MEJORES PRÁCTICAS

DE PROTECCIÓN
PARA ENDPOINTS
PARA BLOQUEAR EL
RANSOMWARE

Monográficos de Sophos Julio de 2020

 Mejores prácticas de protección para endpoints para bloquear el ransomware

Mejores prácticas de protección para endpoints para bloquear el

ransomware
En nuestra encuesta a 5000 directores de TI de 26 países, el 51 % de los encuestados revelaron que se habían visto
afectados por el ransomware en el último año. En el 73 % de esos incidentes, los atacantes lograron cifrar los datos.
Además, el coste global medio para remediar estos ataques ascendía a la desorbitada cifra de 761 106 USD.

Uno de los métodos más eficaces para protegerse contra los ataques de ransomware es contar con una solución de
protección para endpoints debidamente configurada. En este monográfico explicamos cómo funcionan los ataques de
ransomware, cómo pueden detenerse y las prácticas recomendadas para configurar su solución para endpoints a fin de
contar con la mejor protección posible.

Cómo se despliegan los ataques de ransomware

En los últimos años, el ransomware ha ido abandonando los ataques por fuerza bruta a gran escala para pasarse a los
ataques dirigidos, planificados y ejecutados manualmente, que son mucho más difíciles de detectar y bloquear. Veamos
cómo actúan las distintas formas de ransomware y qué debe hacer su empresa para minimizar su vulnerabilidad frente a
un ataque.

Ataques de ransomware dirigido

Los ataques de ransomware dirigido tienen un marcado carácter manual, normalmente se centran en una sola víctima
cada la vez y a menudo exigen rescates muy elevados. Los delincuentes acceden a la red y se desplazan lateralmente,
identificando en el proceso sistemas de alto valor. En su intento de afectar al máximo número de sistemas posible a la vez,
estos ataques suelen lanzarse en los peores momentos posibles para los encargados de la seguridad: noches, fines de
semana y días festivos. También se sirven de varias técnicas de ataque para eludir las funciones de protección por capas, lo
que los hace particularmente eficaces.

Este es un ejemplo del ataque de ransomware dirigido típico:

1. OBTIENE ACCESO 2. AUMENTA LOS PRIVILEGIOS 3. INTENTA DESACTIVAR O ELUDIR

a. Funciones remotas de
gestión/uso compartido de
archivos como el RDP
Malware como el Emotet y
Trickbot
HASTA LLEGAR A
ADMINISTRADOR
El atacante explota vulnerabilidades
del sistema para obtener niveles de
privilegios que le permiten eludir el
software de seguridad.
EL SOFTWARE DE SEGURIDAD
USANDO ARCHIVOS ALTAMENTE
PERSONALIZADOS
De no conseguirlo, trata de infiltrarse
en la consola de gestión de seguridad y
desactivar los sistemas de seguridad.

4. DESPLIEGA RANSOMWARE QUE CIFRA LOS 6. ESPERA QUE LA VÍCTIMA

ARCHIVOS DE LA VÍCTIMA 5. DEJA UNA NOTA
SE PONGA EN CONTACTO
DE RESCATE QUE
Los hackers explotan vulnerabilidades de la red y CON EL ATACANTE A
EXIGE UN PAGO
el host o protocolos básicos de uso compartido de TRAVÉS DEL CORREO
archivos para infiltrarse en otros sistemas de la red. POR DESCIFRAR
ELECTRÓNICO O UN SITIO
También se sirven de herramientas que las empresas LOS ARCHIVOS
ya utilizan en sus redes, como PsExec y PowerShell. DE LA WEB OSCURA

Las consecuencias de sucumbir a estos ataques pueden ser graves. Los hackers son cada vez más audaces, pidiendo a
veces rescates de seis cifras. Además, nuestra encuesta reveló que pagar el rescate duplica en realidad el coste de lidiar
con un ataque: de media, se paga una demoledora cifra de más de 1,4 millones USD a escala mundial.

Monográficos de Sophos Julio de 2020 1

 Mejores prácticas de protección para endpoints para bloquear el ransomware

¿Protocolo de escritorio remoto o protocolo de despliegue de ransomware?

El Protocolo de escritorio remoto (RDP) y otras herramientas de uso compartido del escritorio como Computación virtual en
red (VNC) son funciones legítimas y sumamente útiles que permiten a los administradores acceder y gestionar sistemas
de forma remota. Desafortunadamente, sin las medidas de protección adecuadas, tales herramientas son también puertas
de entrada ideales para los atacantes y suelen ser explotadas por el ransomware dirigido.

Si no protege el protocolo RDP y otros protocolos de gestión remota similares con una red privada virtual (VPN) o por lo
menos limita las direcciones IP que pueden conectarse mediante el RDP, puede estar dejando la puerta abierta de par en
par a los ataques. Los atacantes a menudo usan herramientas de hacking por fuerza bruta que prueban cientos de miles de
combinaciones de nombres de usuario y contraseñas hasta que dan con la correcta y comprometen su red.

Prácticas recomendadas generales para protegerse del ransomware

Protegerse contra el ransomware no solo consiste en contar con las últimas soluciones de seguridad. Las prácticas
recomendadas de seguridad TI, incluida la formación periódica de los empleados, son componentes esenciales de todas y
cada una de las estrategias de seguridad. Asegúrese de seguir estas 10 prácticas recomendadas:

1. Aplique los parches con prontitud y frecuencia

El malware suele aprovechar los errores de seguridad de aplicaciones populares. Cuanto antes aplique las revisiones de
software en sus endpoints, servidores, dispositivos móviles y aplicaciones, menos agujeros existirán para explotarse.

2. R
 ealice copias de seguridad periódicamente y guarde una copia de seguridad reciente
fuera de la red y sin conexión
En nuestra encuesta, el 56 % de los directores de TI cuyos datos se cifraron lograron restaurarlos mediante copias de
seguridad. Cifre las copias de seguridad y manténgalas fuera de la red para no tener que preocuparse por si las copias de
seguridad en la nube o los dispositivos de almacenamiento acaban en las manos equivocadas. Asimismo, implemente un
plan de recuperación de desastres que cubra la restauración de datos.

3. Habilite las extensiones de archivo

La opción predeterminada de Windows es ocultar las extensiones de archivo, lo que significa que dependemos de las
miniaturas de los archivos para identificarlos. Al habilitar las extensiones resulta mucho más fácil detectar los tipos de
archivo que usted o sus usuarios no suelen recibir habitualmente, como archivos JavaScript.

4. Abra los archivos JavaScript (.JS) con el Bloc de notas

Abrir un archivo JavaScript con el Bloc de notas impide que ejecute código malicioso y le permite examinar su contenido.

5. No habilite las macros de los documentos adjuntos recibidos por correo electrónico
Microsoft desactivó la ejecución automática predeterminada de las macros deliberadamente hace muchos años como
medida de seguridad. Muchas infecciones dependen de que usted vuelva a activar las macros, así que no se deje
convencer.

Monográficos de Sophos Julio de 2020 2

 Mejores prácticas de protección para endpoints para bloquear el ransomware

6. Tenga cuidado con los archivos adjuntos no solicitados

Los atacantes suelen aprovecharse de un viejo dilema: sabemos que no deberíamos abrir un documento sin estar seguros
de que es legítimo, pero no podemos saber si es malicioso hasta que lo abrimos. Si tiene dudas, no los abra.

7. Supervise los derechos de administrador

Revise constantemente los derechos de administrador local y de dominio. Sepa quiénes disponen de ellos y quiénes no
los necesitan. No permanezca conectado como administrador más tiempo del que sea necesario, y evite explorar y abrir
documentos u otras actividades de trabajo comunes mientras tenga derechos de administrador.

8. Manténgase al día de las nuevas funciones de seguridad de sus aplicaciones

empresariales
Por ejemplo, ahora Office 2016 incluye el control «Bloquear la ejecución de macros en archivos de Office procedentes de
Internet», que le ayuda a protegerse contra contenido malicioso externo sin dejar de utilizar macros internamente.

9. Regule el acceso externo a la red

No deje puertos expuestos al exterior. Bloquee el acceso RDP de su empresa y otros protocolos de gestión remota. Además,
utilice la autenticación de doble factor y asegúrese de que los usuarios remotos se autentican en una VPN.

10. Utilice contraseñas seguras

Parece irrelevante, pero no lo es en absoluto. Una contraseña poco segura y predecible puede dar a los hackers acceso
a toda su red en cuestión de segundos. Recomendamos que evite los datos personales, que tengan al menos 12
caracteres, que utilice una combinación de mayúsculas y minúsculas y que añada signos de puntuación aleatoriamente
dE.e5taMANera!

Prácticas recomendadas para su solución de protección para

endpoints
Junto con un firewall next-gen, uno de los métodos más eficaces para protegerse de los ataques de ransomware es utilizar
una solución de protección para endpoints. Sin embargo, debe estar debidamente configurada para ofrecer una protección
óptima.

