Proteja rápidamente su organización frente ataques de ransomware
Ranswomare es un tipo de ataque creciente y lucrativo que usan los ciberdelincuentes para extorsionar a organizaciones grandes y pequeñas. Comprender cómo protegerse contra ataques de ransomware y minimizar el daño es una parte importante de la protección de su empresa. En este artículo se proporcionan instrucciones prácticas sobre cómo configurar rápidamente la protección contra ransomware.
Esta guía se organiza en pasos, empezando por las acciones más urgentes que se deben realizar.
Cada paso es un artículo independiente vinculado a continuación. Marque esta página como punto de partida.
Nota:
¿Qué es el ransomware? Vea la definición de ransomware aquí.
Información importante sobre este artículo
Nota:
El orden de esos pasos se ha diseñado para garantizar la reducción del riesgo lo más rápido posible y se da por hecha una gran urgencia que invalida la seguridad normal y las prioridades de TI para evitar o mitigar ataques de gran impacto.
Es importante tener en cuenta que esta guía de prevención de ransomware está estructurada como pasos que debe seguir en el orden mostrado. Para adaptar mejor esta guía a su situación, siga estas pautas:
Adherirse a las prioridades recomendadas
Use los pasos como plan inicial para saber qué hacer primero, a continuación y después para obtener primero los elementos más afectados. Estas recomendaciones se han priorizado mediante el principio de Confianza cero de asumir una vulneración. Esto le obliga a centrarse en minimizar el riesgo empresarial suponiendo que los atacantes puedan obtener acceso correctamente a su entorno a través de uno o varios métodos.
Ser proactivo y flexible (pero no omitir tareas importantes)
Analice las listas de comprobación de implementación de todas las secciones de los tres pasos para ver si hay áreas y tareas que pueda completar rápidamente (por ejemplo, ya tiene acceso a un servicio en la nube que no se ha utilizado, pero que se puede configurar de forma rápida y sencilla). A medida que revise todo el plan, tenga mucho cuidado de que estas áreas y tareas posteriores no retrasen la finalización de áreas de importancia crítica, como las copias de seguridad y el acceso con privilegios.
Lleve a cabo algunos elementos en paralelo
Intentar hacer todo a la vez puede resultar abrumador, pero algunos elementos se pueden hacer de forma natural en paralelo. El personal de los distintos equipos puede trabajar en tareas al mismo tiempo (por ejemplo, el equipo de copia de seguridad, el equipo de puntos de conexión, el equipo de identidad), al mismo tiempo que se impulsa la finalización de los pasos en orden de prioridad.
Los elementos de las listas de comprobación de implementación están en el orden recomendado de clasificación por orden de prioridad, no en un orden de dependencia técnica.
Use las listas de comprobación para confirmar y modificar la configuración existente según sea necesario y de manera que funcione en la organización. Por ejemplo, en el elemento de copia de seguridad más importante, puede hacer una copia de seguridad de algunos sistemas, pero quizás no se puedan desconectar ni sean inmutables, o tal vez no pueda probar todos los procedimientos de restauración de la empresa, o no tenga copias de seguridad de sistemas empresariales críticos o sistemas de TI críticos, como los controladores de dominio de Active Directory Domain Services (AD DS).
Nota:
Consulte la entrada de blog de seguridad de Microsoft en la que se indican tres pasos para evitar el ransomware y recuperarse de él (septiembre de 2021) para obtener un resumen adicional de este proceso.
Configurar el sistema para evitar ransomware en este momento
Los pasos son:
Paso 1. Preparación de un plan de recuperación de ransomware
Este paso está diseñado para minimizar el incentivo económico de los atacantes de ransomware porque hace que resulte:
- Mucho más difícil acceder a los sistemas, interrumpirlos o cifrar o dañar los datos clave de la organización.
- Más fácil que su organización se recupere de un ataque sin pagar el rescate.
Nota:
Aunque restaurar algunos o todos los sistemas empresariales es una tarea difícil, la alternativa es pagar a un atacante para obtener una clave de recuperación que podría facilitar o no y usar herramientas desarrolladas por los atacantes para intentar recuperar los sistemas y datos.
