Cómo evitar el ransomware: 10 consejos profesionales

El ransomware es un tipo de ataque de malware que bloquea el acceso a archivos importantes del dispositivo hasta que se paga un rescate. Los ataques de ransomware se suelen llevar a cabo mediante ingeniería social, como los ataques de phishing, que convencen a la víctima para que haga clic en un adjunto malicioso de un correo electrónico. A continuación, el adjunto malicioso descarga el ransomware en el dispositivo y cifra los archivos de la víctima.

CrowdStrike ha escrito sobre una serie de prácticas y controles de seguridad muy efectivos que puedes implementar para reducir drásticamente el riesgo de sufrir una infección de ransomware.

¿Cuáles son los 10 consejos profesionales para evitar el ransomware?

Los siguientes consejos están respaldados por lo que CrowdStrike ha descubierto que es útil para evitar y combatir el ransomware con éxito:

1. Practicar una buena higiene de TI.
2. Mejorar la resiliencia de las aplicaciones orientadas a Internet
3. Implementar y mejorar la seguridad del correo electrónico
4. Reforzar la infraestructura de endpoints
5. Proteger los datos del ransomware con copias de seguridad offline
6. Restringir el acceso a infraestructura de gestión de virtualización
7. Implementar una arquitectura Zero Trust
8. Desarrollar y realizar pruebas de presión a un plan de respuesta ante incidentes
9. Implementar un programa exhaustivo de formación en ciberseguridad
10. Tener claro cuándo pedir ayuda

1. Practicar una buena higiene de TI

Es fundamental que todas las organizaciones minimicen su superficie de ataque, de modo que tengan visibilidad de cada endpoint y carga de trabajo que se ejecuta en el entorno para mantener actualizada y protegida cualquier superficie de ataque vulnerable.

La principal ventaja de la higiene de TI es que ofrece una transparencia total de la red. Esta perspectiva proporciona una visibilidad general, además de la capacidad de explorar en profundidad el entorno y limpiarlo de forma proactiva. Una vez obtenido este nivel de transparencia, la información sobre "quién, qué y dónde" que proporciona la higiene de TI aporta grandes ventajas a la organización.

2. Mejorar la resiliencia de las aplicaciones orientadas a Internet

CrowdStrike ha observado que los ciberdelincuentes aprovechan la autenticación de un único factor y las aplicaciones orientadas a Internet sin parches. BOSS SPIDER, uno de los primeros actores de amenazas de ransomware de caza mayor, atacaba de forma rutinaria sistemas con protocolo de escritorio remoto (RDP) accesibles desde Internet. Otros ciberdelincuentes menos sofisticados suelen emplear variantes de ransomware como Dharma, Phobos y GlobeImposter para obtener acceso mediante ataques de fuerza bruta a RDP.

3. Implementar y mejorar la seguridad del correo electrónico

Conseguir un punto de apoyo inicial en la organización de una víctima mediante un correo electrónico de phishing es la táctica más habitual para los grupos de ransomware de caza mayor. Normalmente, estos correos electrónicos sospechosos contienen una URL o un enlace malicioso que descarga el payload del ransomware en la estación de trabajo del receptor.

CrowdStrike recomienda implementar una solución de seguridad de correo electrónico que realice filtrado de URL y sandboxing de adjuntos. Para agilizar estas tareas, se puede emplear una función de respuesta automática para habilitar la cuarentena retroactiva de los correos electrónicos enviados antes de que el usuario interactúe con ellos. Además, las organizaciones pueden evitar que los usuarios reciban ejecutables, javascripts, archivos de paquetes de instalador de Windows o archivos zip protegidos con contraseña a menos que exista una necesidad empresarial legítima. Añadir la etiqueta "[External]" a los correos electrónicos procedentes de fuera de la organización y un mensaje de aviso en la parte superior del cuerpo del correo ayuda a los usuarios a actuar con prudencia al gestionar dichos correos.

