El ransomware es un incidente con el que se topan muchas empresas. Según el Informe de tendencias de ransomware 2023, el 85 % de las empresas encuestadas ha sufrido al menos un ciberataque en los últimos 12 meses. En el caso de los afectados, solo el 66 % de sus datos eran recuperables. Aunque el ransomware es innegablemente una amenaza, el riesgo se puede mitigar en gran medida si se cuenta con una estrategia defensiva.
Las mismas estadísticas muestran que el 16% de estas empresas no pagaron un rescate. Se recuperaron porque contaban con sólidos sistemas de prevención de ransomware.
La prevención del ransomware es una serie de medidas proactivas que puede tomar para reducir el riesgo de un ataque. Para que resulte más difícil realizar ciberataques, debe asegurarse de que dispone de políticas de Identity and Access Management (IAM) sólidas. Para complementar su IAM, debe contar con herramientas de seguridad sólidas como SIEM y XDR para ayudar a sus equipos de seguridad a detectar, monitorizar, investigar y responder a las amenazas. Por último, asegúrese de tener un conjunto de backups a prueba de fallos que permitan una recuperación limpia y rápida en caso de que el ataque tenga éxito. Estas medidas pueden incluir:
Controles sólidos de identidad y acceso
Seguridad del correo electrónico
Segmentación de la red
Actualizaciones periódicas de software
Formación constante de los empleados
Seguridad del navegador web
Endpoints reforzados
El segundo objetivo es garantizar que tiene acceso a backups y snapshots seguros e inmutables para facilitar la recuperación de los datos en caso de un ataque exitoso.
Entendiendo el ransomware: Una introducción rápida
El ransomware es software malicioso que cifra la información y los datos de la víctima. Según el FBI, los métodos comunes que utilizan los ciberdelincuentes para obtener acceso a dispositivos y aplicaciones incluyen:
Phishing: Correos electrónicos, mensajes de texto o publicaciones en redes sociales que contengan enlaces a sitios que alojen malware
Ataques drive-by: Visitar un sitio web infectado que descarga malware en el dispositivo o sistema de la víctima.
Explotación de fallas de software: Obtener acceso a los sistemas a través de vulnerabilidades de software en endpoints y servidores
Unidades extraíbles infectadas: Insertar unidades extraíbles, como USB, que contengan el virus malicioso o malware para infectar los dispositivos
Ataques de ingeniería social: Estos ataques se dirigen a los empleados o contratistas de una empresa para que la víctima divulgue información sensible o confidencial con el objetivo de hacer daño.
Una vez que los ciberdelincuentes acceden a sus sistemas, descargan el software para ejecutar el ransomware que busca servidores de datos para cifrar. Una vez cifrado, los ciberdelincuentes exigen que las víctimas paguen un rescate a cambio de una clave de descifrado. También es habitual que estos delincuentes se apropien de archivos que contienen datos confidenciales y amenacen con liberarlos o venderlos a menos que se pague el rescate.
Desafortunadamente, pagar el rescate no siempre funciona. En uno de cada cuatro casos, la clave de descifrado es defectuosa. Aunque la clave funcione, de media solo se puede recuperar el 55 % de los datos cifrados.
La importancia de la prevención del ransomware
Los ataques de ransomware son muy rentables para los ciberdelincuentes. Según la red de control de delitos financieros (Financial Crimes Enforcement Network), los archivos de la ley de secretos bancarios indicaron que las pérdidas totales debidas a incidentes de ransomware en 2021 fueron de aproximadamente 1.200 millones de dólares. Igualmente preocupante es el hecho de que a las empresas les lleva, en promedio, tres semanas y media recuperarse de un incidente de ransomware. Las empresas pueden sufrir pérdidas financieras significativas y daños a la reputación después de un incidente; sin embargo, los clientes se ven igualmente afectados ya que su información de identificación personal (PII), como direcciones, números de seguro social, detalles de tarjetas de crédito y más, ahora son públicas y / o vendidas en el mercado negro.
Esto destaca el papel fundamental de la prevención del ransomware y de asegurarse de que se dispone de estrategias de mitigación. No existe una forma infalible de evitar que su empresa sea atacada, pero una estrategia integral de ciberresiliencia puede reducir los efectos de estos ataques y mejorar la probabilidad de recuperar su información confidencial.
La siguiente sección muestra cómo prevenir los ataques de ransomware.
Crear una estrategia sólida de prevención del ransomware
Derrotar al ransomware requiere una estrategia de múltiples capas. Necesita múltiples capas defensivas, por lo que si un hacker compromete una capa, aún tiene protección. No hay una única solución, sino más bien un conjunto de estrategias integrales de prevención y recuperación.
