Prácticas recomendadas para la prevención del ransomware
El ransomware es una de las amenazas más peligrosas para los datos, y esta forma de malware sigue evolucionando hacia formas más sofisticadas. Sin embargo, es posible reducir significativamente el riesgo de infección por ransomware y los daños potenciales causados por este tipo de ataques. Conozca las prácticas recomendadas de prevención del ransomware en esta entrada del blog para proteger sus datos con la máxima eficacia.
Las 10 mejores prácticas recomendadas para prevenir el ransomware
El ransomware es un tipo de software malicioso o, en pocas palabras, malware que corrompe los archivos u otros datos del usuario cifrándolos y exige un pago, normalmente en criptomoneda, para restaurar el acceso. La prevención del ransomware requiere un planteamiento a varios niveles, que combine una buena ciberhigiene, controles técnicos y formación de los usuarios. Siga las siguientes recomendaciones para prevenir el ransomware.
Backups regulares
Hacer backups es una medida crucial para protegerse de los ataques de ransomware. El objetivo principal de los backups es crear copias de datos y archivos importantes para poder restaurarlos en caso de pérdida, corrupción o eliminación de datos, incluido un incidente de seguridad como un ataque de ransomware.
Haga backups periódicos de sus datos, especialmente de los datos críticos, y asegúrese de que no se puede acceder a estos backups para modificarlos desde los sistemas donde residen los datos. Establece los intervalos de backups en función de tu RPO. Es mejor hacer backups en diferentes ubicaciones o almacenamiento en la nube, con control de versiones, para recuperar versiones anteriores no corrompidas de tus archivos. Sigue la regla 3-2-1 para hacer backups. Tenga al menos un backup offline o inmutable. Hacer backups de prueba es esencial para asegurarse de poder recuperar los datos si estos se corrompen o se borran tras un ataque de ransomware.
Hacer backups es una de las defensas más críticas para mitigar los daños causados por los ataques de ransomware con la capacidad de recuperar datos, pero no debe considerarse el único método ni el más importante. Forma parte de un enfoque global y estratificado de la ciberseguridad. El objetivo principal debe ser siempre evitar que el ransomware tenga éxito en primer lugar. Una estrategia de seguridad integral es la forma más eficaz de minimizar los riesgos causados por los ataques de ransomware. Piense en el backup de como una póliza de seguro vital: es esencial tenerlo, pero mejor si no se necesita porque sus medidas preventivas han funcionado con éxito. Si otras medidas no ayudan a prevenir una infección por ransomware, hacer backups es la última línea de defensa.
Antivirus y cortafuegos
Instale soluciones antivirus y antimalware de confianza, incluida la detección basada en el comportamiento que puede identificar actividades potencialmente maliciosas características del ransomware y prevenir infecciones de ransomware. Actualice regularmente el software antivirus. Las soluciones de software antivirus disponen de una base de datos de firmas de virus/malware conocidos y analizan los archivos comparando los datos del archivo con estas firmas para identificar y eliminar el software malicioso. Sin embargo, puede ser menos eficaz contra las amenazas de día cero que no se han visto antes.
Los programas antivirus más avanzados incluyen funciones de análisis heurístico que examinan los comportamientos del software y las acciones dentro de un sistema para detectar virus desconocidos hasta ahora o nuevas variantes de virus conocidos. El software antivirus puede ejecutarse en segundo plano y analizar los archivos descargados en tiempo real, así como analizar los archivos cuando se ejecutan y modifican. Esto puede detectar y detener el ransomware antes de que pueda cifrar los archivos. La protección antivirus de los ordenadores de los usuarios finales es esencial.
Los antivirus modernos suelen incluir funciones de seguridad más completas que supervisan los cambios del sistema en busca de indicios de actividad de malware. Esto podría incluir modificaciones inesperadas de archivos, actividad de cifrado no autorizada o intentos de modificar archivos críticos del sistema.
Instale y configure cortafuegos en su red. Los cortafuegos y el software antivirus son dos herramientas de seguridad fundamentales que desempeñan un papel importante en la prevención de los ataques de ransomware al actuar como primera línea de defensa contra las amenazas externas. Ayudan a proteger los sistemas contra la infección por programas maliciosos, incluido el ransomware, y pueden limitar el impacto en caso de que se produzca una infección.
