Si su red está infectada con ransomware, actúe de inmediato para proteger su sistema. En lugar de pagar el rescate, que no garantiza la recuperación de sus datos, informe el ataque al FBI y a las fuerzas del orden locales lo antes posible. Utilice especialistas en recuperación de datos para recuperar el acceso a sus datos. Si se ha visto comprometido, es posible que también deba notificar a los clientes, clientes o asociados afectados. Después, analice el ataque para que pueda proteger mejor su sistema y disminuir la probabilidad de volver a ser víctima de un ataque de ransomware.
Pasos
Método 1 de 3: Trabajar con las fuerzas del orden
Paso 1. Comuníquese con la oficina local del FBI
La aplicación de la ley federal se ocupa de los delitos de Internet, incluido el ransomware. Los oficiales de la oficina de campo más cercana podrán ayudarlo a minimizar el daño a su negocio y pueden trabajar con las fuerzas del orden público estatales y locales para intentar localizar al perpetrador.
El FBI tiene 56 oficinas de campo en las principales áreas metropolitanas de los EE. UU. Para encontrar el más cercano a usted, vaya a https://www.fbi.gov/contact-us/field-offices y elija su estado en el menú desplegable denominado "Categorías"
Paso 2. Presente un informe a la policía local para manejar las repercusiones inmediatas
Si ha habido una violación física de sus instalaciones, su departamento de policía local definitivamente puede ayudarlo. Sin embargo, incluso si sus instalaciones reales no se han visto comprometidas, la policía local aún puede reunir pruebas y brindarle consejos sobre cómo proteger su negocio.
Es posible que algunas policías locales no sepan cómo manejar los delitos en Internet, particularmente en pueblos pequeños y áreas rurales. Aunque es posible que no tengan la experiencia y el equipo para brindar una asistencia significativa, vale la pena dedicar tiempo a presentar un informe policial local
Paso 3. Envíe una queja al Centro de Quejas de Delitos en Internet (IC3)
El FBI mantiene el IC3 en https://www.ic3.gov/. En el sitio web, puede enviar una queja que se enviará a todas las agencias policiales pertinentes. Incluya la siguiente información en su informe:
- La fecha de la infección del ransomware
- El tipo de ransomware (que aparece en la página de rescate o mirando la extensión del archivo de cifrado de ransomware)
- Información sobre su empresa, incluida su industria y el tamaño de su empresa
- Cómo ocurrió la infección
- La cantidad de rescate que solicitaron los piratas informáticos
- La dirección de la billetera de Bitcoin u otra criptomoneda del pirata informático si se incluye en la página de rescate
- La cantidad total de rescate que ya pagó (si corresponde)
- Pérdidas generales asociadas con la infección de ransomware, incluida la pérdida estimada de negocios
Propina:
Si presenta una queja ante el IC3, también deberá completar una Declaración de impacto de la víctima, que es un formulario separado. Es posible que parte de la información de este formulario repita información que ya proporcionó en su reclamo.
Paso 4. Informar al HHS si los datos incluían información médica protegida
Si tiene un negocio en el sector de la salud que está cubierto por la Ley de Portabilidad y Responsabilidad de la Información de Salud (HIPAA), la ley federal requiere que informe cualquier incidente de ransomware al Departamento de Salud y Servicios Humanos de EE. UU. (HHS). Según su descripción de la infección de ransomware, el HHS determinará si necesita notificar a las personas que su información se ha visto comprometida y qué debe incluir su notificación.
El HHS también evaluará su red y sus sistemas informáticos para asegurarse de que estaba siguiendo los protocolos de seguridad de datos requeridos por HIPAA. De lo contrario, podría estar sujeto a sanciones por incumplimiento. Sin embargo, el autoinforme de la infección y la reparación del daño pueden reducir las sanciones impuestas a su empresa
Paso 5. Hable con los empleados involucrados
Normalmente, el empleado que descarga ransomware cometió un error inocente. Es importante conocer su versión de los hechos mientras los detalles sobre el incidente aún están frescos en su mente. Grabe la conversación y tome notas para las fuerzas del orden.
