Ciberseguridad en

retrospectiva
Siete lecciones clave aprendidas por las víctimas de filtraciones
"Locura es hacer lo mismo una y otra vez esperando obtener resultados diferentes" – Albert Einstein
En todos los ámbitos de la vida, cometer un error es una oportunidad para aprender y asegurarse de que
no vuelva a ocurrir lo mismo. La ciberseguridad no es una excepción.
Este informe, elaborado por Rob Collins, ingeniero especialista en sistemas de Sophos Managed Threat
Response y Rapid Response, comparte siete lecciones clave aprendidas por las víctimas de filtraciones.
Cada lección incluye recomendaciones y consejos sencillos, muchos de los cuales no requieren que las
organizaciones compren ninguna herramienta. Al disponer de esta información, podrá proteger mejor
su organización y evitar ser víctima de una filtración.

Monográficos de Sophos. Noviembre de 2021

Ciberseguridad en retrospectiva

Contenido
Lección aprendida n.º 1:
Imponer la MFA para la administración del sistema y las consolas de seguridad 3

Lección aprendida n.º 2:

Bloquear el Protocolo de escritorio remoto (RDP) de cara al público 4

Lección aprendida n.º 3:

Desplegar seguridad de endpoints en todas partes 5

Lección aprendida n.º 4:

Evitar que los delincuentes obtengan (y usen) sus contraseñas 7

Lección aprendida n.º 5:

Excluir las herramientas de administración con bisturí, no con mazo
10

Lección aprendida n.º 6:

Mantenerse un paso por delante
12

Lección aprendida n.º 7:

Prepararse para lo peor 14

Cómo puede ayudar Sophos 17

Monográficos de Sophos. Noviembre de 2021 2

Ciberseguridad en retrospectiva

Lección aprendida n.º 1: Imponer la MFA para la

administración del sistema y las consolas de seguridad
La autenticación multifactor (MFA) es una medida de seguridad que requiere dos o más pruebas de identidad para permitir el
acceso. En otras palabras, se necesita algo más que una contraseña para obtener acceso. También se puede pedir un código
de acceso de un solo uso, el reconocimiento facial o una huella dactilar como una comprobación adicional de seguridad.

Todo administrador conoce las ventajas de la MFA para acceder a las aplicaciones empresariales. Protegen nuestros datos de
Office365 y Salesforce, incluso si un adversario obtiene, adivina, compra o consigue por fuerza bruta un nombre de usuario y
una contraseña.

Sin embargo, cuando las aplicaciones se trasladan a la nube, las consolas de inicio de sesión de esas aplicaciones también
quedan expuestas a Internet. La administración y la seguridad del sistema también pasan a gestionarse "desde la nube" y, por
tanto, también precisan la MFA.

La técnica T1078 de MITRE ATT&CK ("Cuentas válidas") describe cómo los ciberdelincuentes utilizan las cuentas válidas para
obtener un acceso inicial a la red, eludir las defensas, obtener persistencia y aumentar sus privilegios.

Estas tácticas, a su vez, permiten eludir diversas defensas, como antivirus, control de aplicaciones, firewalls, sistemas de
detección/prevención de intrusiones y controles de acceso al sistema. El uso no autorizado de cuentas válidas es muy difícil
de detectar, ya que se parecen mucho a lo habitual.

Las cuentas válidas son una de las cinco técnicas principales que Sophos ha observado para conseguir el acceso inicial
(https://attack.mitre.org/tactics/TA0001/), tal y como se recoge en el Manual de estrategias del adversario activo 2021.
Algunas herramientas de administración (por ejemplo, Solarwinds, Webroot, Kaseya y Connectwise) se han utilizado incluso
para entregar cargas maliciosas.

¿Qué ocurre cuando un ciberdelincuente accede a una consola de seguridad? En el ejemplo siguiente, el atacante
simplemente escribió su propia política y desactivó todas las opciones de seguridad.

Incluso los sistemas de administración de seguridad locales deberían utilizar la MFA si es posible; la vida es más fácil para un
adversario si puede desactivar las soluciones de seguridad antes de desplegar su malware. Si usa una VPN para acceder a la
red, le recomendamos encarecidamente que también active la MFA en ella.

Al habilitar la MFA para sus herramientas de administración y seguridad del sistema se logran tres objetivos:

Ì Reduce el riesgo de acceso de personas no autorizadas.

Ì Genera alertas para los intentos de acceso, lo que permite a un administrador bloquear futuros intentos según sea necesario.

Ì Evita el uso compartido de cuentas, garantizando registros de auditoría precisos

que puedan vincular comportamientos a un usuario específico.

Activar la MFA a menudo no cuesta más que su tiempo. Si ha estado ignorando los enormes banners de "Habilitar MFA" en sus
consolas, ya es hora de que adopte esa medida. Si su proveedor de seguridad no ofrece opciones de MFA, es hora de preguntar
por qué no.