Los cortafuegos son sistemas que supervisan el tráfico de red entrante y saliente en función de las reglas aplicadas y pueden impedir el acceso no autorizado y no deseado a una red o desde ella. Ayudan a bloquear el tráfico malicioso que podría enviar cargas útiles de ransomware a los sistemas. Cerrar el acceso a servicios innecesarios de Internet. Servicios como RDP, SSH y SMB no deben estar expuestos a Internet. Al cerrar los puertos no utilizados, los cortafuegos ayudan a limitar los posibles puntos de entrada del ransomware y otros programas maliciosos. Los cortafuegos avanzados pueden restringir el uso de aplicaciones de riesgo o no aprobadas, reduciendo los vectores potenciales de infección por ransomware.
Los cortafuegos pueden utilizarse para crear una segmentación dentro de una red (segmentación de red), aislando los sistemas y segmentos de la red entre sí.
Combine cortafuegos con software antivirus. Para maximizar la protección contra el ransomware, debe utilizar tanto cortafuegos como antivirus como parte de su estrategia de seguridad.
- El cortafuegos actúa como una barrera entre su red interna (o un solo ordenador) y las redes externas (como Internet), filtrando las amenazas potenciales antes de que lleguen a sus sistemas.
- El software antivirus ofrece una segunda capa de defensa, ya que atrapa el malware que se infiltra por otras vías o se introduce por vías ajenas a la red (por ejemplo, a través de unidades USB).
Parches de seguridad
Mantenga actualizados los sistemas operativos, el firmware y el software, incluido el antivirus, y asegúrese de que están instalados los últimos parches de seguridad. Los desarrolladores de software publican con frecuencia actualizaciones que incluyen parches para vulnerabilidades de seguridad. Muchos ataques de ransomware aprovechan fallos conocidos en sistemas operativos, aplicaciones y firmware para acceder a los sistemas y propagarse por las redes. Aplicando estas actualizaciones con prontitud, las organizaciones pueden cerrar estas vulnerabilidades y hacer más difícil que el ransomware penetre en sus defensas.
Las actualizaciones son útiles porque los proveedores de software publican funciones de seguridad mejoradas o nuevas en las actualizaciones que aumentan la resiliencia general del software frente a diversas formas de ciberataques, incluido el ransomware. Por ejemplo, una nueva versión de un sistema operativo puede venir con mejor cifrado o ajustes de seguridad por defecto más robustos.
Un ataque de día cero se produce cuando los piratas informáticos aprovechan una vulnerabilidad desconocida hasta el momento antes de que el proveedor publique un parche. Aunque es imposible parchear un fallo de día cero antes de que se descubra, las actualizaciones periódicas garantizan que, una vez conocida y parcheada una vulnerabilidad de este tipo, la protección esté disponible y pueda aplicarse rápidamente.
Las actualizaciones de software también pueden proporcionar compatibilidad con tecnologías más nuevas y seguras que pueden proteger mejor contra el malware. Esto podría incluir capacidades de supervisión mejoradas, integración con sistemas de detección de amenazas más avanzados o compatibilidad con funciones de seguridad basadas en hardware. Confiar en las actualizaciones oportunas del software, como parte de una estrategia de seguridad de varios niveles, reduce significativamente el riesgo de ser víctima de ataques de ransomware y refuerza la estrategia general de ciberseguridad de una organización.
Segmentación de la red
Utilice la segmentación de red en su entorno para limitar la propagación del ransomware. La segmentación de redes es una estrategia de ciberseguridad que consiste en dividir una red más grande en subredes o segmentos más pequeños y separados. Cada segmento funciona como una pequeña red independiente, que puede contener su propio conjunto de reglas y controles de seguridad. Si un segmento se infecta, no debería poder propagarse fácilmente a otras partes de la red.
Esto significa que si se produce una infección de ransomware en un segmento, la segmentación actúa como barrera y esto limita el movimiento horizontal del ransomware. Esta contención puede reducir significativamente el impacto global de un ataque.
