Escrito por Luis Enrique Guillen, director general en GUIAR

Recibir un ataque informático nos molesta, pero sobre todo pone en riesgo los activos digitales de la empresa y el robo de estos activos puede generar problemas mayores.

A veces es imposible predecir cuándo alguna vulnerabilidad nos pondrá a merced de los ciberataques; la prioridad es prevenir. Sin embargo es crucial tener una estrategia, políticas y procedimientos para reaccionar a cualquier tipo de ataque informático, en nuestra experiencia como proveedores de soluciones y servicios de seguridad hemos enfrentado esto más de una vez, hoy les comparto pasos a seguir para lograr la recuperación:

  1. Análisis y localización: Lo primero que se debe hacer es determinar los alcances del ataque y la infección. Cuando se cuenta con políticas y protocolos para la gestión de contingencias, el resultado del análisis de la infección se debe dar rápidamente. Es importante responder a preguntas como ¿Cuáles son los sistemas comprometidos? y ¿Cuál es la profundidad de la infección? ¿Dónde en la red está localizada la infección? y si ha sido contenida. ¿Qué información ha sido comprometida? ¿Es personal o corporativa?
  2. Alerta y contención: Es fundamental asegurar la continuidad del servicio y alertar a los usuarios para que estén pendientes de cualquier actividad o cambio inusual en sus equipos y datos. En paralelo hay que realizar acciones emergentes de respaldo y aislar el o los equipos físicos comprometidos de la red. Al aislar los equipos infectados contenemos la infección, mientras más rápido detectemos y realicemos actividades de contingencia, más fácil será contener la infección mediante la suspensión de los segmentos de la red comprometidos, de esta forma evitamos que la infección se propague y se interrumpe la comunicación con el atacante evitando el robo de información y nuevos ataques.
  1. Mitigación y refuerzo: Una vez que se ha logrado contener el ataque la siguiente actividad va encaminada a mitigar y eliminar cualquier vector de ataque. Remover la infección implica un análisis minucioso de todo el código contenido en la red. Las soluciones de antivirus dan soporte a estas actividades, sin embargo es importante asegurarse de que se ha realizado un escaneo y refuerzo minuciosos y a profundidad en busca de códigos maliciosos y puertas de entrada que haya dejado el atacante y que le permitirían realizar un segundo ataque.

No es aquí donde se detiene el proceso de contingencia, resulta imperativo reforzar las barreras, saber por dónde se metió el atacante y cerrar todas las posibles puertas de entrada y/o vulnerabilidades. Por esta razón es fundamental analizar y reforzar a profundidad todos los paquetes de datos y aplicaciones que transitan por la red, saber si los usuarios pudieran estar saltando alguna barrera, cambiar contraseñas, y fortalecer las barreras protectoras de la red.

Por ultimo hay que aprender de los errores. Es crucial conducir una investigación, mejorar los procesos y políticas dentro de la empresa. Revisar e incluso reevaluar las soluciones de seguridad en uso, sobre todo cuando los ataques se repiten y hemos hecho todo lo que está en nuestras manos en cuanto a procesos y políticas; y si a pesar de reforzarlas seguimos a merced de los atacantes, es momento de reevaluar y actualizar los sistemas de seguridad sustituyéndolos por una plataforma más poderosa y eficiente.