Monográficos de Sophos. Noviembre de 2021 3

Ciberseguridad en retrospectiva

Lección aprendida n.º 2: Bloquear el Protocolo de

escritorio remoto (RDP) de cara al público
El Protocolo de escritorio remoto (también conocido como Terminal Services o servicio Escritorio remoto) permite a alguien
conectarse de forma remota a otro ordenador, ofreciendo la misma experiencia de usuario que si estuviera físicamente
presente.

Según nuestro Manual de estrategias del adversario activo 2021, el RDP integrado de Microsoft se utilizó para acceder a las
organizaciones desde Internet en el 32 % de los ataques, lo que lo convierte en el método número uno usado para el acceso
inicial.

A diferencia de otras herramientas de acceso remoto, el RDP no suele requerir nada más que un nombre de usuario y una
contraseña y, a menudo, el nombre de usuario queda expuesto (para que sea más fácil iniciar sesión la próxima vez). El RDP se
ha visto incluso afectado por vulnerabilidades a lo largo del tiempo que permiten el acceso sin ningún tipo de credenciales.

El uso indebido del RDP encaja en varias técnicas de MITRE ATT&CK, pero la principal sería la T1133 (Servicios remotos
externos). Otras técnicas de MITRE ATT&CK que afectan al RDP incluyen:

Ì T1563 – Secuestro de RDP

Ì T1021 – Propagación lateral mediante RDP

Ì T1572 – Tunelización sobre RDP

Ì T1573 – Comando y control sobre RDP

Ì T1078 – Uso de cuentas válidas con RDP

Ì T1049 – Detección de conexiones de red del sistema

Ì T1071 – Protocolo de capa de aplicación

Una vez que un atacante se ha conectado correctamente a una sesión de RDP, es lo más cerca posible de sentarse
literalmente frente al teclado y al ratón, y ni siquiera el centro de datos más seguro físicamente del mundo puede ayudar.

El RDP expuesto externamente tiene fácil solución: simplemente no lo exponga. No enrute el puerto TCP:3389 en su firewall
a nada. Y no crea que usar un puerto diferente ayuda. Lo veo venir… ¡doce mil RDP en el puerto 3388!

Aunque la cura parezca sencilla, Shodan.IO (un motor de búsqueda para el Internet de las cosas) muestra más de 3,3 millones
de puertos RDP 3389 expuestos a nivel mundial y fáciles de encontrar. ¿Por qué es tan popular? Permitir el acceso a RDP es
una forma rápida y sencilla de dejar que alguien se haga cargo de la administración remota del sistema, como por ejemplo para
que un proveedor de servicios administrados gestione el servidor de un cliente, o para que un dentista acceda al sistema de su
oficina desde casa.

Si se requiere acceso remoto al RDP o Terminal Services, solo deben ser accesibles a través de una conexión VPN segura (con
MFA) a la red corporativa o a través de una puerta de enlace de acceso remoto Zero Trust.

Monográficos de Sophos. Noviembre de 2021 4

Ciberseguridad en retrospectiva

Lección aprendida n.º 3: Desplegar seguridad

de endpoints en todas partes
Parte del mundo de TI opina que hay algunos sistemas que simplemente no necesitan seguridad de endpoints. Tal vez estén
aislados o no tengan acceso a Internet. Quizá sean sistemas de desarrollo o no tengan nada importante ejecutándose. Hay
incluso organizaciones a las que no les ha importado que sus suscripciones de seguridad de endpoints caducasen, ya que
piensan que no aportaban ningún valor.

Esta mentalidad proviene de una larga historia (al menos en el mundo de las tecnologías de la información) en que la seguridad
de endpoints ha sido diseñada para detener un fragmento de malware en caso de que de alguna manera se introduzca en
ese sistema. Por lo tanto, si el sistema estaba aislado, se restauraba fácilmente, no era importante o "siempre se tenía mucho
cuidado", no se necesitaba protección.

Algunos consideran que las estaciones de trabajo o los portátiles de los usuarios son menos importantes que los servidores,
de modo que solo protegen los servidores. En realidad, según el Manual de estrategias del adversario activo 2021 de Sophos, el
54 % de los ataques implicaron sistemas sin protección.

Tanto la seguridad de endpoints como la forma en que se producen los ataques han cambiado drásticamente en los
últimos tiempos. Los ciberdelincuentes han desarrollado sofisticadas tácticas para "vivir de la tierra" en las que utilizan
las herramientas de administración (por ejemplo, PowerShell), los entornos de scripting (por ejemplo, JavaScript), las
configuraciones del sistema (por ejemplo, tareas programadas y políticas de grupo), los servicios de red (por ejemplo, SMB y
recursos compartidos de administración y WMI) y las aplicaciones válidas (como TeamViewer, AnyDesk o ScreenConnect) de
la empresa en cuestión para evitar tener que utilizar malware real para lograr sus objetivos. Lo que se consideraban técnicas
de Estados nación y amenazas persistentes avanzadas (APT) ahora son utilizadas incluso por los ciberdelincuentes menos
sofisticados.