La segmentación minimiza el número de sistemas y servicios accesibles desde cualquier punto de la red. Los atacantes tienen menos objetivos a los que dirigirse tras romper la defensa inicial, lo que reduce la superficie de ataque de la red. Es más sencillo supervisar y gestionar segmentos de red más pequeños. El tráfico de red inusual, que podría indicar un ataque de ransomware, es más fácil de detectar cuando los segmentos están aislados y tienen patrones de tráfico definidos.
En caso de infección por ransomware, las redes segmentadas ayudan a dar una respuesta más precisa y eficaz a los incidentes, ya que es posible centrarse en el segmento afectado sin necesidad de hacer caer toda la red. Este enfoque selectivo también ayuda a alcanzar tiempos de recuperación más rápidos para los servicios críticos que podrían no verse afectados.
Seguridad del correo electrónico
Tenga cuidado con los archivos adjuntos y los enlaces del correo electrónico. No abra correos electrónicos ni haga clic en enlaces de fuentes desconocidas o sospechosas. El correo electrónico es uno de los vectores más comunes de los ataques de ransomware, a menudo a través de engañosas campañas de phishing. Los atacantes intentan engañar a los usuarios utilizando diferentes técnicas para que descarguen archivos adjuntos maliciosos en correos electrónicos o hagan clic en enlaces dañinos que conducen a sitios web infectados con malware. La aplicación de medidas sólidas de protección del correo electrónico es esencial para la prevención y protección contra el ransomware.
Utilice soluciones avanzadas de filtrado de correo electrónico que analizan los mensajes entrantes y salientes en busca de spam, intentos de phishing y malware. Los filtros pueden bloquear correos electrónicos maliciosos antes de que lleguen a la bandeja de entrada del usuario, basándose en características como URL maliciosas conocidas, archivos adjuntos sospechosos o información inusual del remitente. Aplique políticas de filtrado web en los enlaces contenidos en los correos electrónicos, bloqueando el acceso a sitios maliciosos conocidos. Algunas soluciones pueden reescribir enlaces; así, cuando se hace clic en ellos, primero pasan por una comprobación de análisis de amenazas.
Instale soluciones de seguridad para el correo electrónico que incluyan tecnología antiphishing. Estas herramientas pueden identificar y bloquear correos electrónicos que contengan indicadores de phishing, como dominios falsos o direcciones engañosas. Utilice herramientas que analicen los archivos adjuntos en busca de malware y puedan ejecutarlos en un entorno aislado. Las herramientas Sandbox abren archivos en un entorno virtual contenido para comprobar comportamientos sospechosos sin arriesgar la red real. Desactiva las macros (scripts de macros) de los archivos ofimáticos (como los archivos para Microsoft Office) transmitidos por correo electrónico. La mayoría de las plataformas de protección pueden automatizar este proceso. Desactivar la ejecución automática de scripts Java y VBS.
Eduque continuamente a los usuarios sobre los riesgos del phishing, cómo reconocer correos electrónicos sospechosos y lo importante que es no abrir archivos adjuntos ni hacer clic en enlaces de fuentes desconocidas o no fiables. Desactive las funciones de reenvío automático en las plataformas de correo electrónico para evitar que los atacantes establezcan reglas para filtrar datos si obtienen acceso a la cuenta de correo electrónico de un usuario. Además, es crucial mantener actualizados los sistemas de correo electrónico, aplicar los parches lanzados por los proveedores de soluciones de correo electrónico y supervisar continuamente las actividades anómalas en el entorno de correo electrónico.
Control de acceso
Utilizar el principio del mínimo privilegio para garantizar que los usuarios sólo tienen los permisos de acceso necesarios para desempeñar las funciones de su job. Además, gestione con rigor los privilegios administrativos y supervise el uso de dichas cuentas. Implantar políticas estrictas de acceso y permisos es una medida defensiva esencial contra el ransomware y otras formas de malware. Estas políticas garantizan que los usuarios tengan el nivel mínimo de acceso necesario para realizar su job, lo que puede ayudar a limitar la propagación y el impacto del ransomware si una cuenta de usuario se ve comprometida y el ransomware se abre camino en un sistema.
