10 victorias rápidas para protegerse del ransomware en 2022

 Por desgracia, el ransomware no es el tipo de amenaza online que sólo afecta a las grandes corporaciones y entidades gubernamentales. En la cadena de suministro digital global, cualquier persona conectada a Internet podría ser vulnerable a un ciberataque de esta naturaleza.

 Hacer un cambio real y fundamental para protegerse mejor contra los ataques de ransomware lleva tiempo. Pero digamos que quiere implementar algunas estrategias rápidas ahora. ¿Cuáles son algunas de las victorias rápidas?

En este artículo hablaremos de ello:

  1. Mantener las mejores prácticas de gestión de identidades y accesos
  2. Mantener las copias de seguridad de sus sistemas
  3. Redacción de políticas modernas de restricción de software
  4. Mantener la seguridad de las cuentas privilegiadas
  5. Parchear regularmente los dispositivos de la empresa
  6. Actualización periódica de las soluciones antivirus de la empresa
  7. Fomentar la conciencia cibernética en todo el equipo
  8. Desactivación de las macros
  9. Uso de los honeypots
  10. Adopción de ZeroTrust como política a largo plazo

1. Mantener las mejores prácticas de gestión de identidades y accesos

¿Qué es la gestión de identidades y accesos? 

La gestión de identidades y accesos (IAM) es el proceso de asignar y supervisar quién puede acceder a sus sistemas y aplicaciones, a qué horas del día y durante cuánto tiempo tienen ese acceso. Es un término bastante amplio, que abarca no solo la gestión de cuentas de usuario, sino también las herramientas necesarias para asignar, renovar y revocar permisos.

Tenemos todo un PDF sobre el tema si quieres una guía completa de sus mejores prácticas.

¿Por qué funciona?

La mayoría de las infracciones cibernéticas implican el uso de errores humanos (85%) o el robo de credenciales (65% - Verizon). Los ciberdelincuentes suelen atacar a sus objetivos mediante ataques de phishing o ingeniería social, ambos diseñados para engañar a las víctimas para que entreguen información sensible o descarguen enlaces maliciosos que concedan a los delincuentes acceso al sistema.

Un buen sistema de IAM es uno de los medios más sencillos, aunque enormemente potentes, para evitar la propagación de una brecha de este tipo. No siempre se puede evitar que un miembro del personal sea engañado, pero si su cuenta sólo tiene un acceso limitado al sistema, el atacante tendrá que trabajar más duro para penetrar en sus datos más sensibles, dándole tiempo para detectar y detener sus actividades.

Pasos rápidos para implantar una buena IAM

  1. Escriba o actualice su política de IAM: Su política debe describir claramente quién puede acceder a qué sistemas, en qué momento y durante cuánto tiempo.
  2. Asegúrese de que su equipo utiliza buenas contraseñas: Las contraseñas sencillas no tienen por qué ser robadas: pueden ser descifradas, a veces en segundos. Las contraseñas deben tener un mínimo de ocho caracteres y contener también números y símbolos. Considere la posibilidad de incluir un plazo en su política de IAM para cambiar estas contraseñas. Sabemos que es una molestia para algunos usuarios, pero realmente marca la diferencia.
  3. Conozca a sus administradores: Las cuentas de administrador tienen mayores privilegios, lo que les da el poder de hacer cambios e instalar nuevo software. Esto significa que deben ser protegidas adicionalmente, por lo que necesitas saber quién tiene estas cuentas. Hablaremos más sobre esto en nuestro cuarto punto más adelante.
  4. Activa la autenticación multifactor (MfA): MfA toma una buena contraseña y la mejora. Aunque un hacker consiga una contraseña, no podrá acceder a tu sistema. Entre las herramientas de MfA más comunes se encuentran Google Authenticator y Last Pass.
  5. Supervisar a los que se incorporan, cambian y abandonan (JML): Cuando alguien se incorpora a la empresa, cambia de función o se marcha, su acceso debe actualizarse. Escriba fuertes reglas JML en su política de IAM para saber que hay alguien que supervisa las cuentas para buscar cambios y eliminar las cuentas caducas de los empleados anteriores.