Sin embargo, el objetivo de los adversarios sigue siendo en gran medida el mismo: ganar dinero. Esto podría ser mediante el
despliegue de ransomware (a menudo después de la exfiltración de datos y la eliminación de copias de seguridad para hacer
el pago del rescate más convincente), la extracción de criptomonedas, la obtención de información de identificación personal
(PII) para vender o el espionaje industrial.

En respuesta, la seguridad de endpoints ha evolucionado y ahora detecta y previene comportamientos maliciosos al tiempo
que ofrece visibilidad detallada, contexto y herramientas de búsqueda de amenazas. Esta evolución de la protección se pierde
si no se despliega. Los sistemas desprotegidos son puntos ciegos.

Un sistema desprotegido con acceso a Internet puede ser una puerta de enlace secreta a sus activos críticos internos.

Monográficos de Sophos. Noviembre de 2021 5

Ciberseguridad en retrospectiva

Los sistemas sin acceso directo a Internet necesitan protección

Entonces, ¿cómo puede un ciberdelincuente atacar un sistema desprotegido que no tiene acceso directo a Internet?

Suelen lanzar ataques desde un sistema que está conectado como intermediario utilizando un troyano o stager a través de un
canal de comando y control en el puerto 443 (es difícil identificar el tráfico cifrado anómalo). No es importante si se trata de un
sistema de servidor o de usuario, ya que todos ejecutan un conjunto similar de funciones básicas. El adversario puede acceder
a los sistemas de la misma manera que lo haría un usuario.

Hagamos una lista de las técnicas disponibles para atacar un sistema a través de la LAN (enlaces a MITRE ATT&CK):

Ì T1047 - Instrumental de administración de Windows

Ì 1 - Protocolo de escritorio remoto

Ì 2 - Recursos compartidos administrativos

Ì 3 - Modelo de objetos de componentes distribuidos

Ì 4 - Secure Shell (SSH)

Ì 6 - Administración remota de Windows

Ì 5 – VNC, ScreenConnect, TeamViewer u otras herramientas de administración remota de terceros

Comandos simples para usar WMI para mover malware a otro dispositivo y ejecutarlo
Con tantas opciones disponibles para los ciberdelincuentes, necesitamos la visibilidad y la protección que ofrece el despliegue
de la protección de endpoints en todos los sistemas posibles, incluso en aquellos sin acceso directo a Internet. Si bien la
actividad en el sistema intermediario puede parecer benigna (por ejemplo, establecer una conexión RDP), los resultados en el
sistema desprotegido pueden ser catastróficos.

Eliminar los puntos ciegos mediante el despliegue de la protección de endpoints en todas partes significa que los atacantes
tienen menos lugares donde esconderse. Esto es importante porque si los adversarios pueden esconderse en los sistemas,
pueden pasar desapercibidos durante días, semanas o incluso meses, recopilando información silenciosamente sobre su
entorno, usuarios, redes, aplicaciones y datos. Encontrarán los sistemas al final de su vida útil, servidores Linux, hipervisores y
aplicaciones desatendidas y sin parches, y luego seguirán indagando hasta que estén listos para el ataque final.

La mayoría de las veces, su procedimiento operativo estándar es desactivar la seguridad de endpoints (cosa que pueden
hacer porque han obtenido privilegios elevados o incluso a nivel de sistema), exfiltrar y luego eliminar las copias de seguridad y
desplegar el ransomware como servicio que se les antoje.

Recientemente se recurrió a Sophos Rapid Response para hacer frente a un incidente relacionado con un sistema
desprotegido. Este caso es un excelente ejemplo de por qué, en retrospectiva, la protección de endpoints debería haberse
desplegado en todas partes.

Monográficos de Sophos. Noviembre de 2021 6

Ciberseguridad en retrospectiva

Lección aprendida n.º 4: Evitar que los delincuentes

obtengan (y usen) sus contraseñas
De acuerdo con el Manual de estrategias del adversario activo 2021 de Sophos, el uso de cuentas válidas (a través de un
nombre de usuario y contraseña) figuraba entre las cinco técnicas principales para obtener acceso inicial en filtraciones
(técnica T1078 de MITRE ATT&CK). Si bien las credenciales válidas tienen un gran protagonismo en la etapa de acceso inicial,
obviamente se pueden utilizar a lo largo de la cadena de ataque, incluida la persistencia, el aumento de privilegios y la evasión
de defensas.

Una cuestión compleja

El uso de cuentas válidas por parte de los adversarios es particularmente desafiante para los profesionales de la
ciberseguridad. Es sumamente difícil identificar el uso no autorizado de cuentas válidas entre todos los usos legítimos,
y las credenciales pueden obtenerse de muchas maneras diferentes. Una cuenta válida puede tener distintos niveles de
autorización dentro de una organización, desde usuario básico hasta privilegios de administrador de dominio.

Otra complicación es que se pueden configurar cuentas de prueba, cuentas de servicio para acceso no humano, API, cuentas
para que terceros accedan a sus sistemas (por ejemplo, un servicio de asistencia técnica subcontratado) o tener equipos con
credenciales incrustadas en el código.

Sabemos que los empleados utilizan las credenciales de su organización con servicios en línea no relacionados, y la mayoría
utiliza una dirección de correo electrónico en lugar del nombre de usuario, lo que aumenta la exposición a las amenazas. La
reutilización de contraseñas es algo habitual, por lo que una vez obtenida una, proporciona la llave para muchas otras puertas.
La pandemia de COVID-19 hizo que las organizaciones se inclinaran rápidamente por permitir el acceso remoto para todos,
exponiendo aún más la superficie de ataque al uso no autorizado de VPN y herramientas de acceso remoto.

¿Cómo obtienen nuestras credenciales los atacantes?

La lista de formas es larga, pero exploremos algunas. Si bien la finalidad de los adversarios es obtener el nivel más alto
de privilegios necesarios para lograr sus objetivos (por ejemplo, desactivar la seguridad, exfiltrar datos, eliminar copias
de seguridad y desplegar ransomware), no esperan obtener cuentas de administrador de dominio a través de un correo
electrónico de phishing, por lo que empiezan con objetivos más fáciles y van hacia arriba.

Los métodos externos, como el phishing (T1598), la fuerza bruta (T1110), la ingeniería social (que puede ser tan sencillo como
que alguien se haga pasar por un proveedor de TI de confianza y pida la creación de una cuenta – T1593.1) y la inyección de
código SQL (T1190), a veces se agrupan en la "compilación de muchas brechas" (COMB, por sus siglas en inglés) y pasan a
estar disponibles mediante pago o incluso gratis.

Los oportunistas tratan de hacer coincidir las credenciales obtenidas con sus métodos de acceso externo (RDP - véase
Lección aprendida n.º 2, VPN, FTP, Terminal Services, CPanel, herramientas de acceso remoto como TeamViewer, servicios
en la nube como O365 o consolas de seguridad) en una técnica conocida como relleno de credenciales para ver si alguna
funciona. Dado que no se puede esperar que los usuarios recuerden más que unas pocas contraseñas, es habitual que las
credenciales se reutilicen y que los nombres de usuario a menudo se deduzcan a partir de los formatos de las direcciones de
correo electrónico. Es por esta razón que la autenticación multifactor (MFA/2FA) es importante en todos los accesos externos
a internos (véase Lección aprendida n.º 1). Una vez que un conjunto de credenciales se empareja con éxito con un método de
acceso remoto, el ciberdelincuente puede convertirse en un usuario válido, oculto en su organización.

Monográficos de Sophos. Noviembre de 2021 7

Ciberseguridad en retrospectiva

Con un conjunto válido de credenciales y acceso, el atacante podría parecerse a cualquier otro empleado.

Antes de pasar a los métodos de aumento de privilegios, es importante señalar que existen otros métodos de acceso que
no requieren credenciales. Se han utilizado exploits (T1212) o contraseñas por defecto (T1078.1) en concentradores VPN,
Exchange, firewalls/enrutadores, servidores web e inyección de código SQL para afianzarse. Las descargas automáticas
también se pueden utilizar para establecer una puerta trasera (T1189). Una vez dentro, las cuentas de usuario básicas siguen
teniendo acceso suficiente para llevar a cabo diversas técnicas de reconocimiento y trazar una forma de pasar a un acceso con
más privilegios o crear cuentas para mantener el acceso.

Como atacante, debo intentar evitar el uso de cualquier herramienta que pueda alertar de mi presencia, por lo que podría
simplemente:

Ì Averiguar información sobre el sistema y el entorno próximo mediante

comandos simples como "whoami" e "ipconfig" (T1016)

Ì Buscar en el dispositivo en el que estoy (y en cualquier unidad asignada) archivos

con "contraseñas" en el nombre o en el contenido (T1552.1)

Ì Buscar en LDAP para ver qué otras cuentas pueden ser interesantes (T1087.2)

Ì Buscar en el registro de Windows (T1552.2) las credenciales almacenadas

Ì Buscar cookies web para credenciales almacenadas (T1539)

Ì Instalar una herramienta de comando y control basada en PowerShell para poder volver
a entrar aunque se cambie la contraseña o se parchee el exploit (T1059.1)

Ì Descubrir qué programas están instalados: las herramientas de acceso remoto y las de
administración como PSExec y PSKill pueden ser muy útiles si ya existen (T1592.2)

A continuación, y solo si es necesario, el atacante puede pasar a instalar o utilizar "programas potencialmente no deseados".
Las mencionadas PSExec y PSKill son herramientas de administración oficiales de Microsoft, pero tienen muchos otros usos.
IOBit, GMER, Process Hacker, AutoIT, Nircmd, escáneres de puertos y rastreadores de paquetes se han utilizado en ataques en
los que hemos trabajado. El objetivo de estas herramientas es paralizar cualquier solución de seguridad de endpoints para que
el atacante pueda pasar al siguiente paso en el que utiliza herramientas que probablemente levantarían sospechas.