Revise y audite periódicamente los permisos para asegurarse de que siguen ajustándose a los requisitos actuales del job y realice los ajustes necesarios. A menudo, los derechos de acceso de los usuarios deben cambiar con sus funciones y el acceso de los antiguos empleados debe revocarse tras su cese.
Aplique políticas estrictas de contraseñas que exijan contraseñas complejas y únicas que se cambien con regularidad. Esto limita la posibilidad de acceso no autorizado debido a contraseñas débiles o comprometidas. Sólo unos pocos usuarios deberían tener privilegios administrativos, ya que estas cuentas pueden realizar cambios en todo el sistema. Reducir al mínimo el número de cuentas de este tipo y supervisarlas de cerca. Utilice contraseñas seguras y únicas e implante la autenticación multifactor (MFA) cuando sea posible.
Implemente tiempos de espera para las sesiones de usuario tras periodos de inactividad porque reduce el riesgo de acceso no autorizado a máquinas desatendidas. Implemente políticas que bloqueen las cuentas de usuario después de un cierto número de intentos fallidos de inicio de sesión, ya que este enfoque puede ayudar a prevenir los ataques de fuerza bruta.
Limitar el acceso físico a las infraestructuras críticas únicamente al personal autorizado. Equipos como servidores, enrutadores y conmutadores deben estar protegidos contra el acceso no autorizado. Debe darse protección adicional a los datos sensibles. Sólo deben poder hacerlo las personas que necesiten acceder a información sensible para su trabajo.
Plan de respuesta a incidentes
Elabore un plan detallado de respuesta a incidentes y pruébelo periódicamente. Asegúrese de que este plan describe los pasos que deben darse en caso de ataque de ransomware, incluidos los protocolos de comunicación, las medidas de contención y los procedimientos de recuperación. Este plan debe actualizarse periódicamente y ponerse a prueba mediante ejercicios teóricos y simulacros.
Elabore un plan de recuperación ante desastres que debe centrarse en restaurar los sistemas y datos críticos tras un incidente como un ataque de ransomware. Debe detallar los procedimientos de backups, los procesos de restauración de datos y el restablecimiento de los servicios con un tiempo de inactividad mínimo. No se olvide de las pruebas de recuperación ante desastres.
Auditorías de seguridad periódicas
Realice auditorías de seguridad periódicas en su infraestructura informática para detectar vulnerabilidades y puntos débiles en su sistema. Aborde cualquier problema con prontitud para mejorar su nivel general de seguridad. Probar su entorno para asegurarse de que está protegido contra el ransomware requiere un enfoque exhaustivo que incluya evaluaciones, simulaciones, pruebas de penetración y revisión de los procesos de backups y recuperación.
Comience con una evaluación de vulnerabilidades para identificar posibles puntos débiles de seguridad en su entorno que el ransomware podría aprovechar. Utilice herramientas de análisis automatizadas para buscar software sin parches, ajustes de seguridad mal configurados y contraseñas débiles.
Realice pruebas de penetración en las que expertos en seguridad autorizados (hackers éticos) traten activamente de explotar las vulnerabilidades de su red, como lo haría un atacante. Pueden utilizar vectores de ataque centrados en el ransomware para ver si pueden infiltrarse en sus sistemas y cifrar los archivos.
Realice campañas de simulación de phishing para imitar intentos reales de phishing, que son sistemas habituales de entrega de ransomware. Esto le ayuda a comprobar si los usuarios pueden reconocer y gestionar correctamente los correos electrónicos sospechosos. Compruebe la eficacia de sus programas de formación en seguridad. Evalúe hasta qué punto los usuarios siguen los protocolos de seguridad, como no hacer clic en enlaces desconocidos o no utilizar dispositivos USB infectados.
Realice pruebas de ingeniería social para evaluar si los usuarios son vulnerables a tácticas que podrían conducir a una infección por ransomware. Esto puede implicar llamadas telefónicas, pruebas de seguridad física y otras técnicas para ver si los atacantes pueden engañar a los usuarios para que concedan acceso a sistemas seguros.
Realice simulacros de respuesta a incidentes en los que simule un ataque de ransomware y repase su plan de respuesta a incidentes para comprobar lo bien que su organización puede detectar, contener y responder a la amenaza. Esto ayuda a validar la eficacia de su equipo de seguridad y garantiza que todos conozcan sus funciones durante un suceso real.
