques y también sobre los métodos que utilizan los hackers.
Por qué funciona la transparencia
Las bandas de ransomware confían en que las empresas "se queden calladas". Al hacerlo, se evita que otras organizaciones reciban la información crucial que necesitan para prepararse. Esto puede llevar a la triste situación de pensar que pagar el rescate es la opción más fácil, incluso cuando no hay garantía de recuperar los datos.
A pesar de las repetidas advertencias sobre las consecuencias, demasiadas empresas siguen pagando los rescates exigidos; esto es lo que hace rentables a los grupos de ransomware, e impulsa un ciclo en el que cada ataque financia el siguiente.
Ser transparente con los detalles de un incidente ayuda a interrumpir este ciclo. Detalles como la escala de un ataque y el modo de operar de la banda ayudarán a otros a responder a estas amenazas o incluso a prevenirlas. Ser abierto con los clientes y las partes interesadas también supone una recompensa real para las empresas, en términos de reputación, al igual que ser claro sobre las medidas adoptadas para hacer frente al problema y evitar que se repita.
Los hackers confían en causar confusión y con que las compañías no están preparadas. Los ataques suelen ser el último paso de una cadena de acontecimientos, que comienza con una mala organización. Estas bandas son oportunistas y se aprovechan de los más vulnerables. La preparación puede reducir el impacto de los ataques o incluso eliminarlos por completo. Las empresas que tienen copias de seguridad en línea y sin conexión, y que además son disciplinadas en su uso, son muy resistentes a la amenaza de los hackers. Las organizaciones deben hacer que esto forme parte de sus principales prácticas empresariales.
Respuesta a un ataque
Las primeras horas de respuesta a un ataque de ransomware son críticas a la hora de minimizar los daños. Contar con un plan de acción ante incidentes es clave para actuar rápidamente y los líderes empresariales deben elegir a los empleados adecuados para elaborar el plan y ejecutarlo. Pueden ser las mismas personas, pero no siempre se da el caso de que quienes son buenos para crear planes a profundidad sean también los mejores para "apagar el fuego" cuando se produce un incidente.
En general, cuantos más colaboradores conozcan los fundamentos del ransomware –qué es, cómo se producen los ataques y cuáles son los riesgos–, mejor. Pero los negocios también necesitan contar con un equipo de especialistas que estén "a cargo" de la respuesta. En las primeras horas y días después de un ataque, se necesitarán profesionales expertos en la resolución de problemas y en la identificación de sus causas. Se debe encontrar a estas personas y utilizarlas para formar un equipo de respuesta a incidencias.
Hacer pruebas y análisis previos para prepararse frente a un ataque, así como establecer y documentar los procesos que se pondrán en marcha si se produce un suceso y realizar simulacros ayudará a poner de manifiesto cualquier problema en un plan.
En décadas anteriores, era demasiado frecuente que las compañías no adoptaran una visión holística de la infraestructura de TI y se limitaran a "tapar los agujeros" cuando aparecían. La "ingeniería del caos", en la que se experimenta con la infraestructura de TI en su conjunto para ver los efectos de futuras interrupciones, puede ayudar a las empresas a detectar los puntos débiles y a solucionarlos antes de que los hackers los aprovechen.
También vale la pena invertir en una herramienta de gestión de incidentes para ayudar a coordinar todos los diferentes departamentos y centralizar la información.
Transparencia y sus beneficios
La comunicación y las personas son fundamentales para hacer frente a una incidencia de este tipo, tanto antes, como durante y después. Por eso es tan importante que los líderes de las empresas se atrevan a ser totalmente transparentes sobre los ataques de ransomware para dotar a las organizaciones de todo el mundo de la información necesaria para prepararse para ellos. A largo plazo, esto ayudará a acabar con estas bandas para siempre.
La claridad produce resultados inmediatos para una organización con respecto a ayudar a trazar una línea bajo el incidente, en términos de reputación. Comprometerse de manera proactiva con los clientes y las partes interesadas, y ser totalmente honesto sobre el ataque desde el primer día, ayuda a reconstruir la reputación, además de proporcionar información clave para ayudar a otros a luchar contra las amenazas en el futuro. La transparencia debe estar en el centro de toda respuesta al ransomware.
Sobre el autor:
Luis Corrons es experto en Seguridad de Avast. Trabajó aproximadamente veinte años en Panda Security, antes de unirse a Avast. Es un orador muy valorado en ciberseguridad, y ha dado conferencias en eventos como Virus Bulletin, HackInTheBox, APWG, AVAR y Security BSides. Además, es reportero de WildList, miembro de la Junta Directiva de la organización para estándares de prueba de soluciones antimalware AMTSO (AntiMalware Testing Standards Organization) y forma parte del grupo de seguimiento e intercambio de URL maliciosas MUTE (Malicious URLs Tracking and Exchange).