Ya son numerosos estudios los que permiten identificar a los ciberataques como la principal amenaza para la seguridad de las empresas y, en particular, de las PYMES. Y así, nos encontramos ante un crecimiento exponencial del número de ataques realizados, cifra que, si bien ya venía incrementándose año a año, durante la pandemia provocada por el COVID-19 se ha podido observar un incremento superior.

En este contexto, existen todavía muchas PYMES que no cuentan con sistemas de prevención de ciberdelitos, por lo que las medidas reactivas y correctivas serán esenciales para la adecuada gestión del incidente. A continuación, se exponen algunas de las medidas más relevantes que debe adoptarse tras sufrir un ciberataque.

1. Identificar el ciberataque

El primer paso para afrontar eficazmente un incidente requiere de su identificación. En este sentido, ¿cómo detectamos que se ha producido un ciberataque?

  • Averigüe si está siendo (o ha sido) atacado.

Algunos indicativos de estar sufriendo un ciberataque son:

– Ordenadores que funcionan con lentitud

– Usuarios bloqueados en sus cuentas

– Usuarios que no pueden acceder a documentos

– Mensajes exigiendo un rescate por la liberación de sus archivos

– Personas que le informan de la existencia de correos electrónicos extraños procedentes de su dominio.

– Búsquedas en Internet redirigidas

– Solicitudes de pago no autorizados

– Actividad inusual en la cuenta.

  • Averigüe qué ha sucedido.

Las siguientes 10 preguntas pueden ayudarle a identificar lo ocurrido. Las respuestas le ayudarán a proporcionarinformación esencial a su equipo de IT encargado de resolver el problema, y formarán parte de su informe de revisión de incidentes.

1. ¿Qué problema ha sido detectado y por quién?

2. ¿Qué servicios, programas y/o hardware no están funcionando?

3. ¿Hay indicios de que se han perdido datos? Por ejemplo, ¿ha recibido peticiones de rescate, o se han publicado sus datos en Internet?

4. ¿Qué información (si la hay) ha sido revelada a partes no autorizadas, ¿se ha borrado o corrompido?

5. ¿Han notado sus clientes algún problema? ¿Pueden utilizar sus servicios?

6. ¿Quién diseñó el sistema afectado y quién lo mantiene?

7. ¿Cuándo se produjo el problema?, o ¿se ha detectado el problema por primera vez?

8. ¿Cuál es el alcance del problema? ¿Qué áreas de la organización están afectadas?

9. ¿Ha habido algún indicio de que el problema se haya producido internamente, esto es, dentro de su organización, o externamente, a través de su cadena de suministro?

10. ¿Cuál es el posible impacto empresarial del incidente?

  • Evite que el incidente se agrave

Echa un vistazo a tu software de seguridad (como las alertas del antivirus y los registros de auditoría) para ver si es capaz de identificar los detalles del ataque y la causa del incidente.

Si no puede hacerlo (pero sabe qué dispositivo se ha visto afectado), ejecute su programa antivirus para que realice un escaneo completo y tome nota de los resultados que arroje. Si no detecta nada reseñable, considere la posibilidad de utilizar un programa antivirus alternativo.

En el caso de pérdida de conexión a internet, contacte con su proveedor de servicios de Internet (con los datos que ha identificado en su plan de incidencias). Puede darse el caso de que la interrupción se deba a un fallo del servidor y no a un ataque DDoS. Asimismo, deberá asegurarse de que ha entendido el proceso de escalada de su proveedor, y saber qué datos necesitan para actuar y qué tipo de SLA/soporte que ha pagado.

2. Resolver el incidente

Las medidas contempladas en este paso ayudarán a su organización a volver a funcionar tan pronto como sea posible. Además, en esta fase tendrá que verificar que todo está funcionando correctamente, solucionando cualquier problema surgido.

Si su IT se gestiona externamente, póngase en contacto con los proveedores de IT externos. Contacto con los proveedores de servicios IT para que le ayuden a solucionar el problema. Precisamente, su función consiste en solucionar el problema y minimizar el impacto en su organización.