Las herramientas más habituales para encontrar cuentas con privilegios más altos son Mimikatz, IcedID, PowerSploit y Cobalt
Strike. Trickbot también era un viejo favorito. Contienen funciones sofisticadas para capturar, interpretar, exportar y manipular
las mismas piezas de información que las redes utilizan para autenticar a los usuarios (por ejemplo, Kerberos). Aunque los

Monográficos de Sophos. Noviembre de 2021 8

Ciberseguridad en retrospectiva

datos están cifrados hasta cierto punto, esto ha demostrado ser solo un inconveniente para los atacantes expertos. El token
cifrado que representa la cuenta válida a menudo se puede pasar y aceptar a través de la red, lo que se conoce como técnicas
pass-the-hash (T1550.2) y pass-the-ticket (T1550.3). Se utilizan enormes tablas de contraseñas y el aspecto que tendrían
sus versiones cifradas para cotejar rápidamente una contraseña cifrada con la versión en texto sin cifrar (T1110.2). Las
herramientas de registro de teclas se pueden utilizar para capturar las pulsaciones del teclado en un dispositivo la próxima
vez que alguien inicie sesión. Se han detectado ciertas vulnerabilidades que permiten acceder a las credenciales, incluso sin
derechos de administración, como HiveNightmare/SeriousSam y PrintNightmare. Y por si todo esto fuera poco, hay kits de
herramientas fácilmente disponibles, como LaZagne, que lo hacen todo por uno mismo, incluso recuperar las contraseñas
almacenadas en navegadores, software de mensajería instantánea, bases de datos, juegos, correo electrónico y WiFi.

Uso de credenciales válidas

Las credenciales válidas, especialmente con derechos de administración, tienen algunos usos importantes. Pueden utilizarse
en toda la organización para cambiar las políticas de grupo (T1484.1), desactivar las herramientas de seguridad (T1562.1),
eliminar cuentas y crear otras nuevas. Los datos pueden exfiltrarse y luego venderse, utilizarse para extorsión o para
espionaje industrial. Se pueden usar para ataques de suplantación de identidad y de estafa por correo electrónico corporativo
comprometido con un alto nivel de autenticidad. Pero la mayoría de las veces, son solo una buena manera de distribuir y
ejecutar cualquier ransomware como servicio que sea popular en ese momento. Y si eso falla, hemos visto a los adversarios
simplemente usar la cuenta válida para activar BitLocker (o cambiar la clave).

Proteger su organización
El problema es grave, las consecuencias son reales, pero las soluciones son bien conocidas y se abordan a través de las
personas, los procesos y la tecnología. La formación de los empleados en ciberseguridad suele centrarse en las personas:

Ì Cómo detectar un correo electrónico de phishing

Ì No reutilizar contraseñas; las herramientas de gestión de contraseñas pueden ayudar

Ì No usar contraseñas de trabajo para cuentas personales

Ì Requisitos de complejidad de contraseña

Ì Evitar sitios web dudosos

En términos de procesos y tecnología

Ì La autenticación multifactor debe usarse en la medida de lo posible.

Ì La superficie de ataque externa debe ser lo más pequeña posible y mantenerse actualizada.

Ì Mantener el número de cuentas de alto nivel al mínimo. Digamos que ocho administradores de dominio son demasiados.

Ì Restringir el uso de los derechos de administración local.

Ì Higiene de las cuentas de servicio: eliminar las cuentas de prueba y de servicio no utilizadas.

Ì Controlar y supervisar el uso de potentes herramientas de administración y programas potencialmente no deseados.

Ì Supervisar los inicios de sesión inesperados (por ejemplo, la geografía y la hora).

Monográficos de Sophos. Noviembre de 2021 9

Ciberseguridad en retrospectiva

Lección aprendida n.º 5: Excluir las herramientas

de administración con bisturí, no con mazo
Como se señala en el Manual de estrategias del adversario activo 2021 de Sophos, los ciberdelincuentes están recurriendo
a herramientas que los administradores de TI y los profesionales de seguridad utilizan habitualmente, lo que dificulta la
identificación de acciones sospechosas. Muchas de estas herramientas son detectadas por los productos de seguridad como
"aplicaciones potencialmente no deseadas" (o PUA / PUP / RiskWare / RiskTool) y los equipos de TI las necesitan utilizar a
diario. Los responsables de la seguridad deben hacerse dos preguntas importantes: (1) ¿Es necesario que todos mis usuarios
puedan utilizar estas utilidades? (2) ¿Es necesario que estas utilidades puedan ejecutarse en todos los dispositivos?

¿Qué es una PUA?

Analicemos qué es una aplicación potencialmente no deseada (PUA) y cuál es la mejor manera de utilizarla de forma
segura. Las herramientas de administración que se incluyen en un sistema operativo, como PowerShell, ofrecen formas de
automatizar y gestionar los dispositivos en una red. También existen herramientas adicionales y de terceros que se utilizan
con frecuencia para ampliar la funcionalidad, como escaneado de puertos, captura de paquetes, scripting, monitorización,
herramientas de seguridad, compresión y archivado, cifrado, depuración, pruebas de penetración, administración de redes y
acceso remoto. La mayoría de estas aplicaciones se ejecutan con acceso a nivel de sistema o de raíz.

