Es posible que, en algún momento, de nuestras vidas seamos víctimas de un ciberataque y hemos de estar prevenidos y adoptar medidas para tratar de atajarlos.
Por lo general, los ciberataques vienen asociados a síntomas de anormalidad en el funcionamiento de los dispositivos:
- El tiempo de demora de iniciar sesión, abrir aplicaciones y usarlas es inusualmente largo.
- Programas que no responden e iconos que dejan de estar operativos.
- El administrador de tareas reporta alto uso de CPU y RAM cuando no hay tareas demandantes de recursos.
- Programas de seguridad y antivirus erráticos que se deshabilitan automáticamente, no se actualizan o no se pueden reiniciar o reinstalar.
- Pop-ups en el escritorio con advertencias de programas de seguridad desconocidos.
- Anuncios no deseados que se repiten de forma constante.
- Programas y archivos perdidos, sin razón aparente.
- Acceso restringido: pérdida parcial o total de control sobre software, hardware, discos duros o del sistema en sí.
Para prevenir o tratar de limitar los efectos de los ciberataques se recomienda:
- Integrar todos los equipos y servidores dentro del mismo dominio.
- Deshabilitar el acceso genérico a los servidores y los equipos en modo «administrador», sustituyéndolos por usuarios individuales con los permisos adecuados.
- Configurar el router correctamente.
- Proteger la red Wi-Fi con contraseñas robustas y habilitar una red de cortesía con acceso restringido a la red corporativa para terceros.
- Evitar conectarse a redes Wi-Fi públicas o a conexiones inalámbricas desconocidas. En el caso de que tengan que conectarse por una emergencia traten de utilizar una Red Privada Virtual (VPN). Evitar las VPN gratuitas con gestores desconocidos.
- Proteger las redes de área local (LAN) mediante el uso de firewalls para filtrar el tráfico y bloquear protocolos anónimos.
- Mantener el sistema operativo, software, navegador y aplicaciones actualizados.
- Descargar software y aplicaciones solo desde sitios oficiales.
- Deshabilitar la descarga automática de archivos.
- Cifrar discos (Full Disk Encryption) y ficheros (File Encryption).
- Realizar copias de seguridad según el protocolo previamente establecido.
- Proteger la página web corporativa mediante un certificado SSL.
- Acceder solo a sitios web seguros, esto es, que empiezan por «https», comprobando que el certificado pertenece a la compañía o entidad que corresponda.
- Desconectar el sistema informático de Internet si sospechan que están siendo atacados..
- Establecer medidas anti-spam y anti-phising en el correo electrónico.
- Usar contraseñas robustas de acceso al sistema operativo y cuentas de correo electrónico y renovarlas periódicamente.
- Usar la autenticación en dos pasos (2FA) para cada servicio que lo permita. La 2FA ayuda a evitar que un atacante acceda al servicio, incluso aunque se haya filtrado la contraseña.
- Desconfiar de correos electrónicos extraños, con archivos adjuntos sospechosos, enlaces incompletos y promociones demasiado atractivas.
- Cerrar las sesiones de trabajo del sistema operativo y las cuentas de correo electrónico al término de la jornada laboral.
- Apagar el bluetooth cuando no lo estén utilizando. Esto reducirá la posibilidad de que un atacante se conecte a su dispositivo sin su autorización.
- Apagar el teléfono móvil, al menos, cinco minutos todos los días.
Las medidas técnicas deben reforzarse con medidas organizativas. Algunas de estas medidas, trasladadas a políticas y procedimientos, pueden ser:
- Inventario de activos.
- Control de accesos.
- Política de pantalla y escritorios limpios.
- Política sobre uso de dispositivos móviles y trabajo a distancia.
- Política de intercambio seguro de información.
- Política sobre el uso de servicios en red.
- Política de eliminación y destrucción de información
- Política de creación de copias de seguridad.
- Procedimiento de gestión y notificación de incidentes.
- Procedimiento para acciones correctivas y preventivas.
Si a pesar de todos los esfuerzos son víctimas de un ataque, lo primero es crear un gabinete de crisis y establecer un canal de comunicación alternativo y seguro para compartir información sobre la gestión de la crisis (por ejemplo, un grupo en Telegram). Tras ello, hemos de identificar y analizar los vectores de ataque, preservando las pruebas forenses de la actividad delictiva para acompañar con la denuncia. Localizados dichos vectores, comenzaremos con las labores de erradicación y recuperación para restablecer la normalidad dentro de la organización. Por último, y no por ello menos importante, resuelto el incidente, haremos un balance de lo sucedido para mejorar las medidas de seguridad, desarrollar nuevos protocolos e implementar nuevas tecnologías para la detección, análisis y mitigación de futuros ataques.
Para tratar de resolver cualquier duda sobre ciberseguridad, INCIBE pone a disposición de los ciudadanos una Línea de Ayuda en el 017. También existe un canal de comunicaciones por WhatsApp en el 900.116.117.
En caso de ataque, les recuerdo los enlaces a la Brigada de Investigación Tecnológica de la Unidad de Investigación Tecnológica (UIT) de la Policía y al Grupo de Delitos Telemáticos (GDT) de la Guardia Civil:
https://www.policia.es/_es/denuncias.php
https://www.guardiacivil.es/es/servicios/FormasContacto.html