Todas las empresas deben operar bajo la suposición de que un incidente de ciberseguridad puede ocurrir en cualquier momento. Esta postura también las prepara para las consecuencias inmediatas; saber qué hacer después de un ciberataque es crucial cuando el tiempo es esencial.
Uno de los mayores problemas de la ciberseguridad hoy en día es la creencia de que a uno no le sucederá. La idea de perderse en la multitud es muy atractiva, lo que lleva a muchas personas a quedarse completamente sorprendidas y sin saber qué hacer después.
Las grandes empresas tienen sistemas implementados, incluyendo planes de respuesta que cubren las consecuencias de un ciberataque, pero las pequeñas empresas a veces no implementan protección a nivel organizacional ni consideran las amenazas en línea como un problema real.
«¿Por qué irían contra mí?» es una pregunta que ha llevado a la caída de muchas organizaciones, y solo es igualada en daño potencial por otra pregunta común: «¿Qué hacemos ahora?»
Tipos de ataques y la respuesta deseada
Aunque los ataques de ransomware atraen mucha atención en los medios, no son los únicos que amenazan a las empresas en todo el mundo. Tienen efectos directos y destructivos, pero no deberían ser el único foco al construir y desplegar ciberseguridad en una empresa.
Phishing
No es sorprendente que el phishing sea uno de los ataques más comunes. Tanto personas como empresas se enfrentan a ello a diario.
En muchas situaciones, los ataques de phishing pueden prevenirse entrenando a las personas para reconocerlos de inmediato si los ataques logran evadir las medidas de seguridad. Sin embargo, algunos mensajes pueden engañar incluso a los empleados más cautelosos.
Los atacantes a menudo intentan persuadir a las personas de una organización para que compartan sus credenciales, hagan clic en enlaces o abran archivos adjuntos. Cada acción puede desencadenar ataques secundarios, por lo que los criminales prefieren el phishing como punto de entrada.
Si ocurre un incidente de este tipo, la empresa tiene varias opciones:
- Cambiar de inmediato cualquier credencial comprometida.
- Informar a todos los empleados sobre la violación para evitar más daños y asegurarse de que todos tengan credenciales nuevas y únicas.
- Revisar los registros de correos electrónicos para identificar otras posibles víctimas.
- Mejorar los filtros de correos electrónicos e implementar entrenamientos más completos para los empleados, usando el incidente como una oportunidad de aprendizaje.
Ransomware
Los ataques de ransomware pueden ser devastadores para las grandes empresas, así que imagina lo que harían en empresas más pequeñas. En tales casos, los atacantes probablemente robarán toda la información privada que puedan y eventualmente bloquearán los sistemas, exigiendo un pago por las claves de descifrado. También usarán la información robada para chantajear a la empresa.
Un empleado que cae en un ataque de phishing y abre un archivo adjunto es una forma común de comprometer el sistema, y tal vez toda la red.
Las empresas tienen algunos recursos que siempre deben tener en cuenta:
- Aislar los sistemas infectados para prevenir la propagación del ransomware tanto como sea posible.
- Contactar a la policía y a expertos en ciberseguridad. Ellos ayudarán a determinar qué se robó y cuál fue el punto de entrada.
- Evitar pagar el ransomware porque no hay garantía de que los atacantes proporcionen las claves o de que las claves funcionen.
- Restaurar datos desde copias de seguridad seguras, si es posible.
- Fortalecer los procesos de respaldo y recuperación, y considerar obtener un seguro cibernético.
Denial-of-Service (DoS) o Distributed Denial-of-Service (DDoS)
Los ataques DDoS tienen un objetivo claro: sobrecargar un sistema o red con tráfico y hacer que sea inaccesible para el mundo exterior. También se pueden utilizar para desplegar ataques más complejos.
La incapacidad de los clientes para realizar pedidos, recibir facturas y comunicarse con la empresa es casi tan mala como un ataque de ransomware. Sin embargo, las empresas deben saber qué hacer si enfrentan este tipo de problemas.
Las empresas deben saber de antemano con quién trabajar en su ISP para bloquear tráfico malicioso si es necesario.
Filtraciones de Datos y Amenazas Internas
Usualmente escuchamos sobre data breaches cuando los atacantes comprometen sistemas y roban información crítica, pero los datos también pueden ser vulnerados cuando las personas cometen errores y malconfiguran servicios y servidores en línea.
También es importante estar al tanto de las insider threats, personas dentro de la empresa que pueden tener intenciones maliciosas o llevar a cabo acciones no intencionadas que dañen la organización.
Ataques a la Cadena de Suministro
Aunque no tan llamativos como otros incidentes de ciberseguridad, los supply chain attacks son peligrosos porque suelen diseñarse para mantenerse bajo el radar. Esto generalmente ocurre cuando un proveedor externo es comprometido y ese vector se usa para infiltrar a otra empresa.
Cuando esto ocurre, hay varios pasos obligatorios:
- La empresa debe notificar al proveedor y a otros clientes de inmediato.
- Verificar y parchear sistemas para eliminar puertas traseras es crucial.
- Reevaluar relaciones con proveedores y auditar su seguridad.
- Mejorar las prácticas de gestión de riesgos de proveedores.
Conclusión
Estos son solo algunos de los escenarios más probables que una empresa enfrentará, y no es útil pensar que no te sucederá. Los daños causados por tales ataques siempre serán más costosos que cualquier inversión en soluciones de seguridad. Saber qué hacer después de un ciberataque es igualmente importante.
Bitdefender GravityZone es la plataforma unificada que protege a toda su organización, optimizando la detección, investigación y respuesta ante amenazas. Con una sola plataforma y un agente, puede reducir proveedores, costos y gestionar incidentes en tiempo real, mejorando la eficiencia y la capacidad de respuesta ante cualquier ciberamenaza.