Para aprender aún más sobre las mejores prácticas de IAM, recomendamos descargar nuestra guía. Cubre todo lo anterior y más, y profundiza en cada punto. Descárgala aquí.

2. Mantenga una copia de seguridad de sus sistemas

¿A qué nos referimos cuando hablamos de mantener las copias de seguridad de los sistemas?

El ransomware está diseñado para bloquear el acceso a archivos, carpetas y sistemas enteros. Una vez restringidos los archivos, hay que pagar para recuperarlos, aunque no todo el mundo recupera sus datos aunque pague. De hecho, sólo el 8% de las organizaciones recuperan sus archivos(Sophos).

Hacer una copia de seguridad del sistema es una forma de evitar este suceso. Eso significa exportar todo, de forma regular, a un sistema de almacenamiento externo que esté protegido de forma independiente a la red principal de la empresa.

¿Por qué funciona?

Si se pierde el acceso a los datos, se puede interrumpir toda la organización. De hecho, la BSI descubrió que un hospital universitario alemán en particular no pudo admitir pacientes de urgencia durante 13 días tras un ataque de ransomware en 2021.

Tener una copia de seguridad significa que puede no tener que pagar. Si descubres que los datos han sido restringidos, puedes reinstaurar la versión respaldada y sólo perderás los datos que se hayan creado o reunido entre ese momento y el actual.

Pasos rápidos para realizar copias de seguridad del sistema

  1. Hazlo con frecuencia: Haz una copia de seguridad de todo el sistema (o de las partes deseadas del sistema) de forma regular, en un plazo establecido por tus políticas. Puede ser a diario o semanalmente. Tendrás que determinar qué es lo más relevante para ti en función de tu tipo de datos, lo críticos que son para las operaciones de la empresa y tu presupuesto.
  2. Pruebe las copias de seguridad: Las copias de seguridad no sirven de nada si no se pueden utilizar. Pruébalas intentando restaurar el sistema desde la copia de seguridad para ver si todo funciona, así sabrás que está ahí si es necesario.
  3. Mantenerlo desconectado: Fuera de línea significa que el sistema de copia de seguridad no está conectado al resto de la red: es una red completamente diferente. De este modo, si tu empresa se ve afectada por un malware, éste no puede propagarse a la copia de seguridad.
  4. Manténgalo fuera del sitio: Del mismo modo, fuera del sitio significa que su copia de seguridad se almacena en una ubicación diferente a la red principal. Puede ser un servidor remoto o una copia de seguridad en la nube. Esto te ayudará en caso de que un desastre u otro evento destruya tus sistemas on-prem (como un incendio o una inundación), ya que puedes restaurar la copia del sistema almacenada en otro lugar.
  5. Utiliza las copias de seguridad de forma segura: Si has sido atacado por un malware, comprueba que la copia de seguridad no ha sido infectada de la misma manera antes de restaurarla. A menudo, los atacantes comienzan a introducirse lentamente en una red semanas, meses e incluso años antes del evento principal. Aunque el objetivo es no hacer nunca una copia de seguridad con malware por accidente, no está de más comprobarlo.

3. Redactar políticas modernas de restricción de software

¿Qué es una política de restricción de software?

Una política de restricción de software rige los dominios de sitios web y las aplicaciones de software que se pueden utilizar con sus dispositivos corporativos. También puede regular quién está autorizado a instalar nuevo software y a realizar cambios, garantizando así que solo los administradores de confianza plenamente capacitados tengan acceso privilegiado.

De nuevo, hablaremos más sobre las cuentas privilegiadas más adelante en nuestro cuarto punto.

¿Por qué es importante?

El ransomware puede entrar en un sistema desde diferentes puntos de acceso. Sabemos que los errores humanos son relativamente comunes. Pero, los atacantes también suelen suplantar aplicaciones y sitios web, o incluso comprometer aplicaciones legítimas para colarse de esa manera. Pueden ser muy difíciles de detectar.

El acto de restringir el acceso se conoce como lista blanca, que es diferente a la lista negra. Poner una lista negra es fácil: es sólo el acto de bloquear una aplicación o un sitio web. Pero hay miles de ellos, y no puedes ponerlos todos en una lista negra.

Las listas blancas, en cambio, establecen una lista de aplicaciones, dominios o desarrolladores permitidos y bloquean todo lo demás. La configuración de estas listas requiere un poco más de investigación, y habrá que supervisarlas y perfeccionarlas con el tiempo para asegurarse de que la lista blanca equilibra la seguridad con las necesidades de los empleados, pero son más fáciles de gestionar a largo plazo.

Pasos rápidos para implementar una lista blanca

  1. Grupos de trabajo: Crea un grupo de trabajo formado por expertos en TI, seguridad y otros (incluidos los usuarios finales) para investigar qué aplicaciones/dominios son esenciales para la empresa. Puedes optar por confiar solo en aplicaciones específicas, o en todo el conjunto de un desarrollador notable.
  2. Haz una lista: Crea una lista de todas las aplicaciones que utiliza la empresa, por muy grandes o pequeñas que sean.
  3. Clasifica la lista: Clasifica cada una de estas aplicaciones como esenciales o no esenciales. Recuerda, sin embargo, que algunas aplicaciones no son esenciales pero sí deseables, como las redes sociales, cuyo bloqueo puede molestar a los empleados.
  4. Compare la lista con otros factores: Compara las aplicaciones de tu nueva lista blanca con las cinco W y H (quién, qué, dónde, cuándo, por qué, cómo). Esto puede ayudarle a controlar aún más el acceso para garantizar mejor la protección. Por ejemplo, las herramientas de gestión o administración de TI deben estar en la lista blanca, pero el acceso a ellas no puede ser universal.
  5. Escribe una política: Escribe todas las nuevas reglas que acabas de establecer en una política, y estipula con qué frecuencia se revisará y actualizará esa política. En esta política también deben estar escritas las reglas para solicitar nuevas aplicaciones, privilegios temporales de administrador y escuchar los comentarios de los usuarios finales, para que tu empresa pueda evolucionar con el tiempo.

4. Mantener la seguridad de las cuentas privilegiadas

¿Qué es una cuenta privilegiada?

Una cuenta privilegiada es, simplemente, una cuenta de administrador. Los usuarios con privilegios pueden modificar el sistema, eliminar elementos (por ejemplo, desinstalar aplicaciones) o instalar otros nuevos. También pueden ejecutar operaciones de mantenimiento, parchear el software, etc.

Como puede ver, su acceso es esencial para el negocio, pero podría ser devastador si cayera en las manos equivocadas.

¿Por qué es importante gestionar cuidadosamente a los administradores?

Si un ciberdelincuente consigue un acceso privilegiado, significa que puede realizar cambios críticos en el sistema, instalando su malware, destruyendo datos, robando datos y todo tipo de espionaje o sabotaje criminal.

El ransomware es probablemente el menor de sus problemas si un atacante tiene este tipo de acceso al sistema.

Pasos rápidos para implantar una política de gestión de accesos privilegiados (PAM)

  1. Asigne el acceso basándose en la confianza: Sólo asigna cuentas privilegiadas a personas en las que confíes. Es decir, a usuarios que tengan cualificaciones de seguridad y/o que hayan pasado por la formación de seguridad requerida.
  2. Escribe una política: Necesitarás una política PAM. Esto definirá claramente quién puede ser un usuario privilegiado, y lo que se requiere para obtener ese acceso.
  3. Revise esto regularmente: Asegúrate de añadir una revisión periódica a tu política PAM, para que alguien cualificado sepa auditar su integridad a lo largo del tiempo. Por ejemplo, eliminar las cuentas antiguas.

5. Parchear regularmente los dispositivos de la empresa

¿Por qué hay que parchear el software de los dispositivos de la empresa?

Los ciberdelincuentes y los desarrolladores de software están en una constante carrera armamentística. Cuando los desarrolladores mejoran su seguridad, los delincuentes encuentran la forma de romperla. Entonces, los desarrolladores mejoran su seguridad, y eso también se aprovecha. Es un ciclo interminable.

