Cómo prevenir ataques de ransomware (parte dos)
Los ataques de ransomware evolucionan constantemente, y los ciberdelincuentes utilizan técnicas de cifrado más rápidas, tácticas de doble extorsión y malware impulsado por IA para evadir las defensas tradicionales. Por eso, la prevención requiere un enfoque de seguridad en múltiples capas.
En nuestro artículo «Cómo prevenir ataques de ransomware (parte uno)», exploramos cinco estrategias clave:
- Realizar copias de seguridad de los datos para evitar pagos de rescate.
- Mantener los sistemas actualizados para corregir vulnerabilidades conocidas.
- Usar antivirus de última generación y firewalls para la detección de amenazas en tiempo real.
- Segmentar redes para limitar la propagación del ransomware.
- Mejorar la seguridad del correo electrónico para bloquear infecciones basadas en phishing.
Ahora, veremos cinco prácticas de seguridad más avanzadas para ayudar a empresas con alta liquidez, como la tuya, a anticiparse a las amenazas de ransomware y reducir el riesgo de infección.
5 prácticas avanzadas para prevenir ataques de ransomware
1. Usa listas de aplicaciones permitidas
No todos los programas deberían poder ejecutarse en tus sistemas. Las listas de aplicaciones permitidas son una medida de seguridad proactiva que restringe la ejecución de software no autorizado, evitando que el ransomware se ejecute en endpoints y servidores.
A diferencia de las soluciones antivirus tradicionales, que detectan y bloquean amenazas conocidas, el whitelisting adopta un enfoque de confianza cero, donde solo las aplicaciones preaprobadas pueden ejecutarse, bloqueando todo lo demás por defecto.
Para implementar listas de aplicaciones permitidas de manera efectiva, debes:
- Crear una lista estricta de aplicaciones aprobadas, permitiendo solo las esenciales para el negocio.
- Utilizar soluciones de seguridad para endpoints con funciones de whitelisting y control de ejecución.
- Revisar y actualizar regularmente la lista de permitidos para eliminar programas obsoletos o innecesarios.
- Bloquear la ejecución de scripts y macros, salvo que sean estrictamente necesarios para las operaciones.
2. Protege los endpoints
Los endpoints, como las estaciones de trabajo de los empleados, dispositivos móviles y cargas de trabajo en la nube, son uno de los principales objetivos de los ataques de ransomware. Si un atacante logra comprometer un solo dispositivo, puede moverse lateralmente por la red, infectando múltiples sistemas.
La detección y respuesta extendida (Extended Detection & Response -XDR) mejora la seguridad de los endpoints al integrar múltiples capas de protección, detectar señales tempranas de actividad de ransomware y detener el ataque antes de que comience el cifrado. Las organizaciones con soluciones de seguridad para endpoints y XDR han logrado detectar y bloquear muchos ataques antes de que escalen.
Por ello, asegurar los endpoints es una estrategia clave para prevenir el ransomware antes de que se propague por toda la organización:
- Implementar soluciones XDR para monitorear, detectar y responder en tiempo real a comportamientos sospechosos.
- Aplicar autenticación multifactor (MFA) para evitar accesos no autorizados.
- Usar cifrado en los dispositivos para proteger datos sensibles en caso de compromiso.
- Actualizar regularmente las políticas de seguridad para endpoints y restringir el uso de dispositivos externos como unidades USB.
3. Limita los privilegios de acceso de los usuarios
Una de las formas más efectivas de evitar la propagación del ransomware es restringir el acceso de los usuarios. Si un atacante toma el control de una cuenta comprometida con privilegios de administrador, puede cifrar sistemas completos, eliminar copias de seguridad y deshabilitar herramientas de seguridad.
Aplicar el Principio de Mínimos Privilegios (PoLP) garantiza que los empleados solo tengan acceso a los datos y sistemas estrictamente necesarios para su función, nada más. Esto minimiza el daño que un ataque de ransomware puede causar si una cuenta es comprometida.
En los últimos años, el grupo Lapsus$ utilizó credenciales robadas con privilegios excesivos para infiltrarse en grandes empresas como Microsoft, Nvidia y Okta. Otras organizaciones con controles de acceso estrictos y una correcta gestión de privilegios pudieron limitar el impacto de sus ataques.
Para reducir privilegios innecesarios en tu empresa, sigue estas recomendaciones:
- Restringe los privilegios de administrador solo a quienes realmente los necesiten.
