Los ataques de ransomware ya no son noticia de primera plana: todos los días surgen nuevas víctimas. Por ello, nunca ha sido tan importante que las empresas cuenten con una estrategia multinivel bien concebida para protegerse contra este tipo de amenaza.
Cómo cerrar los puntos de entrada a los atacantes
La mayoría de los ataques de ransomware siguen una metodología bastante estándar: un empleado cae en la trampa de las tácticas de ingeniería social y abre un archivo adjunto de correo electrónico, o los atacantes obtienen acceso remoto a los sistemas de la empresa (consiguiendo las contraseñas mediante filtraciones, a base de técnicas de fuerza bruta o comprándolas a agentes de acceso inicial). En algunos casos, los delincuentes explotan vulnerabilidades en el software del lado del servidor. Por lo tanto, para eliminar la mayoría de los problemas:
- Forma a los empleados en seguridad de la información e higiene digital. Si los trabajadores son capaces de diferenciar un correo electrónico de phishing de uno legítimo y mantener las contraseñas a salvo, esto reducirá en gran medida la carga de los departamentos de seguridad de la información.
- Cuenta con una política estricta que prohíba las contraseñas débiles y duplicadas y requiera el uso de un gestor de contraseñas.
- No uses servicios de escritorio remoto (como el RDP) en redes públicas a menos que sea absolutamente necesario y, si surge la necesidad, configura el acceso remoto solo a través de un canal de VPN seguro.
- Prioriza la instalación de las actualizaciones en todos los dispositivos conectados, sobre todo los parches para software crítico (sistemas operativos, navegadores, suites ofimáticas, clientes de VPN, aplicaciones de servidor) y las soluciones para vulnerabilidades que permitan la ejecución remota de código (RCE por sus siglas en inglés) y la escalada de privilegios.
Prepara a tu equipo de seguridad de la información para las últimas ciberamenazas
Las herramientas y tecnologías de protección de tu equipo de seguridad de la información deben estar preparadas para las amenazas actuales. Y los propios expertos deberían tener acceso a información actualizada sobre un panorama de amenazas en constante evolución. Por ello, te aconsejamos:
- Usar una inteligencia de amenazas actualizada para mantener a tus expertos al día sobre las últimas tácticas, técnicas y procedimientos de los ciberdelincuentes.
- Actualizar las soluciones de seguridad de manera oportuna para que brinden una protección integral contra las amenazas más comúnmente asociadas con la entrega de ransomware (troyanos de acceso remoto (RAT), exploits, botnets).
- Usar herramientas que no solo detecten el malware, sino que también rastreen actividades sospechosas en la infraestructura de la empresa (como las soluciones Extended Detection and Response (EDR)).
- Considerar, si los recursos internos son limitados, la contratación de expertos externos (o el uso de soluciones de detección y respuesta gestionadas (MDR por sus siglas en inglés).
- Monitorizar el tráfico saliente para detectar conexiones no autorizadas desde fuera de la infraestructura corporativa.
- Supervisar de cerca el uso de lenguajes y herramientas de scripting para el movimiento lateral en la red de la empresa.
- Permanecer atento a las noticias sobre ransomware y asegurarte de que tus tecnologías de protección puedan gestionar nuevas cepas.
Cómo desarrollar una estrategia si un ataque de ransomware tiene éxito
Aunque puedes confiar en las tecnologías para detectar y contrarrestar el ransomware, siempre es mejor contar con un plan en caso de error. Puede haber diferentes situaciones. Por ejemplo, un infiltrado con malas intenciones, sobre todo uno con derechos de administrador, podría desactivar tu sistema de seguridad. Es importante que el incidente no te pille desprevenido. Para evitar que los ciberincidentes causen periodos de inactividad:
- Realiza copias de seguridad de tus datos con regularidad, especialmente si son críticos para la empresa.
- Garantiza un rápido acceso a esta copia de seguridad en caso de emergencia.