Proteja rápidamente su organización frente ataques de ransomware

Ransomware es un tipo de ataque cibernético que usan los ciberdelincuentes para extorsionar organizaciones grandes y pequeñas.

Comprender cómo protegerse contra ataques de ransomware y minimizar los daños es una parte importante de la protección de tu empresa. En este artículo se proporcionan instrucciones prácticas sobre cómo configurar rápidamente la protección contra ransomware.

La guía se organiza en pasos, empezando por las acciones más urgentes que se deben realizar.

Marca esta página como punto de partida de los pasos.

Importante

Leer la serie de prevención de ransomware y hacer que tu organización sea un objetivo difícil para ataques cibernéticos

• Tener un plan de recuperación
• Plan para limitar los daños
• Dificultar la entrada

Nota:

¿Qué es el ransomware? Vea la definición de ransomware aquí.

Información importante sobre este artículo

Nota:

El orden de esos pasos se ha diseñado para garantizar la reducción del riesgo lo más rápido posible y se da por hecha una gran urgencia que invalida la seguridad normal y las prioridades de TI para evitar o mitigar ataques de gran impacto.

Es importante tener en cuenta que esta guía de prevención de ransomware está estructurada como pasos que debe seguir en el orden mostrado. Para adaptar mejor esta guía a su situación, siga estas pautas:

1. Adherirse a las prioridades recomendadas

   Use los pasos como plan inicial para saber qué hacer primero, a continuación y después para obtener primero los elementos más afectados. Estas recomendaciones se priorizan mediante el principio de Confianza cero de suponer que se produce una infracción. Esto le obliga a centrarse en minimizar el riesgo empresarial suponiendo que los atacantes puedan obtener acceso correctamente a su entorno a través de uno o varios métodos.

2. Ser proactivo y flexible (pero no omitir tareas importantes)

   Examina las listas de comprobación de implementación de todas las secciones de los tres pasos para ver si hay áreas y tareas que puedes completar antes. En otras palabras, las cosas que puedes hacer más rápido porque ya tienes acceso a un servicio en la nube que no se ha usado, pero que podría configurarse de forma rápida y sencilla. A medida que revises todo el plan, ten cuidado de que estas áreas y tareas posteriores no retrasen la finalización de áreas de importancia crítica, como las copias de seguridad y el acceso con privilegios.

3. Lleve a cabo algunos elementos en paralelo

   Intentar hacer todo a la vez puede resultar abrumador, pero algunos elementos se pueden hacer de forma natural en paralelo. El personal de los distintos equipos puede trabajar en tareas al mismo tiempo (por ejemplo, el equipo de copia de seguridad, el equipo de puntos de conexión, el equipo de identidad), a la vez que se impulsa la finalización de los pasos en orden de prioridad.

Los elementos de las listas de comprobación de implementación están en el orden recomendado de clasificación por orden de prioridad, no en un orden de dependencia técnica.

Use las listas de comprobación para confirmar y modificar la configuración existente según sea necesario y de manera que funcione en la organización. Por ejemplo, en el elemento de copia de seguridad más importante, se realiza una copia de seguridad de algunos sistemas, pero es posible que no estén sin conexión o inmutables, es posible que no pruebe los procedimientos completos de restauración empresarial o que no tenga copias de seguridad de sistemas empresariales críticos o sistemas de TI críticos como controladores de dominio de Active Directory Domain Services (AD DS).

Nota:

Consulte la entrada de blog de seguridad de Microsoft en la que se indican tres pasos para evitar el ransomware y recuperarse de él (septiembre de 2021) para obtener un resumen adicional de este proceso.

Configurar el sistema para evitar ransomware en este momento

Los pasos son:

Paso 1. Preparación de un plan de recuperación de ransomware

Este paso está diseñado para minimizar el incentivo económico de los atacantes de ransomware porque hace que resulte:

• Mucho más difícil acceder a los sistemas, interrumpirlos o cifrar o dañar los datos clave de la organización.
• Más fácil que su organización se recupere de un ataque sin pagar el rescate.

Nota:

Aunque restaurar muchos o todos los sistemas empresariales es un esfuerzo difícil, la alternativa de pagar a un atacante por una clave de recuperación podría no entregar y usar herramientas escritas por los atacantes para intentar recuperar sistemas y datos.

Paso 2. Limitar el ámbito de los daños por ransomware

Haga que a los atacantes les cueste mucho más trabajo obtener acceso a los sistemas críticos de la empresa mediante roles de acceso con privilegios. Limitar la capacidad del atacante para obtener acceso con privilegios hace que sea mucho más difícil sacar provecho de un ataque a su organización y, por tanto, es más probable que desista y se vaya a otro lugar.

Paso 3. Hacer que sea difícil que entren los ciberdelincuentes

Este último conjunto de tareas es importante para dificultar la entrada, pero llevará tiempo en completarse como parte de un proceso de seguridad mayor. El objetivo de este paso es que los atacantes trabajen mucho más mientras intentan obtener acceso a las infraestructuras locales o en la nube en los distintos puntos de entrada. Hay muchas tareas, por lo que es importante priorizar el trabajo aquí en función de la rapidez con la que puede hacerlo con los recursos actuales.

Aunque muchas le serán familiares y logrará conseguir su objetivo de forma rápida, es fundamental que trabaje en el paso 3 no ralentice el progreso en los pasos 1 y 2.

Protección contra ransomware de un vistazo

También puede ver información general de los pasos y sus listas de comprobación de implementación como niveles de protección contra atacantes de ransomware con el cartel en el que se indica cómo proteger una organización frente al ransomware.

Priorice la mitigación de ransomware en el nivel de macro. Configure el entorno de su organización para protegerse contra ransomware.

Paso siguiente

Comience con el paso 1 la preparación de su organización para que pueda recuperarse de un ataque sin tener que pagar el rescate.

Recursos adicionales del ransomware

Información clave de Microsoft:

• La creciente amenaza del ransomware, entrada de blog de Microsoft On the Issues del 20 de julio de 2021
• Ransomware controlado por personas
• Informe de 2021 sobre defensa digital de Microsoft (consulte las páginas 10 a 19)
• Ransomware: un informe generalizado y continuo de análisis de amenazas en el portal de Microsoft Defender
• Enfoque y caso práctico del ransomware del equipo de Respuesta a los incidentes de Microsoft (anteriormente DART/CRSP)

Microsoft 365:

• Implementación de la protección contra ransomware en el inquilino de Microsoft 365
• Maximización de la resistencia al ransomware con Azure y Microsoft 365
• Recuperación en caso de un ataque de ransomware
• Protección contra malware y ransomware
• Proteger el PC contra el ransomware
• Control del ransomware en SharePoint Online
• Informes de análisis de amenazas para ransomware en el portal de Microsoft Defender

Microsoft Defender XDR:

• Protección integrada contra ransomware
• Búsqueda de ransomware con búsqueda avanzada

Microsoft Azure:

• Defensas de Azure ante ataques de ransomware
• Maximización de la resistencia al ransomware con Azure y Microsoft 365
• Plan de copia de seguridad y restauración para protegerse contra el ransomware
• Ayuda para protegerse contra ransomware con Microsoft Azure Backup (vídeo de 26 minutos)
• Recuperación de un riesgo de identidad sistemático
• Detección de un ataque avanzado de varias fases en Microsoft Sentinel
• Detección de fusión para ransomware en Microsoft Sentinel

Microsoft Defender for Cloud Apps:

• Creación de directivas de detección de anomalías en Defender for Cloud Apps

Entradas de blog del equipo de seguridad de Microsoft:

• Tres pasos para evitar el ransomware y recuperarse de él (septiembre de 2021)

• Guía para combatir ransomware operado por humanos: Parte 1 (septiembre de 2021)

  Pasos clave sobre cómo Microsoft Incident Response lleva a cabo las investigaciones de incidentes de ransomware.

• Guía para combatir ransomware operado por humanos: Parte 2 (septiembre de 2021)

  Sugerencias y procedimientos recomendados

• Mayor resistencia mediante la comprensión de los riesgos de ciberseguridad: Parte 4: Análisis de las amenazas actuales (mayo de 2021)

  Consulte la sección Ransomware.

• Ataques de ransomware controlados por personas: Un desastre evitable (marzo de 2020)

  Incluye el análisis de la cadena de ataques de los ataques reales.

• Respuesta al ransomware: ¿pagar o no pagar? (diciembre de 2019)

• Norsk Hydro responde a un ataque de ransomware con transparencia (diciembre de 2019)