Múltiples capas pueden prevenir los ataques de ransomware en varios puntos y contra diferentes tipos de ataques. Esta estrategia incluye la formación de los empleados, el refuerzo de los sistemas contra ataques y la resiliencia de datos.
Autenticación y autorización sólidas: Protección del acceso
La primera línea de defensa es una sólida estrategia de Identity and Access Management (gestión de identidades y accesos) sin contraseñas. Las contraseñas son fáciles de hackear, difíciles de recordar y mantener. Recomendamos encarecidamente que su organización adopte un enfoque sin contraseña o claves de acceso para los empleados, así como para sus cargas de trabajo.
Refuerce su enfoque de confianza cero garantizando la implementación de la autenticación multifactor (MFA) para acceder a información, sistemas y dispositivos corporativos. Por ejemplo, aproveche una solución sin contraseña como Windows Hello con una forma secundaria de identificación, como un PIN, y Microsoft Authenticator que solicite una validación física de la ubicación para la autorización.
Soluciones de seguridad: Su mejor amigo
Las soluciones de seguridad están ahí para ayudar a sus equipos de ciberseguridad en su esfuerzo por proteger rápida y eficazmente sus servidores y sistemas operativos frente a los ataques. Las soluciones SIEM y XDR pueden monitorizar el tráfico de red para detectar y señalar actividades inusuales en la red y ciberamenazas. Los firewalls impiden el tráfico no autorizado entre la red e Internet y entre las VPN y las particiones de red. El software antivirus busca y bloquea específicamente los virus informáticos y el malware, mientras que la seguridad de los endpoints protege los dispositivos de la red, como ordenadores, impresoras, servidores y dispositivos IoT. Las soluciones basadas en la nube utilizan seguridad virtual para proteger máquinas, servidores y redes virtuales. Elija soluciones de seguridad de buena reputación y mantenga actualizado el software de seguridad.
Controles de acceso y segmentación de red
Emplee controles de acceso robustos. Divida sus sistemas para controlar posibles infecciones. Asegúrese de que los sistemas vulnerables y de alto valor no tengan acceso externo a Internet. Adopte el principio de privilegio mínimo para que los usuarios solo puedan acceder a aquellos recursos que necesitan para realizar su trabajo.
Filtrado de correo electrónico y seguridad web
El correo electrónico es uno de los métodos más comunes para la distribución de ransomware. Los piratas informáticos disfrazan estos correos electrónicos de tal manera que parecen ser genuinos. Configure filtros de correo electrónico sólidos para detectar intentos de phishing y active filtros de spam sólidos. Las aplicaciones de colaboración, como Microsoft 365, tienen características avanzadas integradas anti-phishing. Otras formas de phishing son los SMS y el phishing de voz en dispositivos móviles.
Actualizaciones de software y sistemas: Mantener a raya las vulnerabilidades
Ningún software es perfecto. E incluso después de pruebas exhaustivas, inevitablemente contiene vulnerabilidades. Los ciberdelincuentes los buscan y, cuando los encuentran, los explotan para insertar malware, robar datos o cifrar archivos. Es vital instalar lo antes posible parches de seguridad para evitar que los hackers aprovechen estas vulnerabilidades. El software obsoleto y sin soporte es particularmente vulnerable a los ataques.
Capacitación y concientización constantes de los empleados
Los empleados desempeñan un papel fundamental en el fortalecimiento de su postura de seguridad y la protección de sus activos digitales. Invierta en su formación y concienciación para que puedan protegerse a sí mismos y a su organización. Utilice herramientas educativas, como KnowBe4 y Gophish, para capacitar a los empleados sobre las diferentes formas de ataques de phishing y cómo deben responder. El Wi-Fi gratuito es el mejor amigo de un hacker y debe evitarse en dispositivos personales y corporativos. Muestre cómo los ciberdelincuentes utilizan URL engañosas y conciencie sobre los peligros de acceder a sitios web de piratería que suelen mostrar malware oculto en los anuncios.
Prácticas de descarga segura
Es fundamental adoptar prácticas de descarga seguras, ya que los hackers pueden adjuntar fácilmente malware a archivos, aplicaciones, mensajes o navegadores. Solo descargue archivos o software de sitios confiables y asegúrese de que estos sitios tengan “https” en la barra de direcciones del navegador. Evite los sitios “http”, ya que no son seguros. Además, busque un emblema de escudo o un símbolo de candado que generalmente se encuentra en el lado izquierdo de la barra de direcciones antes de la URL del sitio. Si desconfía de la veracidad de un sitio, compruebe la página Acerca de y otros datos, como la dirección física y el número de teléfono fijo. No descargues archivos de sitios web sospechosos o enlaces desconocidos en correos electrónicos o aplicaciones de mensajería. Denuncie correos electrónicos sospechosos. Es una buena práctica analizar los archivos adjuntos con el software de seguridad antes de abrirlos.
El poder de los backups: Resiliencia de datos
Sus backups representan la última y más importante línea de defensa contra un determinado ataque de ransomware. El primer paso es proteger su consola de backup y replicación , ya que sin esto, no habrá nada que hacer. Además de reforzar su patrimonio digital y asegurarse de que cuenta con sólidas medidas de seguridad e identidad, es imprescindible que haga una copia de seguridad de los ajustes de configuración para restaurar rápidamente sus datos propios y los de su empresa. De este modo, podrá restaurar la consola si se daña o se cifra. También es fundamental proteger su almacenamiento de backup contra ataques de ransomware siguiendo estas indicaciones:
Realice backups periódicos: Su último backup es el más importante, ya que es el que contiene sus transacciones más recientes. Realice backups de forma periódica para reducir al mínimo la pérdida de datos ante un ataque de ransomware. Elija una frecuencia que sea coherente con el volumen de transacciones, su valor y el coste de realizar múltiples backups.
Garantizar la inmutabilidad: Haga que sus backups sean inmutables. Esto significa que no se pueden sobrescribir, cambiar o modificar. La inmutabilidad protege contra ataques de ransomware y borrado accidental.
Cifrar backups: Cifre siempre sus backups. El cifrado significa que si un hacker accede o intercepta sus backups, no puede leerlos ni filtrarlos. Añade una capa extra de seguridad a sus backups.
Verifique los backups: Debe verificar sus backups. Dependiendo del software de backup que utilice, es muy posible hacer un backup corrupto, incompleto o inutilizable. La mejor forma de comprobar los backups es configurar una máquina virtual y hacer una restauración de prueba. Alternativamente, utilice una solución de validación de backup automatizada que compruebe el backup a nivel de archivo. Además, analice sus backups en busca de rastros de malware que puedan cifrar sus datos durante el proceso de restauración.
Limite el acceso a los backups: Limite el acceso a la menor cantidad posible de personal clave y utilice procedimientos de autenticación de alto nivel para controlar el acceso. Mantenga sus servidores de backup separados de los sistemas en línea.
Adopte la regla de backup 3-2-1-0: Mantenga tres conjuntos redundantes de backups además de sus conjuntos de datos en línea. Utilice al menos dos tipos diferentes de medios para almacenar los datos. Puede estar en un disco duro, en un repositorio seguro en la nube o en una cinta. Mantenga una copia dentro de sus sistemas corporativos para facilitar el acceso, pero asegúrese de que haya otra copia off-site, sin conexión y protegida. Esto protege contra ransomware y desastres naturales o de otro tipo. El último dígito de la regla, el cero, muestra la importancia de probar sus backups para asegurarse de que no haya errores.
Conclusión: Fortalezca sus defensas contra el ransomware
El ransomware continúa siendo una amenaza.
Al mismo tiempo, las empresas que tenían acceso a backups inmutables fuera del alcance de los ciberdelincuentes pudieron restaurar sus sistemas y reanudar sus actividades con la mínima interrupción.
Su éxito se debió a una sólida estrategia de prevención de ransomware que incluía múltiples capas de defensa, incluyendo:
Un enfoque de Identity and Access Management sólido
Proveedores de soluciones de seguridad especializados en la detección, monitorización, investigación y respuesta a amenazas
Sólidos controles de acceso y segmentación de la red
Filtrado de correo electrónico y seguridad web
Actualizaciones y parches de software frecuentes para evitar vulnerabilidades
Programas continuos de formación y concienciación para los empleados
Prácticas de descarga segura
La última capa de protección es contar con una estrategia de backup eficaz que se base en múltiples copias de seguridad simultáneas almacenadas en distintos lugares, en diferentes soportes y sin conexión. Para ello se recurre a la inmutabilidad y al cifrado y verificación de backups. Cuando todo lo demás falla, una solución de recuperación de ransomware segura es la mejor protección contra el ransomware.
El ransomware es una amenaza en crecimiento para todas las empresas. Las estadísticas demuestran que la mayoría de las empresas ha sufrido ataques de ransomware. Muchos se vieron obligados a pagar un rescate porque sus backups estaban cifrados. De media, la mayoría de las empresas sufrieron periodos de inactividad de tres o más semanas mientras intentaban recuperarse de estos ataques.
Contenido relacionado
- 6 mejores prácticas para protegerse contra el ransomware
- Las siete mejores prácticas de recuperación de ransomware
- Plan de respuesta al ransomware en 6 pasos
- Kit de prevención de ransomware
- Serie de demostraciones de protección frente al ransomware
- Asóciese con Veeam