Estas aplicaciones son herramientas útiles cuando el propio equipo de TI las instala y utiliza internamente. Cuando las instala y
usa cualquier otra persona, se consideran PUA y, a menudo, las soluciones de seguridad de endpoints reconocidas las señalan
como tales. Para poder usar estas herramientas sin impedimentos, muchos administradores simplemente añaden las que
usan a una exclusión global o lista de permitidos en la configuración de su solución de seguridad de endpoints. Por desgracia,
este método de exclusión también permite la instalación y el uso de las herramientas por parte de personas no autorizadas, a
menudo sin ningún tipo de supervisión, alertas o notificaciones.

PUA problemáticas
Algunas de las PUA más comunes encontradas y utilizadas por los adversarios incluyen:

Ì PSExec: "…sustituto ligero de telnet que permite ejecutar procesos en otros sistemas, con total interactividad para las
aplicaciones de consola, sin tener que instalar manualmente el software cliente. Los usos más potentes de PSExec
incluyen el lanzamiento de comandos interactivos en sistemas remotos y herramientas de habilitación remota
como IpConfig que, de otro modo, no tienen la capacidad de mostrar información sobre sistemas remotos".

Ì PSKill: puede "terminar procesos en sistemas remotos. Ni siquiera es necesario instalar un cliente
en el ordenador de destino para utilizar PSKill para terminar un proceso remoto".

Ì Process Hacker: herramienta de monitorización de recursos que a menudo

se usa para finalizar el software de seguridad y de registro.

Ì Anydesk/TeamViewer/RDPWrap o cualquier herramienta diseñada para el acceso remoto,

especialmente a través de Internet, puede ser empleada por un ciberdelincuente.

Ì GMER: diseñada como una herramienta antirootkits; los atacantes se sirven de

sus capacidades para "desenlazar" el proceso de seguridad.

Ì 7Zip/GZip/WinRar: los adversarios utilizan las herramientas de compresión para

combinar, reducir y exfiltrar los datos, normalmente con fines de extorsión.

Ì Herramientas de Nirsoft: colección de herramientas para la recuperación de contraseñas, la desinstalación de

software y la posibilidad de ejecutar herramientas de línea de comandos sin mostrar una interfaz de usuario.

Ì IOBit: tiene potentes capacidades de desinstalación y a menudo se utiliza para eliminar software de seguridad.

Ì ProcDump: herramienta de depuración que puede volcar memoria en el disco, lo que

permite a un atacante exponer datos en memoria, como credenciales.

Monográficos de Sophos. Noviembre de 2021 10

Ciberseguridad en retrospectiva

Uso de PUA por parte de los ciberdelincuentes

La configuración de la política de seguridad para permitir PUA debe manejarse con cuidado. Excluir cualquier cosa expondrá
las herramientas a los administradores de TI y a los ciberdelincuentes por igual, y uno no tendrá visibilidad del uso de la
herramienta, ni de la intención ni del contexto.

Si una herramienta ha sido excluida, un atacante la puede igualmente intentar instalar y usar aunque no esté instalada en un
dispositivo concreto. El conjunto de técnicas de adversarios conocido como "vivir de la tierra" implica que los ciberdelincuentes
utilizan características y herramientas preexistentes para evitar la detección durante el mayor tiempo posible. Permiten a
los atacantes llevar a cabo la detección, el acceso a las credenciales, el aumento de privilegios, la evasión de defensas, la
persistencia, la propagación lateral, la recopilación y la exfiltración sin que se levante una sola sospecha.

Para cuando el adversario está listo para desplegar la última etapa del ataque, el impacto (por ejemplo, la carga del
ransomware), ya es demasiado tarde: las herramientas de seguridad ya han sido deshabilitadas (¿por PSKill o IOBit?), se ha
obtenido un alto nivel de acceso a las credenciales (¿por GMER o ProcDump?), los datos ya se han transferido a la Web Oscura
(¿en archivos 7Zip?) y el malware se ha preposicionado en sistemas clave (o peor aún, archivos compartidos a nivel de dominio
como SYSVOL o NETLOGON) listo para su ejecución (¿por PSExec?). Cuantas más PUA encuentren los atacantes, mayor será la
superficie de ataque con la que podrán trabajar.

Permitir PUA en su organización

El primer paso es revisar sus actuales exclusiones globales. ¿Necesitan estar ahí? ¿Hay alguna razón para la exclusión o
simplemente "siempre ha estado ahí"? Investigue por qué el producto de seguridad detectó la PUA en primer lugar: ¿podría
estar siendo utilizada de forma maliciosa? ¿Es necesario que las exclusiones se apliquen a TODOS los servidores y dispositivos
de los usuarios finales? ¿Sigue siendo necesaria la herramienta de administración o podemos utilizar una función integrada?
¿Necesita más de una herramienta para conseguir el mismo resultado?

