Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosMejores prácticas
Mejores prácticas para la prevención de ransomware

Mejores prácticas para la prevención de ransomware

Cómo prevenir infecciones de ransomware

Qué es el Randomware y cómo funciona

Ransomware. Esa única palabra está presente en la mente de tantos gerentes de TI en todo el mundo, y con razón. El ransomware sigue siendo una de las amenazas cibernéticas más desafiantes hoy en día. Solo en 2023, casi el un cuarto de los ataques involucraron ransomware.

El ransomware es un tipo de software malicioso que cifra los archivos sensibles o sistemas críticos de una víctima, dejándolos inaccesibles y, por lo tanto, interrumpiendo los servicios y operaciones comerciales. Existen numerosas cepas de ransomware con nuevas variantes que surgen constantemente.

El objetivo principal de los operadores de ransomware es coaccionar a la víctima para que pague un rescate, a menudo en criptomonedas difíciles de rastrear, a cambio de una clave de descifrado que puede restaurar los archivos a su estado original. Pero hoy en día, estos actores de amenazas a menudo emplean una estrategia de doble extorsión, en la que exfiltran los datos de una organización antes de cifrarlos. Amenazar con publicar o vender los datos robados a menos que se pague el rescate proporciona un apalancamiento adicional para asegurarse de que se les pague el rescate incluso si la víctima logra restaurar sus archivos de manera independiente.

Dada la grave repercusión financiera del ransomware, muchas organizaciones priorizan la protección contra el ransomware como un objetivo clave.

Principales objetivos de los ataques de ransomware

El ransomware ha evolucionado hacia un modelo de negocio, a menudo orquestado por grupos altamente organizados con un enfoque singular: la ganancia monetaria. Mientras que estos ciberdelincuentes alguna vez atacaron indiscriminadamente a entidades que iban desde individuos hasta compañías globales, se han vuelto más estratégicos: los atacantes frecuentemente apuntan a organizaciones que probablemente produzcan pagos rápidos y sustanciales. Los sectores de manufactura y salud, junto con pequeños municipios gubernamentales que a menudo carecen de personal o recursos adecuados para la autorecuperación, son blancos comunes de estos calculados ataques de ransomware.

Cómo se desarrollan los ataques de ransomware

Los ataques de ransomware rara vez ocurren de repente. Los ataques de ransomware más efectivos suelen implicar un proceso de múltiples etapas que puede durar días, semanas o incluso meses:

  • Etapa 1: El ransomware se entrega al objetivo, por ejemplo, a través de un correo electrónico con un enlace incrustado o un adjunto infectado. La interacción con estos elementos descarga la carga maliciosa inicial, que establece una conexión con el servidor de comando y control (C&C) del atacante.
  • Etapa 2: Los atacantes utilizan el enlace para introducir herramientas adicionales y ejecutar el ataque. Realizan reconocimiento para inspeccionar la red de la víctima, identificar datos de alto valor y evaluar las medidas de seguridad. Durante esta etapa, pueden copiar información sensible a una ubicación externa para usarla como palanca secundaria en el proceso de extorsión.
  • Etapa 3: Esta fase marca el inicio de la encriptación. Los atacantes podrían primero apuntar a los sistemas de respaldo de la víctima, buscando socavar las capacidades de restauración de datos. Una vez que el proceso de encriptación está completo, se emite una demanda de rescate, detallando las instrucciones de pago. Pueden seguir negociaciones, lo que potencialmente podría llevar a un pago de rescate reducido.

Pagar un rescate frente al uso de herramientas para prevenir una infección de ransomware

Decidir si pagar un rescate es un dilema desafiante. Pagar puede parecer una solución rápida, pero no ofrece ninguna garantía de que los atacantes proporcionarán una clave de descifrado. Además, hay evidencia que sugiere que pagar rescate puede incentivar futuros ataques. Como resultado, agencias como el FBI aconsejan no pagar.

Optar por no pagar, sin embargo, expone a la organización a los extensos costos y complejidades de la remediación. Recuperarse de un ataque de ransomware puede llevar días o semanas, lo que puede afectar los ingresos y provocar daños duraderos en la reputación de la empresa y la confianza del cliente. De hecho, los gastos asociados con el tiempo de inactividad y los esfuerzos de recuperación pueden superar la demanda de rescate.

Esta realidad subraya la importancia de invertir en medidas de seguridad robustas para detectar y neutralizar ataques de ransomware a tiempo para minimizar el daño.

Cómo prevenir ataques de ransomware: Mejores prácticas

No hay manera de prevenir ataques de ransomware y no existe una tecnología milagrosa para protegerse contra el ransomware. Sin embargo, seguir estas mejores prácticas de prevención de ransomware te ayudará a minimizar el riesgo de infecciones por ransomware y limitar el daño que un ataque exitoso podría causar:

  • Evite otorgar a los usuarios derechos administrativos en sus máquinas, ya que cualquier archivo malicioso que descarguen heredará estos permisos elevados. Si un usuario necesita acceso elevado, cree una cuenta de usuario separada con los privilegios específicos necesarios.
  • Desarrolle un plan de respuesta a incidentes exhaustivo para repeler rápidamente los ataques de ransomware en sus etapas iniciales. La revisión y el ensayo regulares del plan de respuesta a incidentes son esenciales para mantener su efectividad y la preparación del equipo.
  • Mejore la conciencia sobre ciberseguridad con capacitación regular para todos los empleados. En particular, enséñeles a identificar archivos adjuntos de correo electrónico sospechosos y enlaces web, ya que los ataques de phishing son un método primario para distribuir ransomware. También es importante evaluar su dominio del material con correos electrónicos de prueba.
  • Asegúrese de que su software antivirus, Endpoint Protection y otras soluciones de seguridad, junto con sus bases de datos, se mantengan actualizados.
  • Mantenga todos los sistemas operativos y aplicaciones completamente actualizados y al día para que las vulnerabilidades conocidas no puedan ser explotadas. Siempre pruebe las nuevas actualizaciones de software en un laboratorio antes de aplicarlas en producción.
  • Deshabilite el protocolo de comunicación de red SMB v1 en todos los servidores y estaciones de trabajo, ya que esto ayudará a prevenir la propagación de cepas comunes de ransomware como WannaCry a través de su red. La captura de pantalla a continuación muestra SMB v1 deshabilitado en Windows Server.
  • Cierre todos los puertos innecesarios en sus cortafuegos. En particular, asegúrese de que el puerto 3389, utilizado para el Protocolo de Escritorio Remoto (RDP), esté cerrado, ya que es un objetivo común de explotación por parte de los hackers.
  • Implemente la segmentación de red. Dividir una red más grande en segmentos más pequeños y aislados limita la propagación de ransomware si uno de los segmentos se infecta. Las redes segmentadas también facilitan un monitoreo más sencillo y una detección más rápida de actividades sospechosas.
  • Mantenga su estructura de permisos limpia y mantenga un modelo estricto de mínimo privilegio. Dado que el ransomware solo puede acceder a los archivos a los que la cuenta víctima tiene acceso, esta estrategia limitará la cantidad de datos que pueden ser encriptados.
  • Confine los dispositivos propiedad de los usuarios a una red para invitados. Esta red debe dirigir todo el tráfico directamente a internet mientras bloquea el acceso a la red interna, protegiendo los recursos locales.
  • Bloquee las extensiones de ransomware conocidas utilizando File Server Resource Manager.
  • Incorpore estrategias de sandboxing y honeypots en su programa de seguridad. El sandboxing implica el uso de un entorno seguro y aislado para ejecutar y analizar programas sospechosos sin arriesgar la red principal o el sistema, mientras que los Honeypots son sistemas o recursos señuelo establecidos para atraer y analizar ciberataques.
  • Utilice una solución de prevención de pérdida de datos (DLP) para proteger sus datos en las instalaciones y en la nube.
  • Considere implementar una gestión basada en inteligencia de amenazas, la cual proporciona información sobre amenazas emergentes y patrones de ataque. Este conocimiento permite a las organizaciones fortalecer proactivamente sus defensas, personalizar sus estrategias de seguridad y responder rápidamente a los ataques de ransomware, reduciendo así significativamente el riesgo de intrusiones exitosas y violaciones de datos.

Mejores prácticas para usar Group Policy para detener el Ransomware

La Política de Grupo ofrece una variedad de configuraciones que están disponibles para ayudar a minimizar el riesgo de una infección por ransomware. Algunas de estas incluyen las siguientes:

  • Muestre las extensiones de archivo. Los atacantes a veces disfrazan software malicioso con dobles extensiones de archivo. Por ejemplo, un archivo llamado "invoice.pdf.exe" podría aparecer como "invoice.pdf" si las extensiones están ocultas, llevando a los usuarios a pensar que es un PDF inofensivo. Al mostrar las extensiones de archivo, es más probable que los usuarios detecten archivos sospechosos con extensiones ejecutables (.exe, .vbs, .scr, etc.) que se hacen pasar por tipos de archivo seguros. Puede crear un objeto de directiva de grupo (GPO) utilizando las Preferencias de Directiva de Grupo para mostrar las extensiones de archivo en las estaciones de trabajo de los usuarios, de modo que puedan ver las dobles extensiones de archivo. A continuación, se muestra un ejemplo.
  • Deshabilite AutoPlay y Autorun en todas las estaciones de trabajo. Esta importante configuración de Directiva de Grupo evita la ejecución automática de software potencialmente malicioso desde medios externos como unidades USB. Puede utilizar Plantillas Administrativas de Directiva de Grupo para deshabilitar Autoplay para unidades externas como se muestra a continuación.
  • Establezca una política de password policy y una política de account lockout policy. Prevenir que los adversarios tomen control de las cuentas de usuario reduce la posibilidad de una infección por ransomware. En los dominios de Active Directory, esto se puede lograr a través de la política de dominio predeterminada, la cual impone estándares como la longitud mínima de la contraseña, la antigüedad mínima de la contraseña y los requisitos de complejidad de la contraseña.
  • Bloquee el uso de unidades USB extraíbles. Esta configuración de Directiva de grupo no solo reducirá la propagación de infecciones por malware, sino que también ayudará a prevenir la transferencia de datos no autorizada.
  • Utilice AppLocker para crear listas de permitidos y denegados. Estas listas le permiten controlar qué software se puede utilizar en las máquinas de la empresa y bloquear la ejecución de aplicaciones no autorizadas.
  • Active Windows Defender SmartScreen. Esto bloquea el acceso a sitios conocidos por ser maliciosos, lo que reduce el riesgo de que un usuario desencadene inadvertidamente una infección de ransomware al caer víctima de un correo electrónico de phishing.