- Usa controles de acceso basados en roles (RBAC) para definir quién puede acceder a datos y sistemas específicos.
- Exige autenticación multifactor (MFA) en cuentas con privilegios elevados.
- Audita regularmente los permisos de usuario y elimina accesos innecesarios.
4. Realiza pruebas de seguridad periódicas
En 2021, el ataque de ransomware a Kaseya explotó una vulnerabilidad de omisión de autenticación en el software de gestión remota VSA de Kaseya. Esta falla permitió a los atacantes eludir los controles de autenticación, obteniendo acceso total para desplegar ransomware y cifrar datos críticos.
Este ataque demuestra la importancia de realizar pruebas de seguridad periódicas para identificar vulnerabilidades antes de que los ciberdelincuentes las exploten. Además de las pruebas de seguridad, es fundamental llevar a cabo simulaciones de ataque y aplicar parches de seguridad a tiempo para prevenir ataques de ransomware.
Algunas de las mejores prácticas para adoptar un enfoque proactivo en las pruebas de seguridad incluyen:
- Realizar pruebas de penetración periódicas para simular escenarios de ataque con ransomware.
- Llevar a cabo ejercicios de red team para evaluar la capacidad de respuesta interna ante incidentes de seguridad.
- Ejecutar análisis automatizados de vulnerabilidades para detectar y corregir fallos antes de que sean explotados.
- Actualizar continuamente las políticas de seguridad en función de los resultados de las pruebas.
5. Capacitación en concienciación sobre seguridad
El error humano sigue siendo la principal causa de infecciones por ransomware. Los ciberdelincuentes aprovechan errores de los empleados, contraseñas débiles y ataques de phishing para obtener acceso a las redes corporativas. Sin una capacitación adecuada, incluso los sistemas de seguridad más avanzados pueden ser vulnerados mediante técnicas de ingeniería social.
La brecha de seguridad en Twitter en 2020 mostró lo fácil que es engañar a los empleados para que revelen sus credenciales mediante un simple ataque de phishing. Con una sola llamada telefónica, los atacantes lograron acceder a herramientas internas y comprometer cuentas de alto perfil. Un solo error humano provocó una grave violación de seguridad, afectando no solo a la empresa, sino también a sus clientes y usuarios, incluidas cuentas de políticos, celebridades y empresarios reconocidos.
Cuando los empleados están capacitados para reconocer y responder a las amenazas cibernéticas, se convierten en una línea de defensa clave contra los ataques de ransomware.
Para fortalecer la seguridad a nivel organizacional:
- Realiza simulaciones de phishing periódicas para entrenar a los empleados en escenarios de ataque reales.
- Implementa formación obligatoria en ciberseguridad para todo el personal, incluidos los directivos.
- Educa a los empleados sobre cómo reconocer correos de phishing, enlaces maliciosos y archivos adjuntos sospechosos.
- Fomenta una cultura de seguridad, animando a los empleados a reportar posibles amenazas de inmediato.
Prevén los ataques de ransomware con Clovr Labs
Prevenir el ransomware requiere más que defensas básicas; es necesario contar con una estrategia de seguridad proactiva y en múltiples capas, capaz de evolucionar junto con las amenazas emergentes.
En Clovr Labs, ayudamos a las empresas fintech a anticiparse a los ataques de ransomware con soluciones de seguridad ofensiva, diseñadas para identificar y eliminar vulnerabilidades antes de que puedan ser explotadas.
Nuestro enfoque incluye:
- Threat Mapping – Análisis estratégico de tu superficie de ataque para detectar brechas de seguridad antes que los atacantes.
- 360 Attack Exposure – Pruebas de penetración reales y ejercicios de red team para descubrir vulnerabilidades.
- Non-Linear Defense – Medidas de seguridad adaptativas impulsadas por IA que evolucionan para contrarrestar nuevas tácticas de ransomware.
El ransomware es más sofisticado que nunca, pero con las medidas de seguridad adecuadas, las empresas pueden reducir riesgos, fortalecer sus defensas y evitar brechas de seguridad costosas.
¿Tu empresa está preparada? Contáctanos hoy mismo para evaluar tu nivel de riesgo ante ransomware y diseñar una estrategia de ciberseguridad que te mantenga siempre un paso adelante de los atacantes.