Nuestra recomendación es permitir las PUA de forma muy controlada: aplicación específica, equipos específicos, tiempos
específicos y usuarios específicos. Esto puede lograrse mediante una política con la exclusión requerida, que se aplica y luego
se elimina según sea necesario. Cualquier uso de PUA no esperado que se detecte debe investigarse, ya que puede ser indicio
de que un ciberdelincuente tiene acceso a su entorno.

Monográficos de Sophos. Noviembre de 2021 11

Ciberseguridad en retrospectiva

Lección aprendida n.º 6: Mantenerse un paso por delante

El mundo de la ciberseguridad es increíblemente dinámico y se desarrolla como una gigantesca partida de ajedrez en todo el
mundo, con movimientos, contraataques y una serie de jugadores en constante cambio. Si tiene algún tipo de tecnología de
la información en su organización, no tiene más remedio que jugar también. Pero el juego no está a su favor. Sus oponentes
operan a todas las horas del día, todos los días del año. Pueden estar en cualquier parte del mundo, ocultar sus movimientos, y
siempre están buscando debilidades en sus defensas; e incluso utilizarán sus propias piezas contra usted.

Lo que esto significa en el mundo real es que sus capacidades de ciberdefensa también deben funcionar a todas las horas
del día. Debe encontrar sus propias debilidades y subsanarlas antes de que un adversario las encuentre. También hay que ser
consciente de lo que podría hacer el adversario si encuentra un punto débil.

Aplicación de parches
Si bien la aplicación de parches en el sistema operativo y en las aplicaciones es una preocupación importante y constante, la
aplicación de parches en los sistemas de cara al público es fundamental. Según el Manual de estrategias del adversario activo
2021 de Sophos, la explotación de aplicaciones de cara al público es una de las cinco técnicas principales utilizadas para
obtener acceso inicial durante una brecha de seguridad. Entre los ejemplos recientes de mayor repercusión se encuentran
los exploits de Microsoft Exchange ProxyLogon (también conocido como Hafnium) y ProxyShell, y una vulnerabilidad de
Confluence que fue explotada una semana después de su divulgación durante el puente del Día del Trabajo en EE. UU. Este
año también se han explotado las soluciones de VPN de varios de los principales jugadores de esta partida. WordPress, la
aplicación detrás de muchos sitios web, es una víctima constante de explotación.

La única solución real es contar con un inventario sólido de los sistemas de cara al público, supervisar esos sistemas en busca
de divulgaciones de vulnerabilidades y parchearlos tan pronto como sea posible. No espere a tener noticias de un exploit o
a que un proveedor cree una notificación de vulnerabilidad y exposición común (CVE). Microsoft proporcionó parches para
Exchange en abril y mayo de 2021 contra ProxyShell, pero lamentablemente no reveló las vulnerabilidades hasta el 13 de julio,
lo que llevó a muchos a creer que los parches no eran importantes.

El panorama de amenazas
Mantenerse al tanto de las últimas tácticas, técnicas y procedimientos de los ciberdelincuentes es una parte importante de su
defensa. Conozca a su enemigo. Si oye hablar de la filtración de las credenciales de 500 000 usuarios de VPN en la Web Oscura
y utiliza la misma tecnología de VPN, investigue. Si lee que Exchange está siendo explotado para desplegar ransomware y tiene
un servidor Exchange, investigue más a fondo.

A continuación le sugerimos algunos recursos:

Ì https://www.bleepingcomputer.com

Ì https://us-cert.cisa.gov

Ì https://www.ncsc.gov.uk/section/keep-up-to-date/reports-advisories

Ì https://www.cyber.gov.au

Ì https://news.sophos.com/es-es

Ì https://nakedsecurity.sophos.com

TI en la sombra
No es raro que la parte "empresarial" de una organización se desmarque de TI y aplique una solución por su cuenta, lo que se
conoce como "TI en la sombra". Puede que quieran evitar el escrutinio o agilizar un proyecto, o puede ser que el departamento
de TI haya dicho "no", por lo que buscan otra manera. Aunque la solución de TI en la sombra no haya sido sancionada, esto no
significa que pueda ser ignorada. Asegúrese de que está totalmente aislada o bien vuelva a tenerla controlada. Trabajar en
estrecha colaboración con la empresa para encontrar soluciones efectivas ayuda a evitar la TI en la sombra, pero también hay
que monitorizar los nuevos sistemas y aplicaciones que podrían dejarle expuesto.

