En caso de sufrir un ataque de ransomware, es importante actuar de manera rápida y estratégica para mitigar los daños y recuperar el control de los sistemas. Aquí te dejo una guía paso a paso sobre cómo actuar:
1. Desconectar los dispositivos infectados
- Desconecta inmediatamente el equipo afectado de la red (desactivar Wi-Fi o desconectar el cable Ethernet). Esto evitará que el ransomware se propague a otros dispositivos de la red.
- Si es posible, apaga el dispositivo, pero no lo reinicies ni lo apagues si el ataque está en proceso de cifrar archivos.
2. Informar a los responsables
- Informa al personal de sistemas de tu organización o a las personas encargadas de la tecnología.
- Asegúrate de que todos los empleados estén al tanto y que no interactúen con los sistemas afectados.
3. Identificar el tipo de ransomware
- Intenta identificar el tipo de ransomware que ha infectado tu equipo. Esto puede ser complicado, pero algunas muestras pueden dejar mensajes o extensiones de archivos específicas (por ejemplo,
.encrypted
,.locked
,.crypt
).
4. Verificar copias de seguridad
- Revisa si tienes copias de seguridad actualizadas de tus archivos. Si las copias de seguridad están almacenadas fuera del alcance del ransomware (por ejemplo, en la nube o en discos duros desconectados), puedes restaurar los datos.
- Si las copias de seguridad están también cifradas, intenta desconectar inmediatamente los dispositivos de almacenamiento de la red para evitar que el ransomware las cifre.
5. No pagar el rescate
- No pagues el rescate. Aunque pagar puede parecer una solución rápida, no garantiza que los atacantes te devuelvan el acceso a tus datos. Además, pagar fomenta la actividad criminal.
- Las autoridades y expertos en seguridad desaconsejan pagar, ya que no solo no garantiza la recuperación de los archivos, sino que también puede financiar futuros ataques.
6. Recopilar evidencia y notificar a las autoridades
- Guarda capturas de pantalla del mensaje de rescate y cualquier otra información relevante (como archivos de registro) que pueda ayudar a las autoridades a investigar el ataque.
- Notifica a las autoridades competentes, como la policía o una unidad especializada en delitos cibernéticos e informáticos. Esto puede ayudar a rastrear a los delincuentes y prevenir futuros ataques.
- En algunos países, también se recomienda informar a una agencia de protección de datos personales.
7. Usar herramientas de descifrado (si están disponibles)
- Si el ransomware es conocido y existe una herramienta de descifrado, trata de usarla. La página web de No More Ransom (www.nomoreransom.org) ofrece herramientas de descifrado gratuitas para muchos tipos de ransomware.
8. Revisar el sistema en busca de otras amenazas
- Una vez que se haya aislado el ransomware, realiza un análisis completo del sistema con un software antivirus actualizado. Asegúrate de que no haya otras amenazas o malware que puedan haber sido instalados durante el ataque.
9. Restaurar los sistemas
- Si tienes copias de seguridad confiables, restaura los archivos desde una fuente limpia.
- Si no cuentas con copias de seguridad, puedes intentar recuperar los archivos utilizando herramientas de recuperación de datos, pero ten en cuenta que el éxito no está garantizado.
10. Reforzar la seguridad para prevenir futuros ataques
- Actualiza todos los sistemas y software. Asegúrate de que los sistemas operativos, aplicaciones y antivirus estén al día con los últimos parches de seguridad.
- Habilita la autenticación de doble factor (2FA) en todas las cuentas posibles para prevenir accesos no autorizados.
- Capacita a los usuarios en buenas prácticas de ciberseguridad, como no hacer clic en enlaces o archivos adjuntos de correos electrónicos sospechosos.
- Implementa políticas de seguridad que incluyan copias de seguridad regulares y la segmentación de redes para limitar la propagación de futuros ataques.
11. Consultar con expertos
- Si el ataque es grave y afecta a sistemas críticos, considera contactar con una empresa especializada en ciberseguridad que pueda ayudarte a mitigar los efectos y restaurar la normalidad.
Prevención para el futuro:
- Realiza copias de seguridad periódicas y almacénalas en lugares seguros (en la nube o discos externos desconectados).
- Mantén actualizado el software y los sistemas de seguridad (antivirus, firewalls, etc.).
- Educa a los empleados o usuarios sobre los riesgos de phishing, los archivos adjuntos maliciosos y las prácticas seguras en línea.
Recuerda que la rapidez y la prevención son clave para minimizar los impactos de un ataque de ransomware.
Subscríbete a nuestro canal de YouTube @PCNautas
Lee también: Análisis de la GoPro HERO12 Black