Pruebe regularmente sus soluciones de protección de datos responsables de hacer backups y de la recuperación para asegurarse de que funcionan correctamente y de que puede restaurar los sistemas y los datos a tiempo, según el RTO predefinido en caso de ataque de ransomware. Verifique que los backups se están haciendo como se esperaba, que son inaccesibles al ransomware y que se mantiene la integridad de los datos. La supervisión de la infraestructura también es importante para defenderse del ransomware.
Asegúrese de que sus políticas de seguridad están al día con el panorama actual de amenazas y reflejan las últimas prácticas recomendadas para la prevención del ransomware, incluidos los controles de acceso, el cifrado y el uso de herramientas de seguridad. Compruebe que su proceso de gestión de parches es eficaz asegurándose de que los sistemas están al día y asegúrese de que están instalados los últimos parches de seguridad y actualizaciones de software.
Configurar la detección de ransomware a tiempo consiste en establecer sus defensas para identificar rápidamente la posible actividad de ransomware antes de que pueda causar daños significativos. La detección a tiempo puede ayudarle a proteger sus datos, ya que le permite responder y neutralizar las amenazas antes de que cifren grandes cantidades de archivos o se propaguen a otros sistemas.
Formación de usuarios
El papel de la formación de los usuarios y trabajadores de las organizaciones para protegerse contra el ransomware es fundamental. El error humano o la falta de concienciación es una de las causas más comunes de las brechas de seguridad, incluidos los ataques de ransomware. Educando al equipo de usuarios, las organizaciones pueden reforzar significativamente su primera línea de defensa contra este tipo de amenazas.
Eduque a los trabajadores sobre el peligro de los correos electrónicos de phishing y los ataques de ingeniería social. La formación debe hacer hincapié en la importancia de no hacer clic en enlaces sospechosos de correos electrónicos y sitios web ni descargar archivos adjuntos de correos electrónicos de fuentes desconocidas. Algunos sitios web pueden mostrar falsas alertas antivirus en páginas web, hacer clic en las cuales puede conducir a la descarga de ransomware. Descargue archivos sólo de sitios web de confianza.
El objetivo principal de la formación es concienciar sobre el ransomware, su impacto y las tácticas habituales utilizadas por los ciberdelincuentes, como correos electrónicos de phishing, archivos adjuntos maliciosos y sitios web fraudulentos. Cuando las personas saben qué buscar, es más probable que identifiquen y eviten posibles amenazas.
Los programas de formación suelen centrarse en enseñar a los usuarios a reconocer los intentos de phishing, que se utilizan con frecuencia para introducir ransomware en los sistemas. Esto incluye ser escéptico ante correos electrónicos no deseados, comprobar la dirección de correo electrónico del remitente, identificar saludos genéricos y estar atento a URL o nombres de dominio mal escritos.
Los usuarios deben recibir formación sobre hábitos informáticos seguros, como ignorar los enlaces desconocidos y no hacer clic en ellos, no descargar archivos adjuntos no verificados, utilizar contraseñas fuertes y únicas y evitar el uso de redes no seguras (como las redes Wi-Fi públicas). Almacenar las contraseñas en archivos de texto en los ordenadores no es seguro.
Los usuarios deben saber utilizar eficazmente las herramientas de seguridad proporcionadas por la organización. Esto incluye cómo ejecutar manualmente análisis antivirus, activar cortafuegos y configurar VPN para un acceso remoto seguro.
Los usuarios deben conocer su papel en el plan de respuesta a incidentes de la organización si se produce un ataque de ransomware, incluido con quién ponerse en contacto y cómo actuar para minimizar la propagación de la infección. Deben conocer los procedimientos correctos para notificar actividades sospechosas o posibles incidentes de seguridad. Una notificación rápida puede mitigar significativamente el impacto de un ataque de ransomware.
Las ciberamenazas evolucionan rápidamente, por lo que la formación debe ser un proceso continuo con actualizaciones periódicas para cubrir las nuevas tácticas, amenazas y medidas de protección contra el ransomware. Una formación repetida y atractiva, junto con ejercicios prácticos como simulaciones de phishing, pueden garantizar que los usuarios permanezcan alerta ante la amenaza del ransomware. Las organizaciones también deben proporcionar formación adicional y específica a los equipos de TI para asegurarse de que pueden desplegar, gestionar y responder a las amenazas de ransomware con eficacia.