4. Reforzar los endpoints

A lo largo del ciclo de vida de un ataque que finalmente culmina en la implementación de ransomware, los actores de amenaza a menudo utilizan una serie de técnicas de ataque de endpoints. Estas técnicas abarcan desde atacar configuraciones de AD débiles hasta aprovechar exploits disponibles públicamente en sistemas o aplicaciones sin parches.

En la siguiente lista se incluyen algunas acciones clave para reforzar el sistema que los defensores deben implementar. Es importante tener en cuenta que esta lista no es exhaustiva y que el fortalecimiento del sistema debería ser un proceso iterativo.

• Garantizar una cobertura total en todos los endpoints de la red para los productos de seguridad de endpoints y para la plataforma de detección y respuesta para endpoints (EDR). Todas las plataformas de seguridad de endpoints deben contar con estrictas protecciones antimanipulación y alertas en caso de que un sensor se desconecte o se desinstale.
• Desarrollar un programa de gestión de parches y vulnerabilidades. De este modo, se garantiza que todos los sistemas operativos y aplicaciones de endpoints estén actualizados. Los actores de ransomware aprovechan las vulnerabilidades de endpoints para muchos fines, entre los que se encuentran la elevación de privilegios y el movimiento lateral. Los clientes actuales de Falcon pueden aprovechar la gestión de vulnerabilidades de CrowdStrike Falcon Spotlight™ para comprender casi en tiempo real la exposición a una vulnerabilidad particular en todo el entorno, sin tener que implementar agentes y herramientas de seguridad adicionales.
• Sigue las prácticas recomendadas de seguridad de Active Directory basadas en algunas de las desventajas de AD más comunes que han observado los servicios de CrowdStrike durante las interacciones con ransomware.

5. Proteger los datos ante el ransomware con copias de seguridad offline

En los últimos años, y desde la aparición del ransomware como uno de los principales métodos para monetizar los ataques, los desarrolladores de códigos maliciosos se han vuelto muy eficaces a la hora de garantizar que las víctimas y los investigadores de seguridad no puedan descifrar los datos afectados sin pagar el rescate de la clave de descifrado. Además, al desarrollar la infraestructura de copias de seguridad a prueba de ransomware, lo más importante que se debe considerar es que los actores de amenazas han tenido como objetivo las copias de seguridad online antes de implementar ransomware en el entorno.

Por eso, lo único que puede realmente garantizar que los datos se salven durante un ataque de ransomware es contar con copias de seguridad a prueba de ransomware. Por ejemplo, conservar copias de seguridad offline de los datos permite una recuperación más rápida ante emergencias. Se deben tener en cuenta los siguientes puntos al desarrollar una infraestructura de copias de seguridad offline a prueba de ransomware:

• Las copias de seguridad offline, así como los índices (que describen qué volúmenes contienen qué datos) deben estar completamente separados del resto de la infraestructura.
• El acceso a esas redes debe controlarse mediante estrictas listas de control de acceso (ACL) y todas las autenticaciones deben realizarse a través de la autenticación multifactor (MFA).
• Los administradores con acceso a infraestructuras en línea y offline deben evitar reutilizar contraseñas de cuentas y utilizar un jumpbox al acceder a la infraestructura de copias de seguridad offline.
• Los servicios de almacenamiento en la nube, con ACL y reglas estrictas, también pueden servir como infraestructura de copias de seguridad offline.
• Las situaciones de emergencia, como un ataque de ransomware, deberían ser las únicas ocasiones en que se permita a la infraestructura offline conectarse a la red en directo.

6. Restringir el acceso a infraestructura de gestión de virtualización

Como se mencionó anteriormente, los ciberdelincuentes que participan en campañas de ransomware de caza mayor innovan continuamente para aumentar la efectividad de sus ataques. El desarrollo más reciente de este tipo incluye la capacidad de atacar directamente la infraestructura virtualizada. Este enfoque permite tener como objetivo hipervisores que implementan y almacenan máquinas virtuales (VMDK). Como resultado, los productos de seguridad de endpoints instalados en las máquinas virtuales no pueden ver las acciones maliciosas realizadas en el hipervisor.

