Lunes 8:00 a.m. Fernando Gómez, director de la empresa GetorDoc S.L. llega a su oficina, y se dispone a encender su ordenador. Como todos los días introduce el usuario y contraseña para poder empezar a trabajar. Pero nota algo raro, no tiene acceso a ningún tipo de información almacenada en el servidor corporativo de la organización. En un primer momento Fernando confía en que, como otras veces le había sucedido, habrá algún problema técnico de fácil solución reiniciando la máquina. O en el peor de los casos restaurando la copia de seguridad realizada el día anterior.

Fernando espera que no sea nada porque el día de hoy se presenta con bastantes tareas por hacer. Tiene que cerrar un contrato muy importante con un cliente que puede suponer una gran parte de la facturación del próximo año. Además, en su mesa también tiene pendientes para este mes obligaciones ineludibles como el pago del IVA, y demás impuestos que tiene que presentar a través de la sede electrónica de la Seguridad Social y Hacienda. Afortunadamente todo el papeleo lo tiene preparado, tan sólo tiene que presentarlo.

Mientras va organizando el día y las tareas por hacer, Fernando se dirige al armario donde tienen alojado el servidor de archivos con Windows 2003. Al reiniciar el equipo, Fernando se queda atónito mientras lee el siguiente mensaje en la pantalla del servidor:

«Hola, he cifrado todos los datos importantes de tu empresa…»

Además, comprueba que han desaparecido todas las carpetas del servidor, tanto del disco duro C: de aplicaciones, como las del disco D: de datos. También observa que ha aparecido un archivo BACKUP.crypt que imagina será el fichero cifrado por los ciberdelincuentes que mencionaban en su mensaje. Pero lo que no podía imaginar Fernando cuando cogió el disco duro extraíble enchufado al servidor, es que las copias de seguridad hechas, también habían sido eliminadas por los ciberdelincuentes.

Fernando no da crédito a lo que le ha podido ocurrir. Descuelga el teléfono para llamar a su proveedor de servicios informáticos…nunca pudo recuperar la información.

¿Qué ha ocurrido?

Este es un caso de ransomware de cifrado. Técnica por la que un ciberdelincuente accede al servidor corporativo (en este caso un Windows server 2003) a través del escritorio remoto “Remote Desktop Protocol” (RDP), accesible desde internet, debido a la falta de seguridad del mismo (contraseñas poco robustas), cifrando la información de los discos duros, y solicitando el pago de un rescate para recuperar la información, comúnmente unos 3.000 Dólares.

Desgraciadamente, este tipo de secuestro de información es una realidad que ocurre en las empresas españolas. Una muestra de ello es que, desde nuestro centro de respuesta a incidentes de seguridad – CERT del Instituto Nacional de Ciberseguridad (INCIBE), durante los últimos 6 meses se han contabilizado un total de 23 incidentes relacionados con ransomware de cifrado. Lamentablemente una parte de ellos pagan para recuperar la información de su empresa, y no siempre consiguen recuperar la información.

¿Qué hacer si somos víctimas de un secuestro de información?

En caso de vernos envueltos en un incidente de este tipo, intenta resolverlo sin contactar con los asaltantes, ya que no existe ninguna garantía de recuperar los datos una vez efectuado el pago y además puedes convertirte en un potencial objetivo de futuros ataques.

Estos son los pasos que deberías seguir:

• Denuncia lo ocurrido ante las FCSE – Fuerzas y Cuerpos de Seguridad del Estado (Policía o Guardia Civil ), para que los hechos puedan ser investigados. No todos estos casos llegan a ser esclarecidos, pero al menos servirá para poner de relevancia la problemática legislativa de estos casos y dimensionar adecuadamente la problemática de la ciberdelincuencia.
• El Instituto Nacional de Ciberseguridad (INCIBE), ofrece, a través del CERT de Seguridad e Industria (CERTSI), un servicio de asistencia y soporte desde el cual puedes solicitar asistencia ante un incidente de seguridad.
• Ponte en contacto con tu proveedor de servicios informáticos o una empresa especializada en ciberseguridad. Puedes ver un listado de empresas especializadas en ciberseguridad en el Catálogo STIC de INCIBE.

