Realizar copias de seguridad de los datos, actualizar con regularidad el software y utilizar un enfoque de seguridad Zero Trust son formas de evitar que las infecciones de ransomware acaben con una red.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
El ransomware es una amenaza en aumento, pero las buenas prácticas de seguridad, como las actualizaciones periódicas del software, las copias de seguridad frecuentes de los datos y la formación de los usuarios en seguridad del correo electrónico, pueden disminuir las probabilidades de que afecte a una organización.
El ransomware es un tipo de software malicioso, o malware, que bloquea archivos y datos y los retiene para pedir un rescate. Suele hacerlo mediante la encriptación de los archivos y datos, y el atacante se queda con la clave de encriptación. El ransomware puede entrar en una red de diferentes maneras: correos electrónicos maliciosos, vulnerabilidades o a través de otras infecciones de malware.
No hay una forma 100 % infalible de evitar que el ransomware entre en una red, pero tomar las siguientes medidas puede reducir considerablemente el riesgo de ataque.
Una forma habitual de que el ransomware entre y se propague en una red es aprovechando las vulnerabilidades del software obsoleto. Una "vulnerabilidad" es un fallo de software que alguien puede utilizar con fines maliciosos. A medida que se van descubriendo vulnerabilidades, los proveedores de software publican regularmente correcciones para solucionarlas en forma de actualizaciones de software. Si no se actualizan los sistemas operativos y las aplicaciones con regularidad, es como dejar la puerta de una casa sin cerrar para que los ladrones entren directamente.
Por ejemplo, en mayo de 2017, el ransomware WannaCry utilizó la famosa vulnerabilidad "EternalBlue" para infectar a más de 200 000 ordenadores, a pesar de que Microsoft había publicado previamente un parche para la vulnerabilidad.
Los ataques de ransomware también aprovechan las vulnerabilidades para propagarse dentro de una red una vez ya están dentro. Por ejemplo, el ransomware Maze escanea en busca de vulnerabilidades una vez que ya está en una red, y luego utiliza esas vulnerabilidades para infectar tantas máquinas como sea posible.
Para ayudar a prevenir el ransomware, además de muchos otros tipos de ataques, se debe actualizar el software con tanta frecuencia como sea posible. Esto parchará las vulnerabilidades, básicamente volverá a cerrar la puerta principal para que los delincuentes (o los atacantes de ransomware) no puedan entrar.
Muchos ataques de ransomware empiezan con una campaña de phishing: se hacen con las credenciales del usuario (nombre de usuario y contraseña), y luego las utilizan para entrar y moverse dentro de una red. En otros casos, los atacantes de ransomware intentan utilizar credenciales conocidas por defecto hasta que encuentran un servidor o una red que las utiliza, y es así como consiguen acceder. (Los ataques Maze han usado esta técnica).
La autenticación en dos fases (2FA) es un enfoque más seguro para autenticar a los usuarios. La 2FA implica la comprobación de un factor adicional, como un token de hardware que solo posee el usuario auténtico. De este modo, aunque un atacante consiga robar una combinación de nombre de usuario y contraseña, no podrá acceder a la red.
Una herramienta esencial de prevención de ransomware es la seguridad de correo electrónico. Los ataques de ransomware utilizan diversos métodos para poner en riesgo dispositivos y redes, pero el correo electrónico sigue siendo uno de los más habituales. Muchos ataques de ransomware empiezan con un ataque de phishing, un ataque de spear phishing, o un troyano oculto dentro de un archivo adjunto malicioso de un correo electrónico.
Busca proveedores de seguridad de correo electrónico que incluyan las siguientes áreas clave:
Otro paso para prevenir el ransomware es a través de la seguridad de punto final. La seguridad de punt final es el proceso de proteger de los ataques a dispositivos como portátiles, ordenadores de escritorio, tabletas y teléfonos inteligentes. La seguridad de puntos finales implica lo siguiente:
Más información sobre la seguridad de los puntos de conexión.
Realizar con regularidad copias de seguridad de archivos y datos es una práctica recomendada muy conocida para prepararse ante un posible ataque de ransomware. En muchos casos, una organización puede restaurar sus datos a partir de una copia de seguridad en lugar de tener que pagar el rescate para desencriptarlos o reconstruir toda su infraestructura informática desde cero.
Aunque hacer una copia de seguridad de los datos no previene el ransomware, puede ayudar a una organización a recuperarse más rápido de un ataque de ransomware. Sin embargo, la copia de seguridad también se puede infectar, a menos que se aísle del resto de la red.
Muchas organizaciones piensan que sus redes son como un castillo rodeado por un foso. Las medidas defensivas que protegen el perímetro de la red, como los firewalls y los sistemas de prevención de intrusiones (IPS), mantienen a los atacantes fuera, igual que en la Edad Media un foso mantenía a las fuerzas invasoras fuera de un castillo.
Sin embargo, las organizaciones que adoptan este enfoque de seguridad perimetral son muy vulnerables a los ataques de ransomware. La realidad es que los atacantes consiguen con frecuencia abrir una brecha en el "foso" mediante una variedad de métodos, y una vez que están dentro, prácticamente tienen vía libre para infectar y encriptar toda la red.
Un mejor enfoque a la seguridad de redes es asumir que hay amenazas tanto dentro como fuera del "castillo". Esta filosofía se conoce como Zero Trust.
Los modelos de seguridad Zero Trust mantienen estrictos controles de acceso y no confían en ninguna persona o máquina por defecto, ni siquiera en los usuarios y dispositivos que están dentro del perímetro de red. Dado que Zero Trust supervisa continuamente y reautentica con regularidad tanto a los usuarios como a los dispositivos, puede evitar que se propaguen los ataques de ransomware al denegar el acceso a la red y a las aplicaciones en cuanto se detecta una infección. Zero Trust también sigue el principio del "mínimo privilegio" para el control de acceso, lo que dificulta que el ransomware escale sus privilegios y obtenga el control de una red.
Cloudflare One es una plataforma de la red como servicio (NaaS) de Zero Trust. Combina los servicios de seguridad y redes para conectar de forma segura usuarios, oficinas y centros de datos remotos (un modelo conocido como SASE o filo de servicio de acceso seguro).
¿Quieres más información sobre el ransomware? Profundiza en el tema con estos artículos: