Protección contra ransomware: Guía

¿Qué es la protección contra el ransomware?

La protección contra el ransomware es un esfuerzo integral de ciberseguridad que va más allá de la detección y prevención de un ataque de ransomware. La protección contra el ransomware también incluye la planificación de medidas correctoras en caso de que un ataque consiga eludir los esfuerzos de prevención. La protección contra el ransomware también incluye la creación de copias de seguridad críticas y planes de continuidad del negocio que permitan a las organizaciones volver a estar en línea rápidamente en caso de que un ataque tenga éxito.

¿Por qué protegerse contra el ransomware?

La probabilidad de que una organización sufra un ataque de ransomware está aumentando rápidamente. En el primer semestre de 2021, el Centro de Denuncias de Delitos en Internet del FBI experimentó un aumento interanual del 62 % en las denuncias, con casi 2100 quejas. Según una encuesta, más de un tercio de las organizaciones de todo el mundo sufrirán un ataque en 2021, y los ataques de ransomware se producirán aproximadamente cada 11 segundos.

Dado el daño potencial a los sistemas y flujos de trabajo corporativos en caso de que un ataque de ransomware cierre el acceso a datos o aplicaciones, no es de extrañar que muchas empresas opten por pagar rescates. Las peticiones de rescate suelen oscilar entre los cientos de dólares y los millones. El rescate medio pagado se acerca a los 250.000 dólares.

Recientes ataques de ransomware de gran repercusión han afectado a infraestructuras críticas y a la cadena de suministro, ya de por sí tensa debido a la pandemia de COVID. Uno de los ataques más conocidos tuvo como objetivo el oleoducto Colonial, responsable del transporte diario de más de 100 millones de galones de combustible. El resultado fue un aumento de los precios del combustible que afectó a los consumidores de todo Estados Unidos. 

Colonial pagó un rescate de más de 5 millones de dólares (2,3 millones de los cuales recuperó posteriormente), pero los efectos del ataque fueron más allá. Según fuentes de la empresa, los esfuerzos de remediación se extendieron a decenas de millones de dólares. Otros ataques, como los de CNA Financial y Kaseya en 2021, tuvieron consecuencias catastróficas similares.

A pesar de la creciente amenaza del ransomware, muchas organizaciones no están preparadas para identificar o hacer frente a un ataque; casi la mitad de las organizaciones carecen de planes eficaces de respuesta a incidentes. La protección contra el ransomware es esencial para proteger algo más que las redes y los datos de la empresa. Una protección eficaz contra el ransomware también limita los costes posteriores al ataque y los efectos sobre la reputación. 

Cómo protegerse contra el ransomware

Hay muchas medidas que las organizaciones pueden tomar para reducir la probabilidad de un ataque de ransomware y limitar los daños en caso de que el ataque tenga éxito.

Sensibilizar

Los empleados son el principal vector de ataque del ransomware. La mala higiene de las contraseñas, las políticas de acceso excesivamente permisivas y la susceptibilidad a las estafas de phishing (que siguen siendo la principal fuente de la mayoría de los ataques) amplían la superficie de ataque de una organización, facilitando a los ciberdelincuentes la inserción de archivos de ransomware. Por desgracia, muchas organizaciones permiten estas malas prácticas porque temen las quejas de los empleados si instituyen políticas más estrictas.

Las organizaciones deben formar adecuadamente a sus empleados para que estén atentos a las señales de un ataque y se defiendan de los ataques de forma proactiva. Por ejemplo, evitar que los empleados hagan clic en enlaces de correos electrónicos sospechosos (por ejemplo, aquellos con mayúsculas extrañas o errores ortográficos) puede contribuir en gran medida a mejorar la seguridad. 

Igualmente importante es que las organizaciones hagan comprender a sus empleados la necesidad de aplicar políticas de seguridad estrictas. Aunque a los empleados les resulte incómodo utilizar contraseñas seguras que deban cambiar con frecuencia, sería mucho más inconveniente que de repente no pudieran realizar su trabajo debido al éxito de un ataque.

Sistemas de actualización

Otra fuente común de acceso para los ataques de ransomware es el software obsoleto y heredado. Las organizaciones deben aplicar los parches de software rápidamente en cuanto los reciban, sobre todo porque muchos parches corrigen explícitamente vulnerabilidades.