Sistemas de detección de ransomware
Considere la posibilidad de instalar sistemas complejos de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS), componentes integrales de la seguridad de la red que ayudan a protegerse contra diversos tipos de ciberamenazas, incluido el ransomware.
Un sistema de detección de intrusos supervisa el tráfico en la red y las actividades del sistema en busca de comportamientos sospechosos que puedan indicar un posible ataque de ransomware. Si el IDS detecta patrones coherentes con las firmas de ransomware conocidas o un comportamiento anómalo que pueda sugerir un intento de ransomware (como el cifrado rápido de archivos), alerta a los administradores para que investiguen más a fondo.
Estos sistemas también pueden emplear técnicas de detección basadas en anomalías, que establecen una línea de base de la actividad normal de la red. Cualquier desviación significativa de esta línea de base podría indicar una amenaza de seguridad como el ransomware. Este método ayuda a detectar los ataques de ransomware de día cero, que aún no se conocen y, por tanto, no tienen firma.
Los IPS pueden configurarse para filtrar el tráfico de red potencialmente dañino basándose en protocolos, direcciones IP y otros atributos. Estas reglas de filtrado pueden actualizarse con frecuencia para adaptarse a la evolución del panorama de amenazas, incluidos los nuevos indicadores de ransomware identificados.
Cómo recuperarse después de un ransomware con NAKIVO
NAKIVO Backup & Replication puede ayudarle en términos de defensa contra el ransomware proporcionando una protección de datos fiable. La solución NAKIVO puede hacer backup de los datos en múltiples tipos de repositorios de backups, incluidos los de cinta y los de almacenamiento con inmutabilidad. La solución es compatible con diversas funciones útiles:
- Inmutabilidad de backups. Se puede configurar un repositorio de backups con inmutabilidad en una máquina Linux y en la nube. Amazon S3 y el almacenamiento de objetos compatible con S3 están equipados con el bloqueo de objetos de S3 mediante el enfoque WORM (write once read many). Esto, a su vez, le permite hacer backups de datos una vez, pero el ransomware no puede modificar ni eliminar estos datos protegidos si las máquinas de su entorno están infectadas.
- Análisis de malware en los backups. Realice un análisis de malware antes de restaurar sus backups en el entorno de producción para asegurarse de que están libres de ransomware. En caso de que la solución detecte datos infectados, puede abortar el job de recuperación o enviar la máquina infectada a una red aislada para seguir investigando.
- Backups sin conexión. La solución NAKIVO también es compatible con la función de desprendimiento del repositorio de backups. Separar un medio de backup o hacer backups en el almacenamiento aislado de la red también impide que el ransomware modifique los datos. Almacenar una copia de backup en cinta hace que una copia de seguridad sea invulnerable al ransomware.
- Copia de backups. La solución permite crear y enviar copias de backups a diferentes tipos de repositorios de forma eficaz para cumplir la regla 3-2-1 de backups, que es una de las principales prácticas de prevención de ataques de ransomware en la categoría de backups.
- Backups cifrados. Los backups cifrados te ayudan a evitar fugas de datos si el ransomware puede acceder a los datos del backup.
- Pruebas de backups. La función de verificación de backup comprueba los datos de backup una vez finalizado un job de backup de VM para garantizar que los datos son coherentes. Las pruebas de recuperación ante desastres sirven para garantizar que un plan de recuperación compuesto funciona.
- Protección de diversas fuentes. El producto es compatible con la protección de máquinas físicas y virtuales, instancias de Amazon EC2, Microsoft 365 y otras fuentes. Se pueden proteger entornos locales, físicos, virtuales, en la nube e híbridos.
- Recuperación rápida. En caso de recuperación tras un ransomware, NAKIVO Backup & Replication ayuda a reducir el tiempo de inactividad y recupera los datos en poco tiempo. La función Site Recovery se adopta para escenarios complejos de recuperación ante desastres que pueden automatizarse.
