Ransomware en autónomos y pymes: ¿qué hago?

Con la expansión de la digitalización y el teletrabajo en pymes también son más habituales los ciberataques. Es el caso del ramsonware, un tipo de ataque que cifra determinados datos para que no puedas acceder a ellos. En este, por lo general, los ciberdelincuentes se podrán en contacto con la empresa para pedir un rescate.

Pero, ¿cómo se debe actuar? Incibe (Insituto Nacional de Ciberseguridad) ha creado una guía con los pasos a seguir si tu negocio o empresa ha sufrido un incidente de seguridad de este tipo.

No se recomienda pagar el rescate de los archivos

En primer lugar, se debe apagar el equipo afectado. Esta será la mejor vía para que otros equipos de la red no se vean afectados y el ciberataque no vaya a más. Tampoco hay que hacer frente a ningún pago por el rescate. Esto se debe a varios motivos: por un lado, nada te va a garantizar que recuperes la información.

Pero eso no es todo, pagando se aumentan las opciones de sufrir nuevos ataques (saben que la compañía está dispuesta a pagar) y, además, estás fomentando la ciberdelincuencia, ya que consiguen el dinero, que es lo que buscan.

Si la empresa cuenta con un plan de respuesta ante este tipo de incidentes es el momento de ponerlo en marcha. Así se minimizarán los daños y, además, se podrá volver a la actividad en menos tiempo. Para aquellos negocios o compañías que no tienen este plan de respuesta, se recomienda utilizar la última copia de seguridad disponible.

También se debe denunciar el incidente ante la Policía Nacional o la Guardia Civil

Los pasos a seguir, recomendados por Incibe, son muy concretos. Como ya habíamos dicho, en primer lugar habrá que apagar el equipo. También se tendrá que aislar de la red para poder trabajar con él sin miedo a afectar al resto de equipos. Asimismo, se deben tener en cuenta otros dispositivos o aplicaciones (como la nube) que se pudiesen ver afectados. Cambiar las contraseñas será un buen primer avance, sin olvidarse de volver a cambiarlas cuando se elimine el ramsonware.

Lo recomendable es hacer una clonación del disco duro para tratar de recuperar los datos sobre este clon. Si no existe solución, se recomienda guardar por si en un futuro la hubiese (ya que las nuevas tecnologías y soluciones avanzan rápidamente). A la hora de salvar datos importantes se deben tener en cuenta documentos y otros archivos no ejecutables, ya que en estos será en los que se pueda encontrar cualquier virus o ataque.

También se pueden coger documentos y ficheros como pruebas (o el propio disco duro entero) que nos servirán para presentarlas ante Guardia Civil y Policía Nacional. Este tipo de ataques también son delitos, por lo que se recomienda su pertinente denuncia ante las autoridades.

Al haber clonado el disco duro se podrá trabajar sobre él. Primero desinfectando todo su contenido, eliminando todo los archivos y programas infectados, y luego tratando de recuperar toda la información. En este caso deberá aplicarse algún tipo de antivirus o antimalware.

Existen entidades que pueden ayudar y asesorar en la recuperación del equipo

Por último, llegará el momento de intentar recuperar y restaurar los equipos que hubiesen sido afectados. Para el paso de recuperación de datos será útil la web Nomoreransom.org, que tiene disponible una base de datos con este tipo de ataques y sus soluciones. También está la Línea de Ayuda a la Ciberseguridad de Incibe, para guiar a las compañías en este procedimiento.

Asimismo, también es recomendable contactar con el proveedor de software de tu antivirus, por si tuviese alguna solución. En especial en el caso de que no se hubiesen encontrado por las vías anteriores. Conviene recordar que, en muchas ocasiones, puede que estas aún no estén disponibles aunque lo puedan estar próximamente.

El último paso será el restaurar la copia de seguridad, siendo la última previa a la infección. Esto hará que ya se pueda continuar con la actividad con normalidad. Para ello debe tratarse de un disco nuevo o del antiguo, pero totalmente formateado y desinfectado, evitando así una reinfección.