En cualquier caso, algunas de las recomendaciones generales para intentar resolver el incidente pasan por:

1. Verificar si dispones de una copia de seguridad de los datos, que permita restaurar los sistemas e información.
2. Antes tocar nada en el servidor, realiza un clonado de los discos duros y dispositivos afectados, para disponer siempre de la situación inicial de partida, y para que en caso de una investigación puedan aportarse como pruebas.
3. Si no disponemos de una copia de seguridad reciente, intenta recuperar los datos borrados, mediante herramientas de recuperación de datos, que nos podría permitir recuperar parte de la información borrada.
4. Valora formatear el equipo afectado y si tienes una copia de seguridad, restaurar los datos.

En la mayoría de los casos, no es posible la recuperación de los datos sin la clave utilizada para su cifrado. Ten en cuenta que el pago del rescate solicitado por los atacantes no garantiza la recuperación de la información, y puede alentar a los ciberdelincuentes a continuar realizando este tipo de ataques contra tu entorno y contra otras empresas.

¿Qué hacer para que no nos suceda?

Sin duda alguna, en este tipo de incidentes, la prevención es la medida principal. La realización de copias de seguridad y el mantenerlas de forma independiente a los servidores para que no puedan ser accedidas por los ciberdelincuentes es la primera medida que debemos aplicar.

Pero se debe completar junto con otro conjunto de consejos de seguridad que tanto el propio empresario y todos los empleados, junto con su departamento o proveedor de servicios informáticos, deben llevar a cabo:

• Revisar mensualmente la publicación de actualizaciones críticas de Microsoft y de seguridad para posteriormente aplicarlos.
• Comprobar que el antivirus se encuentre activo y actualizado.
• Utilizar contraseñas robustas (no usar palabras del diccionario, utiliza números, mayúsculas, minúsculas y símbolos con una longitud de 12 caracteres como mínimo), sobre todo para aquellas utilizadas para el escritorio remoto.
• Establecer una política de bloqueo de cuentas , de modo que si se hacen demasiados intentos fallidos para iniciar sesión con una cuenta, ésta sea bloqueada como medida de precaución. Esto reducirá el riesgo de ataques de fuerza bruta.
• Utilizar herramientas de análisis de seguridad y vulnerabilidades como Microsoft Baseline Security Analyzer para obtener una base de seguridad en el servidor.
• Eliminar o deshabilitar aquellas cuentas de acceso al servidor que no sean necesarias, y mantén un control sobre las cuentas que se encuentran en el grupo Remote Desktop Users.
• Evitar tener accesible el puerto del servicio de escritorio remoto (3389/tcp) a internet y utiliza en su lugar servicios de VPN (SSL VPN/IPSec/etc.).
• Reconfigurar los routers: Los equipos de red como los routers requieren alguna configuración para que sean seguros. No te limites a usarlos directamente recién sacados de la caja con su configuración por defecto, cambia la contraseña, configura de forma segura la red WiFi y deshabilita los servicios que no sean necesarios como por ejemplo Universal Plug and Play – UPnP .
• Realizar periódicamente copias de seguridad, guárdalas en un lugar diferente al origen de los datos y verifica puntualmente que se realizan correctamente. Por ejemplo, restaurando una copia de seguridad y verificando los datos restaurados.

Teniendo en cuenta la gravedad de la situación en la que se puede encontrar una empresa, sin duda alguna seguir estos pasos pueden reducir la probabilidad de que esto suceda. Ya has visto lo que le ha ocurrió a Fernando Gómez, define una «hoja de ruta» en tu empresa y aplica estos consejos.