¿Cómo reaccionar ante un ciberataque? 5 pasos básicos

Hace apenas unos días contábamos que 6 de cada 10 pymes españolas han sido víctimas de un ciberataque este año. Y más de la mitad de ellas han sufrido hasta 10 incidentes.

De este modo, es muy posible que tu empresa se haya visto expuesta a esta situación. Por eso, ya no sólo debemos plantearnos cómo evitar este tipo de incidentes. Lo más realista es planificar cómo reaccionar ante un ciberataque.

“Debemos invertir en un buen equipo de respuesta, que sepa qué hacer y tenga una amplia gama de posibilidades para lograr una resolución rápida, eficaz y de bajo costo. No por invertir más significa que estemos más protegidos”, afirma Josep Albors, director de Investigación y Concienciación de ESET España.

Rapidez en la respuesta

La firma de ciberseguridad hace hincapié en que la rapidez de la respuesta marca la diferencia. “Los ciberdelincuentes son cada vez más veloces. Investigaciones recientes indican que el tiempo entre el acceso inicial y el movimiento lateral (breakout time) se ha acelerado un 22% respecto al año pasado. El tiempo promedio fue de 48 minutos, aunque el ataque más rápido registrado fue de tan sólo 27 minutos. Mientras tanto, las organizaciones a nivel mundial tardan 241 días en detectar y contener una brecha, según IBM”, especifica ESET.

Así debes reaccionar ante un ciberataque

“No siempre se puede evitar una brecha de seguridad, pero sí podemos minimizar los daños y aprender de ella”, afirma Albors. Así pues, la compañía apunta 5 acciones clave para reaccionar ante un ciberataque, fundamentales en las primeras 24-48 horas del incidente.

1. Recopilar información y entender el alcance

“El primer paso es entender qué sucedió y poner en marcha una respuesta. Se debe activar el plan ante incidentes previamente elaborado y notificar la situación a las partes interesadas de la organización, ya sean RRHH, comunicación, legal o liderazgo. Además, documentar cada paso y recopilar evidencias ayudará tanto a evaluar el impacto como a la posterior investigación forense y legal”, puntualiza.

2. Notificar a terceros relevantes

Este paso es fundamental, puesto que no hacerlo puede acarrear importantes sanciones. “Una vez determinado el ataque, es necesario informar a las autoridades pertinentes. Dependiendo de la gravedad del incidente, habrá que comunicarlo a los organismos correspondientes, como las aseguradoras, los clientes, los socios y los empleados, las fuerzas del orden y agentes externos, como especialistas legales y de TI”, anota ESET.

3. Aislar y contener

Esta acción es esencial para minimizar el impacto de ataque. “Se debe actuar rápido para evitar la propagación del ataque, mientras se notifica a terceros. Los sistemas afectados deben aislarse sin apagarlos, con el fin de conservar las evidencias y limitar el alcance del atacante. Todo acceso remoto debe ser deshabilitado, las credenciales de VPN restablecidas y deben emplearse herramientas de seguridad para bloquear el tráfico malicioso y conexiones de comando y control”, detalla.

4. Eliminar y recuperar

Una vez que el incidente está contenido, hemos de pasar a la fase de la erradicación y recuperación.

“Es esencial hacer un análisis forense para identificar las TTP de los atacantes, desde el acceso inicial hasta el movimiento lateral y posible cifrado o exfiltración. Durante la recuperación, se debe verificar la integridad de sistemas y datos, restaurar copias de seguridad limpias y mantener un monitoreo estricto para detectar nuevos intentos de compromiso. Esta fase también debe servir para reforzar la seguridad: mejorar los controles de privilegios, segmentar la red, reforzar la autenticación y contar con apoyo externo e implementar herramientas de remediación”, desgrana la compañía de ciberseguridad.

5. Revisar y mejorar

El ciberataque sufrido nos debe servir para mejorar. “Realizar una revisión del incidente ayuda a convertirlo en un catalizador de resiliencia ante futuros ataques. Debemos plantear preguntas como qué ocurrió, qué impactos hubo, qué falló, qué funcionó y dónde hubo escasez de recursos o tiempo a la hora de actuar. Sólo analizando lo ocurrido se puede aprender a actuar mejor frente a incidentes similares”, concluye ESET.