7. Implementar una arquitectura Zero Trust

Las organizaciones pueden mejorar su posición de seguridad implementando una arquitectura Zero Trust sólida. Al habilitar un modelo de seguridad Zero Trust, tanto los usuarios que pertenecen a la organización como los externos deben autenticarse y recibir autorización antes de poder acceder a la red y los datos. Como parte de la arquitectura, se puede implementar un programa de gestión de acceso de identidades (IAM). De esta forma, los equipos de TI pueden controlar el acceso a todos los sistemas y aplicaciones en función de la identidad de cada usuario.

Existen varias herramientas de protección de identidades que ayudan a comprender la higiene del almacén de identidades local y en la nube (por ejemplo, Active Directory, Entra ID). Determina lagunas, analiza el comportamiento y las desviaciones de cada cuenta de la plantilla (usuarios humanos, cuentas con privilegios, cuentas de servicio), detecta el movimiento lateral e implementa el acceso condicional basado en riesgos para detectar y detener amenazas de ransomware.

8. Desarrollar y realizar pruebas de presión a un plan de respuesta ante incidentes

A veces, las organizaciones se dan cuenta de la actividad de actores de amenazas en su entorno, pero carecen de la visibilidad para abordar el problema o de la inteligencia adecuada para comprender la naturaleza de la amenaza. Detectar la amenaza y responder con rapidez y eficacia puede marcar la diferencia entre que ocurra un incidente grave o que no llegue a pasar nada.

Los manuales y planes de respuesta ante incidentes ayudan a agilizar la toma de decisiones. Los planes deben abarcar todas las partes de la respuesta en toda la organización. Para el equipo de seguridad, deben ayudar en la toma de decisiones a fin de que los que responden en primera línea no pasen por alto detalles importantes al clasificar las alertas. También deben describir el alcance de la autoridad del equipo de seguridad para tomar medidas decisivas (como cerrar servicios esenciales para la empresa) si un ataque de ransomware parece inminente.

9. Implementar un programa exhaustivo de formación en ciberseguridad

Una de las principales ideas detrás de instalar un programa exhaustivo de formación en ciberseguridad en la organización es protegerla de amenazas cibernéticas como el ransomware. Los empleados adoptarán un enfoque proactivo a la hora de realizar tareas rutinarias, como revisar un correo electrónico para detectar un intento de phishing o usar una VPN al iniciar sesión en la red de la organización desde una red Wi-Fi pública. El programa de formación también incluye una lista de directivas de ciberseguridad y lo esencial que es que todas las partes involucradas las sigan.

10. Tener claro cuándo pedir ayuda

Ante la posibilidad de que la organización se haya visto afectada por ransomware, llamar a expertos para que ayuden a investigar, comprender y mejorar la situación puede marcar la diferencia entre un incidente menor y una brecha importante. A veces, las organizaciones se dan cuenta de la actividad de actores de amenazas en su entorno, pero carecen de la visibilidad para abordar el problema o de la inteligencia adecuada para comprender la naturaleza de la amenaza. Formarse sobre las amenazas más recientes y buscar ayuda activando un contrato o un equipo de respuesta ante incidentes, como los que ofrecen los servicios de CrowdStrike, permite la detección y la remediación antes de que el atacante pueda implementar ransomware o exfiltrar datos del entorno.

Es aún mejor buscar ayuda experta antes de que realmente la necesites. Una evaluación técnica ayuda a identificar y comprender de forma proactiva los factores de la red de tu organización que podrían ocasionar que sea más o menos probable ser víctima de incidentes de ransomware en el futuro. Puede adoptar diferentes formas, dependiendo de tus necesidades actuales y la madurez de la seguridad. Por ejemplo, si experimentas una intrusión limitada a un segmento de la red o unidad de negocio específicos, una evaluación de compromiso a nivel de toda la empresa puede garantizar que el ciberdelincuente no haya accedido a partes del entorno más allá del alcance de la investigación inicial. Otra opción es emplear una evaluación de higiene de TI para identificar contraseñas poco seguras, configuraciones de Active Directory o parches no instalados que podrían abrirle la puerta al próximo ciberdelincuente.