¿Qué hago si soy cliente o usuario de la empresa atacada por Ransomware?

Desde hace vario años venimos escuchando y leyendo noticias asociadas a “secuestro” de información y a la solicitud de “rescates” que las empresas víctimas deben pagar para recuperar sus datos, aun sin tener la certeza que una vez realizado el pago será devuelta la información “secuestrada”.

Para las empresas que han sido atacadas, este es un tema ético y financiero que deben manejar en vista de que si realizan el pago estarán incumpliendo su código de ética y adicionalmente puede tener impacto legal y reputacional. De otro lado, seguirá patrocinando este tipo de ataques al demostrar con el pago qué si se pueden obtener ganancias de estas prácticas, con un medio o bajo riesgo debido a la dificultad de poder encontrar al atacante.

¿Pero qué pasa con la información “secuestrada”?

Generalmente el atacante, al no recibir el pago, publica parte de la información secuestrada en internet, para motivar a la víctima a pagar el rescate. Pero al no recibirlo, puede publicar toda la información que ha sustraído a su víctima. Reitero que el pago del rescate no es suficiente justificación para que el atacante devuelva la información, corriéndose el riesgo que en todo caso sea publicada en la web.

Hace unos meses una entidad de salud muy reconocida en Colombia y otros países de la región fue víctima de un Ransomware. Como siempre el primer impacto fue sobre los servicios que la entidad presta. Los servicios por internet quedaron suspendidos, solicitud y pago de citas médicas, programación de procedimientos, pago de cuotas, en resumen, sus servicios a través de internet totalmente suspendidos, lo que trajo como consecuencia que el paciente tuviera que hacer sus trámites de  manera presencial y que la entidad de salud implementara procedimientos manuales para  la prestación de sus servicios., generando un gran malestar entre sus “clientes”, demoras en los tratamientos, programación de citas médicas, exámenes de laboratorio, etc. Luego de varios meses de esta situación, donde la entidad de salud fue paulatinamente normalizando sus servicios “manuales” ya se empiezan a prestar servicios a través de la web y se nota que se han implementado controles para minimizar la posibilidad de un nuevo ataque.

Yo soy “cliente” de esa entidad de salud y recientemente me llegó un correo donde me informan que mi información estaba entre los datos secuestrados y me invitan a tomar acciones para reducir el impacto que la publicación en internet de mi información pueda causar.

De este tema casi no se habla, todas las publicaciones están dirigidas a la empresa atacada, pero ¿y sus clientes qué?

Lo único que me informan es sobre el ataque, me dan una relación de los datos secuestrados y me dicen que “le recomendamos tomar las medidas necesarias con el fin de mitigar los riesgos a los cuales pueda estar expuesto”, lo cual me parece una brillante “lavada de manos”, como hizo Pilatos. Como quien dice quedamos a merced de lo que cualquiera que tenga acceso a nuestra información en internet quiera hacer. Afortunadamente sé algo sobre seguridad y ciberseguridad y puedo tomar algunas acciones para mitigar los riesgos, pero ¿y las personas que por su actividad o conocimiento no saben qué hacer?

El mensaje de este mes es para invitar, primero, a las empresas atacadas a que tengan un contacto mas constante con sus clientes dándoles Tips para proteger su información personal y confidencial luego del ataque y, segundo, invitar a los expertos en seguridad que nos miren, como victimas también del Ransomware y nos provean de información, guías y ayudas para proteger nuestra información. Adicionalmente invitar a las empresas atacadas a que informen directamente a sus clientes, cuya información haya sido secuestrada, de la situación y, nuevamente, les “ayuden” a protegerse de los ataques subsecuentes que vendrán una vez nuestra información sea publicada y utilizada, por quienes tengan acceso a ella, para buscar ganancias con nosotros.

Yo ¿Qué podría decir? Recomendarles a quienes, como yo, ahora somos “públicos” gracias a que nuestra información fue sustraída de una empresa en la cual confiábamos, a que refuercen las medidas y tomar acciones como las siguientes:

  • Cambiar sus claves en sus dispositivos, accesos a cuentas bancarias y demás servicios que tengan por internet, con claves fuertes que sean “fáciles de recordar pero difíciles de adivinar”.
  • Configurar los sistemas de acceso para solicitar “autenticación de doble factor”.
  • Actualizar sus sistemas de antivirus.
  • Si es posible, contratar un servicio de información, donde se le esté avisando oportunamente de apertura de cuentas y/o créditos a su nombre. Es muy posible que se utilice su información para suplantación de identidad.
  • ¿Cambiar de entidad prestadora de servicios de salud? No olvidemos que la seguridad total no existe y que cualquier organización ya sea estatal o privada puede ser victima de un ataque de Ransomware y no, necesariamente, por descuido o falta de controles. Entonces, en mi caso, yo me mantengo  afiliado a la empresa que fue atacada, a menos que se presenten ataques subsecuentes causados porque no se tomaron acciones adecuadas o que los servicios que me prestan desmejoren.

¿Otros controles? Claro que los puede haber, los invito a compartirlos por nuestras redes sociales. Y como lo dije antes, invito a las empresas atacadas a estar mas cerca de sus clientes, que recibimos también el impacto del ataque. Y a no olvidar que hacemos parte de la cadena del ataque, donde el primer objetivo es la empresa atacada pero el siguiente son sus clientes, Haya habido pago por el secuestro o no.

Ingeniero de Sistemas, Especialista en Auditoría de Sistemas, con certificaciones CISA, CISM, CSXF y CRISC; CoBiT 5 Certified Assessor y entrenador CobiT 2019. Con más de 25 años de experiencia en importantes empresas nacionales y multinacionales en las áreas de seguridad de la información y ciberseguridad, riesgos y auditoría de sistemas. Evaluador, diseñador e implementador de Gobierno de TI. Experiencia Docente y conferencista internacional. Fue Vicepresidente Internacional de ISACA y del ITGI (IT Governance Institute), miembro del IT Governance Committee de ISACA. Premio John Kuyers Best Speaker / Conference Contributor Award de ISACA.

Todo lo que un Directivo debe saber...

Ha llegado la hora de formar a la Alta Dirección

Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad