Gestión de ciberataques: Cómo actuar ante un ciberataque

De Esteban Sardanyés

pasos a seguir ante un ataque informático

Cada empresa española recibe de media 66 ciberataques al año según Accenture. 66 oportunidades que tienen los ciberdelincuentes para robarte información confidencial y bloquear tu sistema, provocando que tus empleados no puedan seguir trabajando. Una situación que puede llegar a ser crítica si no se dispone de las medidas de seguridad suficientes. 

Disponer de una estrategia de ciberseguridad es importante para preservar la confidencialidad e integridad de la información, así como garantizar la continuidad de la actividad empresarial. 

Dentro de esta estrategia, también es importante diseñar un buen Disaster Recovery Plan, puesto que los planes de ciberseguridad pueden no ser del todo infalibles si no se han tenido en cuenta las vulnerabilidades y brechas de seguridad del sistema. 

Pero, ¿cómo debo actuar si mi empresa ha sido atacada? Esta es una de las preguntas que tu estrategia de ciberseguridad deberá responder, a través de un protocolo con el procedimiento a seguir en caso de ataque, para que tú y tu equipo podáis actuar de forma rápida, segura y eficaz. 

Pasos a seguir para gestionar un ciberataque

Poner en marcha un plan de respuesta

El plan de respuesta es un documento en el que se recogen las acciones a realizar en caso de haber sido atacado. Vamos por pasos. 

El primer paso de todos será realizar una auditoría e identificación de la amenaza. Valorar si se trata de una amenaza real y el nivel de gravedad que puede representar para la organización. 

La segunda acción recogida dentro del plan de respuesta es la comunicación y notificación, es decir, una vez detectado el incidente, el plan debe recoger el procedimiento para notificar el problema a todas las personas implicadas en el equipo de respuesta de manera inmediata. Para ello, es importante que dispongas de un equipo de respuesta perfectamente organizado, con responsabilidades bien definidas y disponible las 24h del día, 7 días a la semana. 

El tercer factor a tener el cuenta es definir cómo será la comunicación externa y cómo se afrontará esa crisis de forma pública, tanto en los medios de comunicación como en redes sociales.

La cuarta acción a determinar será la metodología y tecnología que se empleará para eliminar la amenaza y reducir su impacto en la empresa. Para ello, deberás coordinar a todo el equipo encargado de hacer frente al ataque, para poder desactivar el “estado de alarma” lo antes posible y evitar una gran catástrofe. Toma nota de los departamentos que deberás movilizar:

  • Departamento de tecnología: Este será el equipo encargado de hacer frente al ataque o amenaza, intentando devolver el sistema informático a la normalidad lo antes posible. 

  • Departamento legal: Este departamento será el encargado de notificar a la AEPD de la sustracción de datos y los usuarios afectados. También deberá evaluar las consecuencias legales y encontrar las fórmulas para resolverlas. 

  • Gabinete gestión de crisis: Es el encargado de iniciar las acciones necesarias para disminuir el daño a la marca y minimizar la crisis de reputación. 

Por último, el plan de respuesta debe contemplar un apartado de evaluación final y desactivación del plan. Una vez que se haya desactivado el virus, el equipo de respuesta debe evaluar de nuevo la situación y decidir si ha llegado el momento de desactivar el “estado de alarma” generado. 

Además, será el momento de actualizar el plan de respuesta teniendo en cuenta las vulnerabilidades o brechas de seguridad por las cuales ha podido entrar el virus y encontrar la solución de seguridad adecuada para solventarlas y evitar nuevos ataques. 

Cómo resolvemos en ESED los problemas de malware

Además de disponer de un buen plan de actuación para amenazas o ataques de malware en las empresas, contemplamos la posibilidad de abordar el problema a través de 3 posibles escenarios:

Primer escenario

Puede entrar un cliente sin crisis o sin haber activado el “estado de alarma”, creyendo que no está infectado, pero cuando desplegamos nuestros sistemas, detectamos que está infectado o comprometido. 

Segundo escenario

Tenemos un cliente en situación de crisis o “estado de alarma”, desplegamos nuestras soluciones para mitigar la crisis, o al menos evitar la propagación del malware y luego, con la situación bajo control, se plantea cómo restablecer el sistema, como por ejemplo, tirar de copias de seguridad si las hay (o comprobar si están comprometidas también). 

Tercer escenario

Este es el escenario que más nos gustaría pero el más improbable. Desplegamos las soluciones en los sistemas del cliente y comprobamos que dispone de unos correctos niveles de seguridad informática.

¿Qué hacemos frente al escenario 1 o 2? 

Detectados los escenarios 1 y 2 debemos proceder a través de los siguientes pasos:

  • Despliegue endpoint: Desplegar la solución endpoint, a poder ser con EDR, puesto que nos permite blindar los dispositivos y rastrear las interacciones entre ellos, para ver si hay algo que intenta pasar entre equipos. Si no es posible desplegar la solución endpoint porque hay un malware latente, primero hay que aislar estas máquinas, instalar el resto y finalmente atender a las máquinas aisladas, para ver si es posible proceder a su saneamiento o su re-maquetado (formateo). 

  • Seguridad perimetral, firewalls o sistemas antiphishing: Después de desplegar la solución endpoint, es importante actualizar los firewalls y soluciones antiphishing a la última versión estable (incluso equipos de usuario, PCs, tablets, smartphone, camaras de seguridad y cualquier elemento que se conecte a la red).

Nueva llamada a la acción

  • Análisis repositorios de datos: Con la perimetral en orden, se analizan todos los repositorios de datos. Analizamos los reportes e información de los sistemas desplegados, y si todo es correcto, procedemos a atacar nosotros al cliente, para comprobar cómo de seguro es el sistema ahora. 

  • Resolver brechas de seguridad: Analizados los resultados, resolvemos las brechas que encontramos (siempre hay alguna) y finalmente podemos decir que tenemos un sistema sano. 

No obstante, todo este trabajo debe ser continuo. En nuestro equipo siempre decimos que la ciberseguridad es como ir al gimnasio, si vas dos meses seguidos algo se notará, pero si entonces abandonas, todo lo conseguido se perderá. 

Y esto es lo que hacemos en ESED ante ataques informáticos. ¿Necesitas que analicemos si tu empresa está en peligro? Puedes contactar con nosotros en el siguiente enlace

Nueva llamada a la acción