Si nunca parchea el software o el SO instalado en los dispositivos de su empresa, pronto su tecnología podría quedarse atrás en esta carrera armamentística. Esto puede exponer a su empresa a las vulnerabilidades presentes en esas versiones antiguas del software/OS.

Consejos rápidos para aplicar una política de parches

  1. Elabore un inventario de software: Necesitarás saber exactamente qué software/sistemas operativos utilizan los empleados de tu empresa, por pequeño que sea ese uso. En la lista también tendrá que anotar las versiones actuales, y la fecha en que se instalaron dichas versiones. Es posible que esto ya se haya completado como parte de su proceso de listas blancas, o podría hacerse al mismo tiempo.
  2. Revísela con regularidad: Al igual que con muchos de los otros pasos de esta lista, su lista también tendrá que ser revisada regularmente. Durante esta revisión, deben eliminarse las versiones de software y SO que ya no se utilicen y añadirse cualquier software nuevo que no esté en la lista. Alguien tendrá que responsabilizarse de ello.
  3. Actualice el software regularmente: En su política de parches y proceso de revisión, debe incluir un paso para actualizar las versiones de software y SO. Si se utilizan muchas aplicaciones y sistemas diferentes en toda la empresa, es posible que primero quieras estandarizar para facilitar la gestión.

NOTA: Antes de descargar cualquier parche nuevo, asegúrese de que se ha probado primero en un entorno seguro y protegido. Los parches están pensados para mejorar la seguridad, pero no siempre lo hacen bien. Aquí es donde es vital tener planes de gestión de riesgos de terceros en su lugar - aprender más aquí.

6. Actualizar regularmente las soluciones antivirus de la empresa

Comprender la importancia del antivirus y la seguridad de los puntos finales

La seguridad de los puntos finales de su empresa es su primera línea de defensa. Eso incluye antivirus, cortafuegos y otras herramientas antimalware o de detección de intrusiones.

Estos sistemas son vitales para ayudar a los usuarios, especialmente a los que tienen poca conciencia cibernética (de la que hablaremos en el séptimo punto), a evitar la descarga de software potencialmente dañino, el acceso a sitios web poco fiables o el uso de dispositivos USB poco limpios.

Al igual que las aplicaciones de la empresa, el antivirus también debe actualizarse

Nuestro consejo es el mismo que el anterior. La carrera armamentística continúa, y el antivirus es otra herramienta que puede quedarse atrás si no se actualiza. Mantener la seguridad de los puntos finales lo más avanzada posible significa que estás accediendo a los mejores conocimientos de seguridad que el mundo puede ofrecer.

Consejos rápidos para aplicar una política de gestión de la seguridad de los puntos finales

  • Siga nuestro consejo anterior: Pero, contextualícelo para el antivirus y cualquier otra solución de punto final en su empresa. Esto significa realizar un inventario, anotar las versiones y las fechas, y redactar una política que incluya un proceso de revisión. Para asegurarse de que esto ocurra cuando sea necesario, también necesitará que alguien sea responsable de este proceso.
  • Realice una evaluación de riesgos: Es posible que desee realizar una evaluación de riesgos basada en las amenazas cibernéticas para su negocio, en comparación con sus soluciones actuales para puntos finales. Este proceso puede revelar que le falta un sistema de seguridad crítico, o quizás lo contrario: que lo que está pagando es excesivo.

7. Promover la conciencia cibernética en toda la empresa

¿Por qué es importante la ciberconciencia?

Como sabemos, la mayoría de las infracciones provienen de algún tipo de error humano. Por eso, cualquier plan para evitar los ataques de ransomware debe incluir invariablemente la formación del personal.

Es vital que su personal sepa cómo detectar actividades sospechosas y qué hacer en caso de que se den cuenta de que han sido comprometidos. Además, deben saber qué canales de comunicación deben seguir si alguna vez no están seguros.