Mejores prácticas para detectar y responder a ataques de ransomware

Además de las medidas de prevención, también necesita estrategias de detección y respuesta. Cuanto antes pueda detectar un ataque de ransomware, más rápido podrá contenerlo y mitigarlo para minimizar el daño al negocio. Las siguientes mejores prácticas pueden ayudar:
Implemente un sistema de detección y prevención de intrusiones que realice monitoreo y análisis del tráfico de la red.

  • Monitoree sus servidores de archivos para la modificación de una gran cantidad de archivos con diversas extensiones de archivo en un breve período de tiempo. Si se observa tal actividad, retire rápidamente la computadora fuente de la red.
  • Mantenga un inventario completo y actualizado de todos sus servidores, estaciones de trabajo, puntos de acceso, dispositivos de ciberseguridad y otros equipos empresariales, incluyendo sus direcciones de red, para que pueda encontrar rápidamente el origen de un ataque y aislarlo.
  • Si detecta un proceso desconocido o no autorizado en un servidor o dispositivo de usuario, desconecte inmediatamente esa máquina de la red o deshabilítela. Luego realice una investigación exhaustiva para comprender y mitigar cualquier riesgo potencial.
  • Tenga cuidado con las notificaciones del sistema que exigen dinero para descifrar sus archivos — algunos pueden ser casos falsos en los que no se realizó ningún cifrado.
  • Incluso si ya has confirmado una infección de ransomware, no pagues a los perpetradores. Puede que no recuperes tus datos y es probable que sigan atacando para que les pagues de nuevo.

Mejores prácticas para asegurar que puedes recuperarte de un ataque de ransomware

Para asegurarse de poder recuperarse de un ataque de ransomware sin recurrir a la opción arriesgada de pagar a los atacantes, siga estas mejores prácticas:

  • Realice copias de seguridad regulares de todos sus datos sensibles, sistemas y configuraciones principales. Asegúrese de mantener varias iteraciones de copias de seguridad y almacenarlas fuera del alcance del ransomware (desconectadas o en la nube). Tener copias de seguridad confiables le ayudará a restaurar sus archivos críticos rápidamente.
  • Habilite WindowsFile History para que los usuarios puedan restaurar archivos guardados antes de la infección por ransomware.
  • Intente determinar la cepa específica de ransomware que afecta su sistema. Si es una variante más antigua, la comunidad de TI puede tener recursos e información para ayudar en sus esfuerzos de recuperación.
  • Tenga en cuenta que los ataques exitosos de ransomware no cifran todos sus archivos. Evalúe cuidadosamente qué segmentos de su red fueron comprometidos y cuáles se salvaron.
  • Investigue soluciones especializadas en descifrado anti-ransomware que puedan restaurar sus datos, incluida la lista de herramientas gratuitas mantenida por la organización No More Ransom.
  • Si sufre un ataque, después de restaurar sus datos y operaciones, analice el incidente para identificar y remediar las brechas en sus defensas para ayudar a prevenir futuras infecciones.

Obtén una guía gratuita de prevención de ransomware

Cualquiera con experiencia en mitigar ataques de ransomware afirmará que puedes usar toda la ayuda posible. Como dice el refrán, "más vale prevenir que lamentar". Conocer las mejores prácticas para evitar el ransomware y cómo detenerlo es significativamente menos costoso que recuperarse de él.

Netwrix ofrece una guía gratuita de prevención de ransomware elaborada por expertos con experiencia en la lucha contra esta amenaza. Incluso si te sientes preparado, esta guía puede ofrecer estrategias que quizás no hayas considerado anteriormente. Descárgala hoy como un paso adicional para protegerte proactivamente contra el ransomware.

Solución de protección contra ransomware de Netwrix

Prevenga y detecte ransomware — implementando un enfoque de seguridad con múltiples capas

Obtén una demostración

Compartir en

Recursos Relacionados

Profundiza con nuestros recursos relacionados

Centro de Recursos
eBook

Facilitando la prevención de pérdida de datos con Netwrix Solutions

Prevención de Pérdida de Datos
eBook

Desplegando software en Windows: Doloroso pero no tiene que serlo

Endpoint Management