Se consideran como ataques cibernéticos desde la obtención de información personal para fraudes financieros hasta la denegación de acceso a los servidores de una compañía para paralizar sus actividades. Le presentamos cinco pasos que se deben tener en cuenta luego de un ataque cibernético.
El cibercrimen tiene grandes fuentes de financiamiento, por lo que la prevención es una herramienta muy útil frente a estos ataques, nunca sobran consejos como encriptar toda la información que la organización considera sensible, tener sistemas de protección actualizados y efectivos, contar con contraseñas complejas que combinen letras, números, mayúsculas y minúsculas.
También se recomienda no abrir correos electrónicos o archivos adjuntos cuando dude del remitente, no acceda a redes públicas para realizar compras online. Igualmente, contar con un seguro de riesgos cibernéticos amortiza los costos que se pueden presentar ante un ataque.
Para Alfonso Chacón, Gerente de Placement y Líneas Financieras, de Willis Towers Watson, “Desde una persona del común, grandes empresas, sistema financiero y hasta gobiernos pueden ser víctimas (…) Malware, Phishing, Ransomware, virus informáticos, ataques de rechazo de servicio, suelen ahora ser palabras que se suman a nuestro diario vivir y a las que debemos prestar atención para no llegar a ser víctimas”.
Desde Willis Towers Watson recomiendan cinco pasos que se deben tener en cuenta luego de un ataque cibernético.
Determinar el alcance de la infección
En este paso, la rapidez de reacción es sumamente importante. Si previamente se tomaron los recaudos necesarios y se invirtió en el desarrollo de sistemas de gestión de contingencias, se puede lograr una rápida respuesta a ciertas preguntas, como, por ejemplo: ¿Qué sistemas han sido comprometidos y de qué manera?, ¿La infección se limita a un único equipo o subred? ¿Se han filtrado datos sensibles? ¿Se trata de datos corporativos, o de datos privados de los empleados o clientes?
Asegurar la continuidad del servicio
Si la fuga de información compromete a los empleados o usuarios finales, se deberá alertar y aconsejar a los mismos para que estén al tanto de cualquier movimiento extraño que puedan apreciar sobre sus datos. Si algún equipo físico resultó severamente comprometido, deben ponerse en marcha procesos de activación de recursos de respaldo, a fin de mantener el servicio al cliente. Por ello, resulta importante contar con una planificación de defensas contra ataques a la disponibilidad y con un procedimiento de acción definido a nivel organizacional.
Contener la infección
Esto comienza con el aislamiento de los equipos comprometidos. La suspensión de los segmentos de red, evita que la infección continúe propagándose a través de la red corporativa, e interrumpe cualquier conexión que pueda haberse establecido con el atacante para el robo de información. Resulta crucial la implementación de una solución de seguridad corporativa integral. Ésta permitirá bloquear los estragos que intente causar cualquier agente malicioso que haya logrado saltar las barreras de defensa.
Mitigar la infección y eliminar el vector de ataque
La remoción de la pieza maliciosa implica un análisis minucioso del código para comprender su funcionamiento. Las soluciones antivirus dan soporte a estas actividades, permitiendo la automatización de la desinfección y el ahorro de tiempo en el proceso de respuesta. Si los atacantes no son erradicados de la red, pueden retomar sus actividades fraudulentas sobre los equipos infectados a través de otro vector de ataque, por ello es importante aislar la falla y eliminarla del sistema. Por último, se debe fortalecer el análisis de los paquetes que transitan la red para evitar que otros equipos sean infectados y cambiar las contraseñas en las redes corporativas.
Aprender de los errores
Realizar una profunda investigación de lo acontecido, ayuda a mejorar los procesos dentro de la organización. La eliminación de vulnerabilidades, brinda la oportunidad de fortalecer el perímetro de las redes empresariales, identificando otros potenciales puntos de acceso al sistema que antes no habían sido considerados dentro del abanico de vectores de ataque.