Consejos rápidos para fomentar la conciencia cibernética

  1. Trátelo como cualquier otro proceso de gestión del cambio: Necesitarás defensores del cambio de tu lado, empleados y líderes de toda la empresa que puedan ayudar a sus compañeros con el cambio. Además, debes liderar con empatía, reconociendo que algunas personas tendrán dificultades y que otras se opondrán a los cambios, y eso está bien.
  2. Escriba lo que quiere conseguir: ¿Cómo será su cultura de ciberconciencia? Asegúrese de que los líderes sigan ese ejemplo.
  3. Organice talleres/sesiones de formación: Recuerde que debe centrarse en el compromiso: la mayoría de la gente olvidará las presentaciones aburridas o los discursos insulsos. Hágalo de forma práctica, o incluso competitiva. Enseña a los asistentes las habilidades de concienciación cibernética que necesitan conocer de una manera que puedan recordar.
  4. Traducir la jerga: Hay mucha jerga tecnológica en las TI. Intenta traducirla en la medida de lo posible a un lenguaje sencillo para que todo el mundo, independientemente de sus conocimientos técnicos, pueda entender lo que quieres decir y lo que tiene que hacer.
  5. Crear vías de comunicación: Unas vías de comunicación claras son fundamentales para ayudar a las personas a denunciar actividades maliciosas (o sospechosas). Los empleados deben saber con quién hablar, cuándo y cómo.
  6. Incorporación con conciencia cibernética: Todo lo anterior debe incluirse en el proceso de incorporación para garantizar que los nuevos empleados reciban el mismo nivel de formación.
  7. Conviértalo en algo habitual: incorpore la conciencia cibernética a su cultura diaria. Envíe regularmente artículos o consejos útiles, o quizás datos y estadísticas interesantes. Demuestre cómo es una buena higiene cibernética y destaque/reconozca a los mejores.

8. Desactivar macros

¿Qué son las macros?

Una macro es un script que automatiza una secuencia de clics o de pulsación de botones sin la intervención del ratón o del teclado. Por ejemplo, pueden utilizarse para automatizar acciones repetitivas en, por ejemplo, una hoja de cálculo, de modo que no tengas que hacer una tarea manualmente (como copiar y pegar datos).

Se inventaron por comodidad, pero se pueden aprovechar fácilmente.

¿Por qué es importante desactivar las macros?

Las macros pueden ser útiles, pero desgraciadamente se sabe que son puntos de vulnerabilidad para que los ciberatacantes abusen de ellas.

Se llaman macrovirus y son piezas de malware escritas en el mismo lenguaje que una inocente macro. Cuando se descargan, realizan tareas en nombre del atacante, como desactivar el antivirus, instalar nuevo malware, robar datos o enviar mensajes de spam utilizando la cuenta de correo electrónico de alguien (para que parezca que el spam procede de una fuente de confianza). Las macros se utilizan a menudo para preparar un sistema para la descarga de ransomware sin que ningún sistema de protección de puntos finales o de supervisión lo detecte.

Los atacantes de phishing las utilizan con bastante frecuencia, intentando engañar a los usuarios para que descarguen documentos de Word u hojas de cálculo que luego despliegan la macro maliciosa.

Así que el consejo rápido aquí...

Desactiva las macros en los dispositivos de la empresa para evitar que esto sea posible. Si necesitas automatizar ciertas tareas, puede valer la pena buscar un software especializado, como sustituir las hojas de cálculo financieras de Excel por un software de automatización de la contabilidad.

9. Utilizar los "honeypots" (nidos de abejas)

¿Qué es un honeypot?

Un honeypot es esencialmente un señuelo: un objetivo falso diseñado para atraer la atención de los ciberatacantes para que ataquen allí, no un objetivo legítimo. 

También pueden establecerse para recopilar datos sobre un ataque, como la identidad, el método y la motivación.

¿Por qué son importantes los honeypots? 

Los honeypots pueden parecerse a cualquier activo digital, ya sea una aplicación, su servidor o toda una red falsa (conocida como honeynet). Mientras parezca legítimo, puede convencer a un atacante de que ha penetrado con éxito en su sistema cuando en realidad está en un entorno controlado.