Entreviste también a los empleados que descubrieron el ransomware. Descubra qué sucedió cuando se enteraron y a quién se comunicaron para informar sobre el problema. Grabe la entrevista para la policía
Paso 6. Desconecte todos los equipos afectados
Puede resultar difícil eliminar el ransomware y recuperar sus datos. Sin embargo, desconectar su equipo puede ayudar a reducir el daño que puede causar el ransomware y evitar el robo de datos.
- No apague completamente sus computadoras u otros equipos hasta que los funcionarios de seguridad de datos o las fuerzas del orden le digan que puede hacerlo. Potencialmente, esto podría resultar en una pérdida de datos o evidencia valiosa.
- Tenga cuidado de no destruir ninguna evidencia que pueda estar alojada en sus computadoras o red, por ejemplo, al intentar eliminar el ransomware o los archivos de cifrado.
Método 2 de 3: Notificación a clientes o clientes
Paso 1. Contrate un asesor legal para que le ayude a determinar sus responsabilidades
En algunas circunstancias, un ataque de ransomware puede considerarse una violación de datos según la ley estatal o federal. Un abogado puede ayudarlo a determinar si necesita notificar a los clientes o clientes sobre la infracción y qué información debe contener ese aviso. Generalmente, si un ataque de ransomware constituye una violación de datos se basa en 4 criterios:
- Tipo de datos: la información de salud, financiera y de identidad personal generalmente desencadena requisitos de notificación
- Las leyes federales y estatales que podrían aplicarse a los datos que almacenó.
- Cómo y dónde se almacenan los datos, incluso si están respaldados o encriptados
- Cómo funciona el ransomware en sí, incluida la forma en que ingresó al sistema y si permite a los piratas informáticos acceder o manipular sus datos o simplemente mantenerlos como rehenes
Paso 2. Consulte a la policía sobre el momento de sus notificaciones
Hacer pública la infección de ransomware y la posible violación de datos antes de que la policía haya completado sus investigaciones iniciales podría obstaculizar esas investigaciones, especialmente si existe el riesgo de que los piratas informáticos sepan que se han enviado notificaciones. Además, las fuerzas del orden público pueden recomendar que solo se notifique a las personas o empresas afectadas primero, con una posible notificación pública más adelante.
- Publicar una notificación pública demasiado pronto podría generar pánico, según la naturaleza de su negocio y el tipo de información que tenía.
- También desea asegurarse de no divulgar información a través de sus notificaciones que pueda obstaculizar la investigación policial.
Paso 3. Designe una persona de contacto para obtener información relacionada con la infracción
Una sola persona en su empresa debe ser responsable de manejar todas las comunicaciones externas relacionadas con la infección del ransomware y la posible filtración de datos. Elija a alguien en el nivel gerencial que sea capaz de ocuparse de las consultas públicas y coordinar la respuesta de las fuerzas del orden, así como de ocuparse de las acciones de las agencias reguladoras.
- Según el tamaño de su empresa y la cantidad de personas o empresas potencialmente afectadas, es posible que desee configurar un sitio web dedicado o un número gratuito que las personas puedan usar para obtener información sobre la infección y la posible violación de datos.
- Si no tiene la información de contacto de todas las personas potencialmente afectadas, es posible que deba lanzar una campaña de relaciones públicas más sustancial para asegurarse de que cualquier persona potencialmente afectada tenga la notificación adecuada. Por ejemplo, si es un minorista, es posible que no tenga la información de contacto de todos los clientes que usaron tarjetas de crédito en su tienda.
Paso 4. Comuníquese con las principales agencias de crédito si existe riesgo de robo de identidad
Si los datos involucrados incluían nombres y números de seguro social, existe el riesgo de que las identidades de esas personas sean robadas. Las principales agencias de informes crediticios pueden brindarle más información y consejos sobre cómo notificar a las personas sobre el riesgo. Por lo general, las personas afectadas deben colocar alertas de fraude o congelaciones de crédito en sus archivos. Utilice la siguiente información para las 3 principales agencias de informes crediticios:
- Equifax: https://equifax.com/ o 1-800-685-1111
- Experian: https://experian.com/ o 1-888-397-3742
- TransUnion: https://transunion.com/ o 1-888-909-8872
Paso 5. Envíe una notificación por escrito a las personas y empresas afectadas
Redacte una carta que incluya una descripción clara de la infección de ransomware, los pasos que ha tomado para proteger sus datos y los datos que se vieron potencialmente afectados. Cierre con consejos sobre lo que deben hacer para protegerse del robo de identidad u otros riesgos asociados.
La FTC tiene un modelo de carta que puede usar disponible en
Propina:
Haga que un abogado revise su aviso antes de enviarlo. Pueden asegurarse de que cumpla con todas las leyes aplicables que rigen su situación.
Método 3 de 3: Protección de su negocio
Paso 1. Contrate a un experto en seguridad de datos para analizar su sistema
Un experto en seguridad de datos puede ver cómo el ransomware afectó su sistema y crear protocolos que protegerán sus datos de infecciones similares en el futuro. También pueden trabajar para desactivar el ransomware y recuperar sus datos.
Puede encontrar expertos con una simple búsqueda en línea. Sin embargo, aunque el tiempo es esencial, no contrate simplemente el primer nombre que aparece. Observe los antecedentes y la reputación de cualquier experto en seguridad que esté pensando contratar. Verifique sus referencias y, si tienen certificaciones, busque esas certificaciones para asegurarse de que aún estén activas y en buen estado
Paso 2. Restrinja los permisos de los usuarios de la red para descargar o instalar software
A menudo, las infecciones de ransomware ocurren cuando un empleado hace clic en un enlace en un correo electrónico que parece provenir de una fuente confiable. Si ese empleado solo tiene acceso a las partes de su sistema que necesita, hay menos posibilidades de que el ransomware afecte todo su sistema y comprometa sus datos.
Solo 1 o 2 personas de su empresa que sean personal de TI capacitado o administradores de red deben tener permiso para descargar e instalar nuevo software. Puede eliminar este permiso de todas las demás cuentas de usuario de los empleados
Propina:
Capacite a sus empleados para que no hagan clic en enlaces activos en el correo electrónico, incluso si parecen provenir de un compañero de trabajo. En caso de duda, los empleados siempre deben comunicarse con el presunto remitente para averiguar si el correo electrónico proviene de ellos.
Paso 3. Realice copias de seguridad diarias o semanales de los datos que conserva
Mantenga copias de seguridad en un disco duro externo que no esté conectado a Internet. Si es víctima de un ataque de ransomware en el futuro, puede cargar una copia de seguridad de sus datos y continuar con sus actividades como de costumbre.
Si bien aún tendrá que presentar un informe a las fuerzas del orden y notificar a los clientes o clientes si algún dato ha sido dañado o robado, al menos el ataque no interrumpirá su negocio mientras tanto
Paso 4. Mantenga su software y sistemas operativos actualizados
Las actualizaciones suelen incluir parches de seguridad que mejoran las vulnerabilidades que los piratas informáticos pueden aprovechar. Si no ha descargado la última actualización, los piratas informáticos pueden saber que su sistema aún es vulnerable y pueden intentar aprovecharla.
- Idealmente, configure todo el software y los sistemas operativos para que se actualicen automáticamente en un momento en que su empresa no esté abierta. De esa manera, puede estar seguro de que siempre está ejecutando el software más actualizado en su sistema.
- Asegúrese de que su software antivirus también esté actualizado y ejecute análisis de forma diaria o semanal. Esto le ayudará a encontrar y poner en cuarentena los virus antes de que infecten toda su red.
Paso 5. Cree un plan escrito para responder a futuros ataques
Desafortunadamente, recibir un ataque de ransomware puede convertir a su empresa en un objetivo de ataques de seguimiento. Los piratas informáticos pueden intentar hacerse pasar por expertos en seguridad de datos u ofrecer soluciones para proteger su negocio cuando en realidad solo lo están preparando para otro ataque. Si sabe cómo responderá, estará un paso por delante de ellos.
- Asegúrese de que todos los empleados lean y comprendan el plan, así como el papel que desempeñarán si su sistema es atacado.
- Revise su plan al menos una vez cada 6 meses y actualícelo según sea necesario para tener en cuenta los cambios en su sistema o las actualizaciones tecnológicas.