Paso 2. Limitar el ámbito de los daños por ransomware
Haga que a los atacantes les cueste mucho más trabajo obtener acceso a los sistemas críticos de la empresa mediante roles de acceso con privilegios. Limitar la capacidad del atacante para obtener acceso con privilegios hace que le sea mucho más difícil sacar provecho de un ataque a su organización y, por lo tanto, que sea más probable que desista y se vaya a otro lugar.
Paso 3. Hacer que sea difícil que entren los ciberdelincuentes
Este último conjunto de tareas es importante para dificultar la entrada, pero llevará tiempo en completarse como parte de un proceso de seguridad mayor. El objetivo de este paso es que los atacantes trabajen mucho más mientras intentan obtener acceso a las infraestructuras locales o en la nube en los distintos puntos de entrada. Estas son muchas tareas, por lo que es importante priorizar su trabajo aquí en función de la rapidez con la que puede realizar estas tareas con los recursos actuales.
Aunque muchas le serán familiares y logrará conseguir su objetivo de forma rápida, es fundamental que trabaje en el paso 3 no ralentice el progreso en los pasos 1 y 2.
Protección contra ransomware de un vistazo
También puede ver información general de los pasos y sus listas de comprobación de implementación como niveles de protección contra atacantes de ransomware con el cartel en el que se indica cómo proteger una organización frente al ransomware.
Paso siguiente
Comience con el paso 1 la preparación de su organización para que pueda recuperarse de un ataque sin tener que pagar el rescate.
Recursos adicionales del ransomware
Información clave de Microsoft:
- La creciente amenaza del ransomware, entrada de blog de Microsoft On the Issues del 20 de julio de 2021
- Ransomware controlado por personas
- Informe de 2021 sobre defensa digital de Microsoft (consulte las páginas 10 a 19)
- Ransomware: un informe generalizado y continuo de análisis de amenazas amenazas en el portal de Microsoft Defender
- Enfoque y caso práctico de ransomware del equipo de detección y respuesta (DART) de Microsoft
Microsoft 365:
- Implementación de la protección contra ransomware en el inquilino de Microsoft 365
- Maximización de la resistencia al ransomware con Azure y Microsoft 365
- Recuperación en caso de un ataque de ransomware
- Protección contra malware y ransomware
- Proteger el PC contra el ransomware
- Control del ransomware en SharePoint Online
- Informes de análisis de amenazas para ransomware en el portal de Microsoft Defender
Microsoft Defender XDR:
Microsoft Azure:
- Defensas de Azure ante ataques de ransomware
- Maximización de la resistencia al ransomware con Azure y Microsoft 365
- Plan de copia de seguridad y restauración para protegerse contra el ransomware
- Ayuda para protegerse contra ransomware con Microsoft Azure Backup (vídeo de 26 minutos)
- Recuperación de un riesgo de identidad sistemático
- Detección de un ataque avanzado de varias fases en Microsoft Sentinel
- Detección de fusión para ransomware en Microsoft Sentinel
Microsoft Defender for Cloud Apps:
Entradas de blog del equipo de seguridad de Microsoft:
Tres pasos para evitar el ransomware y recuperarse de él (septiembre de 2021)
Guía para combatir ransomware operado por humanos: Parte 1 (septiembre de 2021)
Pasos clave sobre cómo el equipo de detección y respuesta (DART) de Microsoft lleva a cabo investigaciones de incidentes de ransomware.
Guía para combatir ransomware operado por humanos: Parte 2 (septiembre de 2021)
Sugerencias y procedimientos recomendados
-
Consulte la sección Ransomware.
Ataques de ransomware controlados por personas: Un desastre evitable (marzo de 2020)
Incluye el análisis de la cadena de ataques de los ataques reales.
Respuesta al ransomware: ¿pagar o no pagar? (diciembre de 2019)
Norsk Hydro responde a un ataque de ransomware con transparencia (diciembre de 2019)