Las organizaciones también deben crear inventarios exhaustivos de activos digitales. Muchas empresas tienen aplicaciones antiguas, sin usar y obsoletas que siguen accediendo a las redes corporativas sin el conocimiento del departamento de TI. Eliminar o restringir estas aplicaciones es otro paso para reducir la superficie de ataque de la empresa.

Utilice las herramientas adecuadas

La mayoría de las herramientas gratuitas, como programas antivirus y cortafuegos, ofrecen una protección insuficiente. No existe una solución única para la protección contra el ransomware; las empresas deben aplicar las mejores herramientas para cada situación. La protección eficaz contra el ransomware incluye varias herramientas, desde programas antivirus hasta herramientas avanzadas de inspección profunda de paquetes que utilizan inteligencia artificial y aprendizaje automático para detectar actividades anómalas.

Hacer copias de seguridad con frecuencia

Las copias de seguridad son otra herramienta esencial en la defensa contra el ransomware. Aunque no evitarán los ataques, pueden limitar los impactos negativos de un ataque exitoso y minimizar el daño total a una empresa y sus clientes.

Las copias de seguridad y un sólido plan de continuidad de negocio permiten a las organizaciones restaurar rápidamente el acceso a los archivos y volver a funcionar sin necesidad de pagar un rescate. Sin embargo, son ineficaces para evitar que los ciberdelincuentes hagan un uso indebido de los datos que puedan exfiltrar.          

Buenas prácticas de protección contra el ransomware

Las mejores prácticas específicas que las organizaciones deben seguir para minimizar la probabilidad de un ataque de ransomware incluyen:

1. Políticas de contraseñas fuertes y MFA

Las credenciales comprometidas son una de las formas más sencillas que tienen los atacantes de conseguir un punto de inserción en los sistemas de la empresa. Por ello, las organizaciones deben aplicar políticas de contraseñas seguras y protocolos de autenticación multifactor (MFA) para reforzar los puntos finales y mejorar la seguridad general de la empresa.

2. Acceso de mínimo privilegio, confianza cero y herramientas IAM

Al limitar el acceso de los usuarios a los sistemas y datos críticos, las organizaciones pueden reducir sustancialmente sus superficies de ataque y limitar las oportunidades de que el ransomware se arraigue o se propague lateralmente. Los controles de acceso basados en roles (RBAC), como las políticas de mínimos privilegios, garantizan que el acceso de los empleados refleje adecuadamente las necesidades de sus puestos. Acoplar RBAC con políticas de confianza cero, en las que todos los actores deben autenticarse constantemente, proporciona un nivel de protección añadido. Y las empresas pueden gestionar eficazmente todas estas políticas con herramientas de Gestión de Identidades y Accesos (IAM ).

3. Filtros de spam, programas antivirus y cortafuegos

Dado que los correos electrónicos de phishing son la fuente más común de ataques de ransomware, y los empleados son muy susceptibles a las estafas de phishing, las organizaciones necesitan limitar cuántos de estos correos electrónicos llegan a los empleados. Los filtros de spam bien configurados son una parte importante del arsenal de prevención. 

Del mismo modo, los programas antivirus son una primera pantalla eficaz contra los ataques conocidos. También deberían formar parte del programa de protección contra ransomware de una empresa.

Los cortafuegos proporcionan una capa adicional de protección cuando se configuran correctamente. Los cortafuegos de nueva generación identifican anomalías en el tráfico de red mediante inspección profunda de paquetes, desvían archivos sospechosos y refuerzan los puntos finales.

Los errores de configuración de las herramientas de seguridad crean vectores de ataque adicionales, por lo que las organizaciones deben estar tranquilas con su personal de seguridad, ya sea un equipo de TI interno o proveedores externos, que verifican regularmente las configuraciones.

