Cómo prevenir el ransomware

Realizar copias de seguridad de los datos, actualizar con regularidad el software y utilizar un enfoque de seguridad Zero Trust son formas de evitar que las infecciones de ransomware acaben con una red.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Identificar las principales estrategias para detener el ransomware
  • Entender cómo prevenir un posible ataque de ransomware
  • Explicar los mejores modelos de seguridad de red para bloquear las infecciones de ransomware

Copiar enlace del artículo

Cómo prevenir el ransomware

El ransomware es una amenaza en aumento, pero las buenas prácticas de seguridad, como las actualizaciones periódicas del software, las copias de seguridad frecuentes de los datos y la formación de los usuarios en seguridad del correo electrónico, pueden disminuir las probabilidades de que afecte a una organización.

El ransomware es un tipo de software malicioso, o malware, que bloquea archivos y datos y los retiene para pedir un rescate. Suele hacerlo mediante la encriptación de los archivos y datos, y el atacante se queda con la clave de encriptación. El ransomware puede entrar en una red de diferentes maneras: correos electrónicos maliciosos, vulnerabilidades o a través de otras infecciones de malware.

No hay una forma 100 % infalible de evitar que el ransomware entre en una red, pero tomar las siguientes medidas puede reducir considerablemente el riesgo de ataque.

Actualiza el software con regularidad

Una forma habitual de que el ransomware entre y se propague en una red es aprovechando las vulnerabilidades del software obsoleto. Una "vulnerabilidad" es un fallo de software que alguien puede utilizar con fines maliciosos. A medida que se van descubriendo vulnerabilidades, los proveedores de software publican regularmente correcciones para solucionarlas en forma de actualizaciones de software. Si no se actualizan los sistemas operativos y las aplicaciones con regularidad, es como dejar la puerta de una casa sin cerrar para que los ladrones entren directamente.

Por ejemplo, en mayo de 2017, el ransomware WannaCry utilizó la famosa vulnerabilidad "EternalBlue" para infectar a más de 200 000 ordenadores, a pesar de que Microsoft había publicado previamente un parche para la vulnerabilidad.

Los ataques de ransomware también aprovechan las vulnerabilidades para propagarse dentro de una red una vez ya están dentro. Por ejemplo, el ransomware Maze escanea en busca de vulnerabilidades una vez que ya está en una red, y luego utiliza esas vulnerabilidades para infectar tantas máquinas como sea posible.

Para ayudar a prevenir el ransomware, además de muchos otros tipos de ataques, se debe actualizar el software con tanta frecuencia como sea posible. Esto parchará las vulnerabilidades, básicamente volverá a cerrar la puerta principal para que los delincuentes (o los atacantes de ransomware) no puedan entrar.

Utilizar la autenticación en dos fases (2FA)

Muchos ataques de ransomware empiezan con una campaña de phishing: se hacen con las credenciales del usuario (nombre de usuario y contraseña), y luego las utilizan para entrar y moverse dentro de una red. En otros casos, los atacantes de ransomware intentan utilizar credenciales conocidas por defecto hasta que encuentran un servidor o una red que las utiliza, y es así como consiguen acceder. (Los ataques Maze han usado esta técnica).

La autenticación en dos fases (2FA) es un enfoque más seguro para autenticar a los usuarios. La 2FA implica la comprobación de un factor adicional, como un token de hardware que solo posee el usuario auténtico. De este modo, aunque un atacante consiga robar una combinación de nombre de usuario y contraseña, no podrá acceder a la red.

Mantener los correos electrónicos internos seguros

Los ataques de ransomware utilizan diversos métodos para poner en riesgo dispositivos y redes, pero el correo electrónico sigue siendo uno de los más habituales. Muchos ataques de ransomware empiezan con un ataque de phishing, un ataque de spear phishing, o un troyano oculto dentro de un archivo adjunto malicioso de un correo electrónico.