Si gestionas tu propia IT: inicie su procedimiento ante ciberataques. Es el momento de activar el procedimiento de incidencias, si es que cuenta con uno. Dependiendo del tipo de incidente al que esté respondiendo, esto puede implicar:

– sustituir el hardware infectado

– restaurar los servicios mediante copias de seguridad

– parchear el software

– limpiar las máquinas infectadas

– cambiar las contraseñas

Si estás considerando utilizar los servicios de un consultor de ciberseguridad, tome las medidas necesarias para asegurarse de que utiliza organizaciones acreditadas, conocer su experiencia y verifique que su oferta se ajusta a sus necesidades y a su tipo de negocio.

3. Comunicar el incidente e iniciar acciones legales

Una vez resuelto el incidente de ciberseguridad, a menudo será necesario informar formalmente a las autoridades competentes o a las partes interesadas, tanto internas como externas. Por ejemplo, en ciertos casos existe la obligación legal de informar a la Agencia Española de Protección de Datos, así como a los propios afectados, de la existencia de una brecha de datos de carácter personal.

Además, podrá comunicar el ciberataque a INCIBE CERT, a través del email incidencias@incibe-cert.es, o llamando al 017. 

Solicite asesoramiento jurídico

Los riesgos legales, económicos y reputacionales de sufrir un ciberataque pueden ser muy elevados. Por ello, en un contexto de incremento exponencial de los ciberdelitos sufridos, resulta esencial adoptar de manera rápida y eficaz todas las medidas reactivas necesarias para mitigar las consecuencias negativas del incidente.

De esta manera, podrá perseguir judicialmente y de forma efectiva a los ciberdelincuentes, iniciando las correspondientes acciones penales, mediante la interposición de denuncia o querella. A estos efectos, será indispensable obtener y asegurar la prueba electrónica que permita acreditar los hechos.

Además, existen otras vías legales que, mediante el adecuado asesoramiento jurídico, podrá emprender. Y así, se deberá analizar la posible responsabilidad del proveedor de servicios de sociedad de la información implicado, si lo hubiera. También resulta relevante consultar la cobertura del seguro de responsabilidad civil que se tenga suscrito, exigiendo el cumplimiento de sus obligaciones a la entidad aseguradora (existen seguros específicos frente a ciberataques).

Asimismo, como consecuencia del ciberataque pueden producirse daños a terceros (clientes, proveedores, colaboradores, etc.). El asesoramiento jurídico le permitirá limitar su responsabilidad en este sentido.

Por último, el ciberdelito puede derivar en otros riesgos legales que deben mitigarse (derecho al honor, secretos empresariales, etc.).

En definitiva, una adecuada gestión legal del ciberdelito sufrido es esencial para minimizar los daños. Desde UBT LEGAL le ofrecemos un servicio jurídico integral, que comprende las siguientes actuaciones:

  1. Análisis del contexto y del ciberdelito sufrido.
  2. Obtención de prueba (electrónica) que permita su aportación a un proceso judicial ulterior.
  3. Reportar el incidente a INCIBE-CERT, así como a la AEPD antes de 72 horas si fuera necesario.
  4. Análisis de la cobertura del seguro de responsabilidad civil, si lo hubiera. Responsabilidad de la entidad aseguradora.
  5. Análisis de la responsabilidad del proveedor de servicios de sociedad de la información implicado, si lo hubiera. Exigir el cumplimiento de sus obligaciones.
  6. Inicio de acciones judiciales (denuncia o querella).
  7. Defensa letrada y representación legal en los procedimientos judiciales que se deriven.
  8. Asesoramiento jurídico para la mitigación de cualquier riesgo legal o reputacional que se derive del ciberdelito sufrido (responsabilidad civil de la entidad por daños a terceros (clientes, consumidores), propiedad intelectual e industrial, derecho al honor de personas jurídicas, etc.).