4. Herramientas de seguridad de puntos finales de IA y ML

Las herramientas de ciberseguridad han avanzado con rapidez, aplicando nuevas metodologías tan rápido como aparecen. Las herramientas actuales aprovechan la inteligencia artificial y los algoritmos de aprendizaje automático para procesar rápidamente e identificar patrones en las cantidades cada vez mayores de tráfico que fluye a través de las redes empresariales. Dado que se adaptan de forma única a las aplicaciones de big data y mejoran con el uso, estas herramientas suplen las carencias de otras, sobre todo a la hora de identificar ataques desconocidos hasta ahora. Las herramientas de IA y ML deberían formar parte de todos los esfuerzos contra el ransomware.

PREGUNTAS FRECUENTES

¿Qué es el ransomware?

El ransomware es un software malicioso que restringe o impide que un usuario acceda a los archivos de su dispositivo hasta que se pague un rescate. El ransomware encripta los archivos de un dispositivo y bloquea el acceso del usuario.

En algunos casos, el ransomware puede ir más allá del simple bloqueo del acceso. También puede permitir a los ciberdelincuentes extraer datos que pueden distribuir o vender. Además, al obtener acceso a un dispositivo, pueden ser capaces de moverse lateralmente a través de los sistemas de la empresa, ampliando rápidamente la superficie de ataque y el daño potencial a la organización.

Más información

¿Qué es la protección contra el ransomware?

La protección contra el ransomware es un esfuerzo integral de ciberseguridad que va más allá de la detección y prevención de un ataque de ransomware e incluye la planificación de medidas correctivas en caso de que un ataque eluda con éxito los esfuerzos de prevención y la creación de copias de seguridad críticas y planes de continuidad de negocio que permitan a las organizaciones volver a estar en línea rápidamente en caso de que un ataque tenga éxito.

¿Quién corre el riesgo de sufrir un ataque de ransomware?

Todo el mundo, desde los usuarios particulares hasta los empleados de empresa, es una víctima potencial de un ataque de ransomware. Mientras exista una conexión desde un dispositivo al mundo exterior, ya sea una red corporativa segura o un punto de acceso wifi público, los ciberdelincuentes intentarán aprovecharla para insertar un ransomware.

¿Cuál es la mejor protección contra el ransomware?

Las organizaciones deben aplicar varias prácticas recomendadas para reforzar sus sistemas contra los ataques de ransomware, entre ellas:

  • Desarrollar, aplicar y hacer cumplir las políticas de ciberseguridad contra el ransomware, incluidas las políticas de uso del correo electrónico y de Internet y las políticas de autenticación multifactor y de contraseñas seguras.
  • Permisos basados en funciones y políticas de acceso mínimo para limitar el acceso a sistemas y datos críticos.
  • Implantar herramientas para identificar de forma proactiva posibles ataques, tanto conocidos como de día cero, utilizando métodos analíticos avanzados como la inteligencia artificial y el aprendizaje automático.
  • Formar a los empleados para que utilicen de forma responsable los recursos de la empresa y reconozcan los indicadores de ataques de ransomware.
  • La creación y aplicación de planes de continuidad de la actividad, incluidas copias de seguridad redundantes constantes, permite a las organizaciones limitar los daños de los ataques.

¿Protegen los antivirus contra el ransomware?

Los programas antivirus ofrecen, en el mejor de los casos, una solución parcial para los ataques de ransomware. Las herramientas antivirus pueden ser muy eficaces contra los actores maliciosos y las vulnerabilidades conocidas, pero son limitadas contra los ataques de día cero.

Además, los programas antivirus sólo actúan en el frente del ataque. Si un ataque consigue penetrar e infectar un dispositivo, poco pueden hacer los programas antivirus para mitigar o remediar el ataque.

Como servicio XDR gestionado 24x7x365 basado en suscripciones y centrado en el ser humano, CylanceGUARD® ofrece a las empresas la experiencia y el apoyo que necesitan para prevenir y protegerse contra los ataques de ransomware. CylanceGUARD combina la experiencia integral de BlackBerry Cybersecurity Services con Endpoint Protection (EPP) basado en IA a través de CylancePROTECT®, autenticación continua y análisis a través de CylancePERSONA, y detección y corrección de amenazas en el dispositivo a través de CylanceOPTICS®. En resumen, CylanceGUARD proporciona a las empresas las personas y la tecnología necesarias para proteger a la empresa del panorama moderno de amenazas.