Cómo preparar a mi empresa contra ataques ransomware: ciberseguridad y copias de seguridad
Muchas empresas no tienen claro qué medidas de seguridad pueden poner en marcha para intentar contener el peligro que supone para ellas el ransomware. Otras ya lo han sufrido y aplican alguna medida pero quizás no tengan clara la foto completa de los agujeros de seguridad que tiene su empresa. Por eso hoy vamos a ver cómo preparar a mi empresa contra ataques ransomware: ciberseguridad y copias de seguridad.
Es un tema clave que implica un alto coste económico, en tiempo de inactividad y también en reputación de marca o empresa. Y los cibercriminales lo saben y juegan con ello para poner sus tarifas. Se puede contratar un ciberseguro, que nos compensa económicamente, pero no lo harán si no hemos tomado las medidas correctas.
Porque hablamos que una pyme de media puede pagar unos 10.000 euros de rescate, según datos de Sophos en 2021. Pero no queda solo ahí, el coste medio de la recuperación puede ser hasta 10 veces mayor. Esta es la razón por lo que muchas empresas y ven el ciberseguro como un básico.
Igual que un seguro de un vehículo no te indemniza o cubre tus daños si conduces superando la tasa de alcolemia permitida, con el ransomware ocurre lo mismo. Sin medidas básicas de protección no hay indemnización. ¿Y cuáles son estas medidas? Vamos a hacer un repaso por las principales.
Tu ciberseguridad depende de una copia de seguridad a salvo
La principal solución para mantener nuestros datos a salvo es una copia de seguridad. Se trata de crear un sistema de copias rotativo, escalable y que siempre tenga una copia buena a salvo, en un medio que no esté al alcance del ataque.
Lograrlo es tan sencillo como hacer la copia en un disco externo y después desconectarlo. Pero siempre debemos tener al menos una copia a salvo. ¿Qué ocurre si solo tenemos un disco de copia y el ataque ocurre cuando está conectado y se ve afectado? Mejor tener como mínimo dos discos.
Lo ideal es tener un sistema de copias rotativo, cada día se hace la copia en un dispositivo diferente, un esquema de copia diaria y otro diferente para fin de semana, o en caso de ser necesario, que permita la recuperación de datos de meses o años atrás.
Otras alternativas a esta cuestión es una copia en la nube, una copia fuera de la oficina o un NAS con particiones de disco que no son accesibles para los usuarios y equipos de nuestra red. Si además tenemos instantáneas de volumen de nuestros datos, mejor todavía.
Por último hay que tener en cuenta que no solo se trata de recuperar datos. En ocasiones también se ven afectados los sistemas críticos, como los servidores. Un puesto de trabajo es más sencillo de recuperar. Además suelen estar apagados. En el caso de los servidores, crear una copia virtual y mantenerla a salvo es una práctica cada vez más extendida si lo que buscamos es trabajar lo más rápido posible si tenemos un incidente.
Sistemas siempre actualizados, cerrando puertas a los ciberataques
Otro de los problemas que podemos sufrir es que los ciberatacantes aprovechan una vulnerabilidad conocida, que en muchos casos ya se ha solucionado, pero que nosotros por diferentes motivos, no lo hayamos hecho. Por eso es fundamental aplicar las actualizaciones de seguridad en los equipos de la red.
Tampoco mantener equipos con sistemas obsoletos, que ya no tienen soporte ni actualizaciones de seguridad. Hoy en día es un riesgo que muchas empresas simplemente no se pueden permitir. Sin embargo, es mucho más común de lo que parece encontrar todavía algún equipo con Windows Xp en las empresas.
No solo se trata de los sistemas. También necesitamos actualizar las aplicaciones. Y aquí ocurre exactamente lo mismo que con los sistemas. Nuestras aplicaciones tienen que estar al día. Muchos de los ataques aprovechan estos agujeros de seguridad que son públicos para engañar al usuario e introducir el software que acaba por cifrar nuestros datos.
En las empresas el problema suele estar en aquellas aplicaciones desarrolladas a medida, que en muchos casos se han quedado obsoletas y carecen del mantenimiento necesario para aplicar mejoras. En muchos casos porque ya no quieren seguir en el futuro con este programa, en otros simplemente porque la persona o empresa que hizo el desarrollo ha desaparecido.
Trabajo en remoto, pero de forma segura
Por último, un aspecto que en muchas ocasiones no se tiene en cuenta es la seguridad de las conexiones que emplean teletrabajadores. En un momento de máxima expansión y de necesidad en muchos casos, la prioridad de las empresas ha sido la funcionalidad.
Muchos empleados pueden trabajar desde casa como si estuvieran en la oficina, pero en ocasiones esto abre la puerta a ciberataques si no hemos tomado las medidas necesarias. Y en muchos casos estas puertas siguen abiertas.
Hay que tener control de quién puede acceder a nuestra empresa, también con el teletrabajo
Estas conexiones deben ir cifradas, por ejemplo a través de una aplicación de terceros que nos facilitan dicha conexión. En otros casos lo que utilizamos es una VPN, Virtual Private Network, ya sea por hardware o software, que se encarga de levantar un túnel de comunicaciones cifrado entre el ordenador de casa y el de la oficina al que nos conectamos.
De esta manera el tráfico de datos y el acceso a la red de la oficina se encuentra más protegido que si simplemente hemos abierto un puerto en nuestro router para conectarnos a través del escritorio remoto sin ninguna seguridad y manteniendo una puerta a nuestra red que pueda generar algún problema.
Además hay un último vector a tener en cuenta. Igual que no le damos la llave de la empresa a cualquier empleado, las conexiones remotas tienen que estar bajo el control de la empresa. No solo se trata de saber cuánto o a qué horas han estado trabajando, no que si alguien deja de trabajar con nosotros tenemos que tener la posibilidad de revocar dicha conexión.
La ciberseguridad empieza con la formación
Un último aspecto a tener en cuenta es la formación. El empleado, la persona que está al otro lado del teclado al final es la última barrera. En mi experiencia durante años trabajando con las empresas la mayor parte de los ataques han sido provocados por un usuario inexperto que ha sido engañado para hacer algo que él no quería.
Abrir un correo, descargarse un archivo o una aplicación para abrir algo que no han solicitado, etc. Un ejemplo, ahora que se acerca Navidad proliferan los mensajes y engaños indicándonos que tenemos un paquete retenido en correos, en aduanas o que nuestra cuenta de Amazon, Paypal, etc. ha sido bloqueada. Parecen legítimos, pero en realidad no lo son. Y es fácil despistarse y caer.
Para intentar mitigar esta circunstancia solo se puede actuar de dos maneras, con formación y con el uso del mínimo privilegio. El empleado tienen que poder realizar su trabajo, pero no tener la posibilidad de instalarse nada en su ordenador. Y
Y esto choca en muchos casos con el funcionamiento de la mayoría de las empresas, micropymes o pymes muy pequeñas que no tienen servicio técnico propio y, en el mejor de los casos, tienen el mantenimiento informático contratado para poder llamar por teléfono y recibir asistencia.
Por eso la mayoría acaban trabajando en la empresa como lo hacen en su casa, no con un usuario limitado en privilegios que, o no les permita instalar nada, o al menos si ellos no lo están haciendo, les aparezca un aviso para poner la contraseña de administrador que, al menos, les haga sospechar.