Cuando están dentro de este entorno, puedes reunir datos vitales. Estos datos pueden ayudarle a mejorar sus defensas al ver que se explotan los puntos débiles, o ver cuáles son los objetivos más atractivos de su red. También puede revelar puntos ciegos en los que nunca habías pensado.

NOTA: Los honeypots no pueden ser su única protección. Si un atacante se da cuenta de que está en un honeypot, puede inundarlo de actividad para atraer tu atención mientras irrumpe en el sistema principal. En cierto modo, esto significaría que su propio señuelo le distrae también. Otra posibilidad es que un atacante inunde el honeypot con información errónea para que te enteres de cosas equivocadas. Por lo tanto, necesitas una seguridad integral en toda la red para garantizar la protección desde múltiples ángulos.

Si no está seguro de cómo configurar los honeypots, es probable que necesite asistencia técnica

Estos pueden ser un poco más complejos de configurar que el resto de nuestros logros rápidos en esta lista. Aunque no se necesitan años de transformación y un proceso de gestión de cambios considerable, todavía hay mucho que saber para configurarlos correctamente (especialmente si estás combinando honeypots en una red).

Le recomendamos que se ponga en contacto con un especialista si su empresa no tiene ya los conocimientos necesarios. Para hablar con nosotros sobre lo que podemos hacer para ayudarle, póngase en contacto con nosotros aquí.

10. Adoptar ZeroTrust como política a largo plazo

¿Qué es ZeroTrust?

ZeroTrust es un concepto de seguridad. Las empresas que adoptan esta postura están adoptando una postura de no confiar en nadie (literalmente confianza cero): la red de TI no confía, por defecto, en ningún usuario o dispositivo.

De este modo, el acceso al sistema está siempre cuidadosamente controlado porque ya no se presupone. Los usuarios acceden con permiso, y los usuarios privilegiados acceden mediante estrictas medidas de prueba y formación.

¿Por qué es importante ZeroTrust?

Si cualquiera puede acceder a su red en cualquier momento, entonces cualquiera que se vea comprometido puede comprometer todo el sistema.

Pero ZeroTrust no consiste en prohibir ciegamente a los usuarios el acceso a lo que necesitan para hacer su trabajo, sino en elegir quién puede acceder a qué, dónde y cuándo, con el fin de controlar mejor la seguridad. No tiene por qué ser un obstáculo para la vida cotidiana de las personas. Con una sólida política de IAM, como ya se ha comentado en este artículo, el proceso de asignación y actualización de los permisos de acceso puede agilizarse en gran medida (y automatizarse parcialmente).

Ya hemos cubierto ZeroTrust ampliamente en otro artículo que creemos que será muy útil si estás interesado en este enfoque. Cubre los fundamentos de ZeroTrust, cómo se aplica a los negocios modernos, sus beneficios y desafíos, y los pasos rápidos de implementación. Lea más aquí.

¿Necesita ayuda? Estamos aquí para ti

Hemos abarcado mucho en este artículo, y sabemos que cada uno de estos pasos tiene una complejidad mixta. Si alguna vez no estás seguro de qué hacer a continuación, por dónde empezar, podemos ayudarte.

O bien, reserve hoy mismo una consulta de madurez gratuita y hablaremos con usted sobre su empresa y sus necesidades, de modo que podamos ayudarle a elaborar una hoja de ruta para implementar los mejores beneficios rápidos para sus necesidades.

¿Quiere saber más?

PÓNGASE EN CONTACTO CON NOSOTROS PARA UNA CONSULTA GRATUITA
Política de privacidad | Política de cookies | Impressum
Política de privacidad | Política de cookies | Impressum
Al hacer clic en "Aceptar todas las cookies", usted acepta que se almacenen cookies en su dispositivo para mejorar la navegación por el sitio, analizar el uso del mismo y ayudar en nuestros esfuerzos de marketing. Consulte nuestra política de privacidad para obtener más información.
PreferenciasDenegarAcepta