Es posible que, en algún momento, de nuestras vidas seamos víctimas de un ciberataque y hemos de estar prevenidos y adoptar medidas para tratar de atajarlos.
Por lo general, los ciberataques vienen asociados a síntomas de anormalidad en el funcionamiento de los dispositivos:
- El tiempo de demora de iniciar sesión, abrir aplicaciones y usarlas es inusualmente largo.
- Programas que no responden e iconos que dejan de estar operativos.
- El administrador de tareas reporta alto uso de CPU y RAM cuando no hay tareas demandantes de recursos.
- Programas de seguridad y antivirus erráticos que se deshabilitan automáticamente, no se actualizan o no se pueden reiniciar o reinstalar.
- Pop-ups en el escritorio con advertencias de programas de seguridad desconocidos.
- Anuncios no deseados que se repiten de forma constante.
- Programas y archivos perdidos, sin razón aparente.
- Acceso restringido: pérdida parcial o total de control sobre software, hardware, discos duros o del sistema en sí.
Para prevenir o tratar de limitar los efectos de los ciberataques se recomienda:
- Mantener el sistema operativo, navegador y aplicaciones actualizados.
- Utilizar contraseñas robustas de acceso al sistema operativo y cuentas de correo electrónico y renovarlas periódicamente. Si es posible, usar la autentificación en dos pasos para cada servicio que lo permita. Utilizar la 2FA ayuda a evitar que un atacante acceda al servicio, incluso aunque se haya filtrado la contraseña en dos pasos.
- Establecer medidas anti-spam y anti-phising en el correo electrónico.
- Desconfiar de correos electrónicos extraños, de archivos adjuntos sospechosos, de enlaces incompletos y de promociones demasiado atractivas.
- Deshabilitar la descarga automática de archivos.
- Integrar todos los equipos y servidores dentro del mismo dominio.
- Cifrar discos (Full Disk Encryption) y ficheros (File Encryption).
- Cerrar las sesiones de trabajo del sistema operativo y de las cuentas de correo electrónico al término de la jornada laboral.
- Acceder solo a sitios web seguros, esto es, aquellos que empiezan por «https», comprobando que el certificado pertenece a la compañía o entidad que corresponda.
- Instalar software de seguridad en los equipos y mantenerlos actualizados, realizando escaneos frecuentemente.
- Solo descargar aplicaciones y software desde sitios oficiales.
- Configurar el router correctamente (aquí pueden consultar las recomendaciones del INCIBE).
- Proteger su red wifi con contraseñas seguras. Si es necesario que los clientes se conecten a una red en nuestra empresa es aconsejable habilitar una red de invitados o de cortesía con acceso restringido a la red corporativa.
- Evitar conectarse a redes wifi públicas o a conexiones inalámbricas desconocidas. En el caso de que tengan que conectarse por una emergencia traten de utilizar una red privada virtual o VPN, con cifrado de información si van a enviar información confidencial o sensible.
- Eviten las redes VPN gratuitas, pues la identidad de los responsables es desconocida.
- Protejan su red privada (LAN) mediante el uso de hardware específico de seguridad como firewalls (cortafuegos) para filtrar los accesos a sitios maliciosos, detener y alertar de tráfico malicioso y bloquear protocolos anónimos como Tor.
- Mantengan el firewall por software activado, en aquellos sistemas que lo permitan.
- Deshabiliten el acceso genérico a los servidores y equipos en modo «administrador», sustituyéndolos por usuarios individuales con los permisos adecuados.
- Protejan la página web corporativa mediante un certificado SSL.
- Realicen copias de seguridad, a poder ser diariamente. Lo aconsejable es tener dos copias y una de ellas fuera de las instalaciones (por ejemplo, una en un NAS y otra en la nube).
- Si sospechan que están siendo víctimas de un ciberataque, de inmediato, desconecten todos los equipos informáticos y dispositivos móviles de Internet.
Las medidas técnicas deben reforzarse con medidas organizativas. Algunas de estas medidas, trasladadas a políticas y procedimientos, pueden ser:
- Inventario de activos.
- Control de accesos.
- Política de pantalla y escritorios limpios.
- Política sobre uso de dispositivos móviles y trabajo a distancia.
- Política de intercambio seguro de información.
- Política sobre el uso de servicios en red.
- Política de eliminación y destrucción de información
- Política de creación de copias de seguridad.
- Procedimiento de gestión y notificación de incidentes.
- Procedimiento para acciones correctivas y preventivas.
Si a pesar de todos los esfuerzos son víctimas de un ataque, lo primero es crear un gabinete de crisis y establecer un canal de comunicación alternativo y seguro para compartir información sobre la gestión de la crisis (por ejemplo, un grupo en Telegram). Tras ello, hemos de identificar y analizar los vectores de ataque, preservando las pruebas forenses de la actividad delictiva para acompañar con la denuncia. Localizados dichos vectores, comenzaremos con las labores de erradicación y recuperación para restablecer la normalidad dentro de la organización. Por último, y no por ello menos importante, resuelto el incidente, haremos un balance de lo sucedido para mejorar las medidas de seguridad, desarrollar nuevos protocolos e implementar nuevas tecnologías para la detección, análisis y mitigación de futuros ataques.
Para tratar de resolver cualquier duda sobre ciberseguridad, INCIBE pone a disposición de los ciudadanos una Línea de Ayuda en el 017. También existe un canal de comunicaciones por WhatsApp en el 900.116.117.
En caso de ataque, les recuerdo los enlaces a la Brigada de Investigación Tecnológica de la Unidad de Investigación Tecnológica (UIT) de la Policía y al Grupo de Delitos Telemáticos (GDT) de la Guardia Civil:
https://www.policia.es/_es/denuncias.php
https://www.guardiacivil.es/es/servicios/FormasContacto.html