Siga estas prácticas recomendadas para proteger sus dispositivos endpoint contra el ransomware:

1. Active todas las políticas y asegúrese de que todas las funciones estén habilitadas
Parece obvio, pero es una manera segura de beneficiarse de la mejor protección de su solución para endpoints. Las
políticas están diseñadas para detener amenazas específicas, y comprobar periódicamente que todas están activadas
garantizará que los endpoints están protegidos, especialmente contra nuevas variantes de ransomware.

Además, habilitar funciones que detectan el comportamiento del ransomware y las técnicas usadas en los ataques
sin archivos es fundamental para evitar que los delincuentes se infiltren en sus endpoints y desplieguen variantes de
ransomware dañinas. También le permiten remediar más fácilmente los ataques en caso de que de alguna manera
consigan penetrar en su entorno.

Monográficos de Sophos Julio de 2020 3

 Mejores prácticas de protección para endpoints para bloquear el ransomware

2. Revise periódicamente sus exclusiones

Las exclusiones (que impiden que los directorios y tipos de archivo fiables se analicen en busca de malware) se usan
a veces para mitigar las quejas de los usuarios que piensan que la solución de protección ralentiza sus sistemas. Las
exclusiones también pueden utilizarse para reducir los riesgos de posibles falsos positivos.

Con el tiempo, una lista creciente de directorios y tipos de archivo excluidos puede terminar afectando a más y más
personas en la red. Y el malware que consigue entrar en los directorios excluidos (tal vez movidos por error por un usuario)
probablemente logrará su objetivo porque está excluido de las comprobaciones.

Asegúrese de revisar periódicamente su lista de exclusiones en la configuración de la protección contra amenazas y

mantenga el número de exclusiones lo más cerca posible de cero.

3. Active la autenticación multifactor (AMF) en su consola de seguridad

La autenticación multifactor, o AMF, ofrece una capa adicional de seguridad después del primer factor, que suele ser
una contraseña. Habilitar la AMF en todas sus aplicaciones es, por lo general, una buena práctica de seguridad TI, y es
fundamental activarla para todos los usuarios que tienen acceso a su consola de seguridad.

De este modo, garantiza que el acceso a su solución de protección para endpoints es seguro y no propenso a intentos
accidentales o deliberados de cambiar su configuración, lo que podría dejar sus dispositivos endpoint expuestos a los
ataques. La AMF también es crítica para proteger el RDP.

4. Asegúrese de que cada endpoint esté protegido y actualizado

Revisar sus dispositivos regularmente para saber si están protegidos y actualizados es una forma rápida de garantizar una
protección óptima. Un dispositivo que no funcione correctamente puede que no esté protegido y podría ser vulnerable a
un ataque de ransomware. Las herramientas de seguridad para endpoints a menudo proporcionan esta telemetría, y un
programa de mantenimiento de la higiene de TI también es útil para comprobar periódicamente cualquier posible problema
de TI.

5. Mantenga la higiene de TI
Una higiene de TI regular garantiza que sus endpoints y el software que tienen instalado funcionen con la máxima
eficiencia. No solo mitiga sus riesgos de ciberseguridad, sino que puede ahorrarle mucho tiempo a la hora de remediar
posibles incidentes en el futuro.

La implementación de un programa para mantener la higiene de TI es especialmente crítica para la protección contra los
ataques de ransomware y otras amenazas de ciberseguridad. Por ejemplo: garantizar que el RDP se ejecuta solo donde
se necesita y se espera, comprobar periódicamente si hay problemas de configuración, supervisar el rendimiento de los
dispositivos y eliminar los programas no deseados o innecesarios. Un control de higiene de TI puede poner de manifiesto
la necesidad de actualizar las aplicaciones de software, incluido el software de seguridad. También es una forma segura de
garantizar que se realizan copias de seguridad de sus valiosos datos regularmente.

6. Busque adversarios activos en la red

En el panorama de amenazas actual, los ciberdelincuentes son más astutos que nunca y despliegan técnicas sigilosas
para perpetrar ataques de ransomware dañinos. Las empresas necesitan herramientas que les permitan formular
preguntas detalladas para poder identificar amenazas avanzadas y adversarios activos. Una vez detectados, las empresas
también necesitan herramientas que puedan utilizar para tomar rápidamente las medidas adecuadas a fin de detener esas
amenazas.

