Cómo proteger los activos de información del ransomware eficazmente

Cómo proteger los activos de información del ransomware eficazmente
De JakinCode · 07/2024 

·  Ciberseguridad

Etiquetas: Ransomware , Vulnerabilidad informática

El ransomware es una de las amenazas cibernéticas más devastadoras para cualquier organización. Este tipo de malware puede paralizar sus operaciones al encriptar sus archivos y exigir un rescate para liberarlos. Es esencial conocer cómo proteger los activos de información y saber cuáles son las mejores prácticas y medidas de seguridad que deben implementarse de inmediato.

El ransomware es un tipo de malware (software malicioso) que encripta archivos, impidiendo su acceso hasta que se pague un rescate al ciberdelincuente para que los desencripte. Si no se cede al chantaje, el atacante puede amenazar con vender o filtrar los datos, lo que implica graves daños financieros, reputacionales, entre otros, para la organización afectada.

Un activo puede ser víctima de un ataque ransomware por varias causas, entre ellas:

  • Exposición a contenido malicioso en la web.
  • Recepción de archivos o vínculos sospechosos vía correo electrónico.
  • Conexión de dispositivos USB infectados.
  • Falta de medidas adecuadas de protección o configuraciones por defecto que pueden ser explotadas.

El coste global de estos ataques sigue en aumento, alcanzando cifras preocupantes. Los impactos financieros incluyen pagos de rescates, gastos de recuperación, sanciones por filtraciones de datos personales, interrupción de la actividad comercial, incremento de seguros e inversiones en seguridad. Para hacer frente a este tipo de malware, debemos atender a los siguientes aspectos que se detallan a continuación:

Medidas de seguridad frente al ransomware

  1. Mantener actualizados los activos, instalando los parches de seguridad más recientes. Como demostró el caso de WannaCry, que los activos no cuenten con las soluciones recientes que corrigen sus vulnerabilidades conlleva enormes riesgos.

  2. No abrir vínculos o archivos de fuentes desconocidas e inseguras. Un enlace malicioso puede activar la descarga automática de un archivo diseñado para infectar con ransomware.

  3. Realizar copias de seguridad de manera regular. Una vez guardados y protegidos los datos críticos, se ha de proceder periódicamente a ejecutar pruebas que permitan verificar que dichas copias están disponibles, y mantienen la integridad de la información que almacenan. Una versión de respaldo offline de los registros fundamentales de una organización evitará que el ciberataque mediante ransomware localice versiones del contenido ya encriptado que sean susceptibles de ser asimismo afectadas. 

    Como indicamos en un artículo anterior, dado que la encriptación de archivos se ve a menudo unida al robo de información, es necesario complementar las copias de seguridad con encriptación de los datos sensibles que contengan los activos, de modo que no puedan ser accesibles para los atacantes y, de este modo, no les sea posible divulgarlos ilícitamente.

  4. Seguir las recomendaciones de las organizaciones especializadas en lo tocante a las buenas prácticas en materia de ciberseguridad. Restringir los permisos de los usuarios mediante el principio de “mínimo privilegio”, lo cual limita el impacto que un ataque mediante ransomware pudiera producir. Paralelamente, regirse por una política de seguridad de “confianza cero” ayuda a prevenir el acceso no autorizado a los activos.

    A nivel de credenciales, se han de cambiar todas las que sean suministradas por defecto, junto a las que no cumplan las condiciones de configuración recomendadas en cuanto a longitud y otras características. Se protegerán y guardarán recurriendo a algoritmos de cifrado que eviten su uso no autorizado. Por otra parte, la protección de los activos se ve altamente incrementada si, a la hora de acceder a ellos, se implementa el doble factor de autenticación

  5. Eliminar las cuentas innecesarias, y reducir al máximo aquellas que administren las configuraciones de los sistemas. Con ello se impide que un atacante se sirva de las mismas para perpetrar un ransomware. 

  6. Mantenerse informado sobre las fuentes maliciosas identificadas, y bloquearlas. Se han conocer las vulnerabilidades susceptibles de ser explotadas mediante un ataque ransomware, para que, una vez reconocidas, puedan subsanarse. Además, conocer y concienciar sobre las amenazas a las que expone la falta de atención a aspectos fundamentales en materia de ciberseguridad, es un elemento clave en la prevención contra ataques ransomware. 

  7. No proporcionar información personal a fuentes de confiabilidad no verificada. Los cibercriminales, en la preparación de un ataque mediante ransomware, podrían intentar obtener esos datos para, de este modo, diseñar un phishing a partir de los mismos. Bajo ningún concepto se han de conectar a los activos de una empresa  pendrives, u otros dispositivos de almacenamiento, si su procedencia no ha sido verificada y validada, y su contenido debidamente analizado en entornos protegidos. 

  8. Emplear servicios VPN cuando se realicen conexiones a través de redes públicas. Este recurso potencia el anonimato, reduciendo el riesgo de ser víctima de un ataque de ransomware. Es muy importante que las organizaciones sepan mejorar su resiliencia para reponerse de un ataque. Para ello es necesario crear un Plan de Respuesta ante Incidentes. El mismo contendrá los procedimientos de respuesta y notificación a activar cuando se sufra un ataque ransomware.

    Cerciorarse de que los activos están configurados adecuadamente, evitando que se encuentren habilitados aquellos elementos (puertos, protocolos, etc.)  no requeridos para el desarrollo de la actividad. Algunas aplicaciones ejecutan macros para automatizar tareas rutinarias. Un atacante puede explotar las macros para realizar un ataque ransomware. Por tal motivo, si no son necesarias, hay que deshabilitarlas para que no se ejecuten de forma automática.

  9. Aplicar una segmentación física o lógica que separe los activos, de modo que queden agrupados según fines concretos y que, de verse atacados mediante ransomware, no comprometan al resto de los equipos. La segmentación previene o limita los posibles movimientos laterales por parte del agente malicioso.

  10. Implementar herramientas de seguridad (software antimalware, etc.) que permitan detectar actividad maliciosa, junto con recursos (firewall, etc.) que protejan los activos conectados a la red. 

Dado que los ataques ransomware son cada vez más sofisticados y complejos, es esencial contar con expertos en ciberseguridad para prevenir y mitigar estos ataques.

El ransomware es una amenaza constante para cualquier organización. Puede tener efectos devastadores en todo tipo de negocios, a menudo deteniendo su capacidad de producir productos y servicios. Los incidentes de ransomware son capaces de ocasionar pérdidas financieras, compromiso de datos y daños a la reputación de una empresa. Prepararse y aplicar medidas proactivas para proteger los activos y la información es fundamental para optimizar la  capacidad de respuesta y recuperarse de esta clase de acción maliciosa. 

En JakinCode te ayudamos a reducir o eliminar los riesgos asociados a un posible ciberataque. Contáctanos y te asesoramos.

Agendar reunión chevron_right

Artículos relacionados

  • Qué son los barridos electrónicos o TSCM

Qué son los barridos electrónicos o TSCM

10/2024

  • GRC para la gestión eficiente de la seguridad en una empresa

GRC para la gestión eficiente de la seguridad en una empresa

09/2024

  • Principales certificaciones de ciberseguridad

Principales certificaciones de ciberseguridad

08/2024

  • Cómo proteger los activos de información del ransomware eficazmente

Cómo proteger los activos de información del ransomware eficazmente

07/2024