En la seguridad de correos electrónicos hay dos áreas clave:

  1. Filtrar los correos electrónicos y los archivos adjuntos de fuentes no fiables
  2. Formar a los usuarios para que no hagan clic en enlaces, y descarguen o abran archivos adjuntos de correos electrónicos potencialmente peligrosos

Implementar la seguridad de los puntos de conexión

La seguridad de los puntos de conexión es el proceso de proteger ante ataques a dispositivos, como ordenadores portátiles, ordenadores de escritorio, tabletas y teléfonos inteligentes. La seguridad de los puntos de conexión implica lo siguiente:

  • El software antimalware puede detectar ransomware en los dispositivos, y luego poner en cuarentena los dispositivos infectados para evitar que el malware se propague. Además, algunos ataques de ransomware se propagan mediante infecciones de malware preexistentes: por ejemplo, el ransomware Ryuk suele entrar en las redes a través de dispositivos que ya están infectados con el malware TrickBot. El antimalware puede ayudar a eliminar estas infecciones antes de que den lugar a un ransomware. (Sin embargo, el antimalware sirve de poco una vez que el ransomware se ha activado, y ya ha encriptado archivos y datos).
  • El control de aplicaciones impide que los usuarios instalen aplicaciones falsas o comprometidas por los atacantes que contengan ransomware.
  • La encriptación del disco duro no ayuda a detener el ransomware, pero es una parte importante de la seguridad de los puntos de conexión, ya que impide que personas no autorizadas roben datos.

Más información sobre la seguridad de los puntos de conexión.

Copias de seguridad de archivos y datos

Realizar con regularidad copias de seguridad de archivos y datos es una práctica recomendada muy conocida para prepararse ante un posible ataque de ransomware. En muchos casos, una organización puede restaurar sus datos a partir de una copia de seguridad en lugar de tener que pagar el rescate para desencriptarlos o reconstruir toda su infraestructura informática desde cero.

Aunque hacer una copia de seguridad de los datos no previene el ransomware, puede ayudar a una organización a recuperarse más rápido de un ataque de ransomware. Sin embargo, la copia de seguridad también se puede infectar, a menos que se aísle del resto de la red.

Usar un modelo Zero Trust

Muchas organizaciones piensan que sus redes son como un castillo rodeado por un foso. Las medidas defensivas que protegen el perímetro de la red, como los firewalls y los sistemas de prevención de intrusiones (IPS), mantienen a los atacantes fuera, igual que en la Edad Media un foso mantenía a las fuerzas invasoras fuera de un castillo.

Sin embargo, las organizaciones que adoptan este enfoque de seguridad perimetral son muy vulnerables a los ataques de ransomware. La realidad es que los atacantes consiguen con frecuencia abrir una brecha en el "foso" mediante una variedad de métodos, y una vez que están dentro, prácticamente tienen vía libre para infectar y encriptar toda la red.

Un mejor enfoque de seguridad de la red es asumir que hay amenazas tanto dentro como fuera del "castillo". Esta filosofía se conoce como Zero Trust.

Los modelos de seguridad Zero Trust mantienen estrictos controles de acceso y no confían en ninguna persona o máquina por defecto, ni siquiera en los usuarios y dispositivos que están dentro del perímetro de la red. Dado que Zero Trust supervisa continuamente y reautentica con regularidad tanto a los usuarios como a los dispositivos, puede impedir que se propaguen las infecciones de ransomware al denegar el acceso a la red y a las aplicaciones en cuanto se detecta una infección. Zero Trust también sigue el principio del "mínimo privilegio" para el control de acceso, lo que dificulta que el ransomware escale sus privilegios y obtenga el control de una red.

Cloudflare One es una plataforma de red como servicio (NaaS) Zero Trust. Combina servicios de seguridad y de red para conectar de forma segura usuarios en remoto, oficinas y centros de datos (un modelo conocido como SASE, o perímetro de servicio de acceso seguro).

¿Quieres más información sobre el ransomware? Profundiza en el tema con estos artículos:

Ventas