Las tecnologías de su solución para endpoints, como la detección y respuesta para endpoints (EDR), ofrecen esta
funcionalidad, así que asegúrese de habilitar y utilizar las funciones de EDR si dispone de ellas.

Monográficos de Sophos Julio de 2020 4

 Mejores prácticas de protección para endpoints para bloquear el ransomware

7. Cierre la brecha con intervención humana: el ransomware no es más que el desenlace

El ransomware es tan solo el desenlace para los hackers. Para desplegarlo, los ciberdelincuentes ya habrán abierto una
brecha en su red y posiblemente exfiltrado datos sin su conocimiento, a veces meses antes de que se produzca un ataque.

La tecnología no suele ser suficiente por sí sola para detener estas intrusiones. Veámoslo en un ejemplo de la vida real: una
cámara de seguridad le permite ver cómo los ladrones entran en su propiedad, pero solo puede evitar el robo con guardias
de seguridad in situ. Lo mismo puede aplicarse a la ciberseguridad. La mejor manera de protegerse realmente contra este
tipo de intrusiones es añadir la experiencia humana como parte de una estrategia de seguridad por capas.

Los servicios de detección y respuesta gestionadas (MDR) son fundamentales en este sentido. Juntar sus equipos internos
de TI y seguridad con un equipo externo de élite de cazadores de amenazas y expertos en respuesta ayuda a obtener
asesoramiento práctico para abordar la causa raíz de los incidentes recurrentes.

Sophos Intercept X Advanced with EDR

Sophos Intercept X Advanced with EDR incluye todas las funciones que necesita para ayudar a proteger su empresa de
ataques de ransomware como el Ryuk, Sodinokibi, Maze y Ragnar Locker.

Intercept X incluye tecnología antiransomware que detecta procesos de cifrado malicioso y los neutraliza antes de que
puedan propagarse por la red. La tecnología antiexploits detiene la distribución e instalación de ransomware, el Deep
Learning bloquea el ransomware antes de que se ejecute y CryptoGuard previene el cifrado malicioso de archivos y los
revierte a su estado seguro.

Además, Sophos EDR ayuda a que la búsqueda de amenazas y la higiene de las operaciones de TI funcionen sin problemas
en toda la infraestructura. Sophos EDR permite a su equipo formular preguntas detalladas para identificar amenazas
avanzadas, adversarios activos y posibles vulnerabilidades de TI, y luego tomar rápidamente las medidas adecuadas para
detenerlas. Le permite detectar adversarios que acechan en su red a la espera de poder desplegar ransomware que pueden
haber pasado desapercibidos.

Sophos Managed Threat Response (MTR)

El servicio Sophos MTR añade la experiencia humana a su estrategia de seguridad por capas. Un equipo de élite de
cazadores de amenazas busca y valida de forma proactiva las amenazas potenciales en su nombre. Si se les autoriza,
adoptan medidas para interrumpir, contener y neutralizar amenazas, además de brindar asesoramiento práctico para
abordar la causa raíz de los incidentes recurrentes.

Monográficos de Sophos Julio de 2020 5

Conclusión
A pesar de ser una ciberamenaza perenne, el ransomware no hará más que seguir evolucionando. Si bien es posible que
nunca podamos erradicar completamente el ransomware, si seguimos las prácticas recomendadas de protección para
endpoints descritas en este documento, su empresa tendrá más probabilidades de mantenerse protegida contra las
amenazas más recientes.

En resumen:

1. Active todas las políticas y asegúrese de que todas las funciones estén habilitadas

2. Revise periódicamente sus exclusiones

3. Active la AMF en su consola de seguridad

4. Asegúrese de que cada endpoint esté protegido y actualizado

5. Mantenga la higiene de TI

6. Busque adversarios activos en la red

7. Cierre la brecha con intervención humana; recuerde: el ransomware no es más que el desenlace

Pruebe Sophos Intercept X gratis Más información sobre Sophos

en sophos.com/es-es/endpoint MTR en sophos.com/es-es/MTR

Ventas en España: Ventas en América Latina:

Tel.: (+34) 913 756 756 Email: Latamsales@sophos.com
Email: comercialES@sophos.com

© Copyright 2020. Sophos Ltd. Todos los derechos reservados.

Constituida en Inglaterra y Gales N.º 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido
Sophos es la marca registrada de Sophos Ltd. Todos los demás productos y empresas mencionados son marcas
comerciales o registradas de sus respectivos propietarios.

200702 WPES (NP)