Monográficos de Sophos. Noviembre de 2021 12

Ciberseguridad en retrospectiva

Conocimiento constante de la situación

Puede que hoy se sienta muy cómodo con su postura de seguridad. Pero solo se necesita una cuenta comprometida, un
cambio inocente en el firewall o un exploit de día cero para permitir la entrada de un ciberdelincuente. Y aunque el adversario
pueda encontrar este acceso durante el horario laboral de la organización, esperará y lo utilizará cuando baje la guardia. Un
reciente aviso de seguridad del FBI y la CISA advirtió a las organizaciones que los riesgos de ataque son mayores en los días
festivos y fines de semana, citando como ejemplos las filtraciones de alto perfil de Colonial Pipeline, JBS y Kaseya. Como se ha
señalado anteriormente, Confluence se explotó al comienzo del puente con motivo del Día del Trabajo en EE. UU.

Recomendamos a las organizaciones que busquen un servicio administrado capaz de gestionar una brecha a las 2 de la
madrugada del sábado de un fin de semana largo. Uno que tenga conocimiento de la situación global y pueda traducirlo en
mejorar la postura de riesgo de su organización. Asegúrese de seleccionar un proveedor que pueda tomar medidas, no solo
enviarle una notificación, a menos que quiera encargarse de la defensa manual (y tenga la experiencia para hacerlo) mientras
intenta disfrutar de un tiempo fuera de la oficina.

Monográficos de Sophos. Noviembre de 2021 13

Ciberseguridad en retrospectiva

Lección aprendida n.º 7: Prepararse para lo peor

Hasta ahora nos hemos centrado en el aspecto preventivo de aprender de otras víctimas. Esta sección pretende ayudarle a
saber qué hacer si es la desafortunada víctima de una brecha de seguridad. Nos centraremos en cómo minimizar los daños
y maximizar el aprendizaje de sus propias experiencias. Aunque vamos a centrarnos en el ransomware, muchas de las
recomendaciones se aplican a otros tipos de brechas, como las plagas de criptomineros y el espionaje industrial.

Tener un plan
Un plan de respuesta a incidentes (IR) es una buena manera de trazar las acciones que debe tomar en caso de un ataque. ¿Es
grave el incidente? ¿Dónde están los sistemas críticos y cómo aislarlos? ¿Cómo comunicarse y con quién? ¿A quién dirigirse
y qué medidas tomar? ¿Qué pasa con las copias de seguridad? Mantenga su plan de IR simple y de alto nivel para que sea fácil
de seguir en una situación de infracción de mucha presión, y confíe en que el equipo piense rápido. El Manual del administrador
de incidentes de SANS tiene una excelente sección sobre preparación, al igual que la propia Guía de respuesta a incidentes de
Sophos.

Obtener ayuda primero

Antes incluso de restablecer la imagen inicial de los equipos o negociar un rescate, asuma el problema y busque ayuda.
La respuesta a incidentes (IR) requiere un conjunto de habilidades especializadas y la mayoría de las organizaciones no
mantienen a los expertos en respuesta a incidentes para un evento que esperan que nunca ocurra.

Planifique con antelación y tenga a mano los datos de contacto de un par de empresas de IR. Sugerimos un par porque el
sector de la IR puede alcanzar su capacidad muy rápidamente si hay ataques frecuentes o a gran escala. Si el ataque es contra
servidores y endpoints, como un incidente de ransomware, sugerimos que primero se ponga en contacto con su proveedor de
seguridad de endpoints si presta un servicio de IR. Es probable que tengan telemetría de su entorno y acceso a herramientas
preinstaladas como EDR/XDR, lo que les permite adoptar medidas de remediación rápidamente. Quizá piense el proveedor
le ha defraudado pero, en realidad, la gran mayoría de las filtraciones se deben a fallos de personas o de procesos y no a la
tecnología.

Otros puntos que puede tener en cuenta:

Ì Recurra a las autoridades locales: es probable que se haya cometido un delito y que tengan recursos que pueden ayudar.

Ì Si tiene un ciberseguro, póngase en contacto con su aseguradora y póngale al corriente del incidente.

Ì Si trabaja con un proveedor de tecnología o un integrador de sistemas, es posible que pueda proporcionarle
asistencia sobre el terreno con la recuperación, como restaurar las copias de seguridad.

Aislar y contener
No hay recomendaciones estrictas en este sentido, aparte de aislar y contener lo mejor que se pueda. Esto puede incluir
apagar la alimentación, desconectar Internet y desenchufar los cables de red, utilizar aislamiento basado en software, aplicar
reglas de firewall de denegación de acceso y apagar los sistemas críticos. Si todavía tiene un controlador de dominio funcional,
trate de mantenerlo así apagándolo o desconectándolo de la red. Si tiene copias de seguridad, asegúrese de que están aisladas
y fuera de la red. Debe cambiar las contraseñas que sospeche que pueden estar comprometidas y restablecer las cuentas.

Los servicios de respuesta a incidentes se prestan en gran medida a través de Internet, así que solicite su consejo para
volver a conectar los sistemas. Para cuando se observan indicios de ransomware, el ataque suele estar en sus fases finales;
sin embargo, es importante expulsar a los ciberdelincuentes antes de que comience el trabajo de restauración, para que no
vuelvan a atacar.

No pagar el rescate
Aunque puede parecer la salida fácil, pagar el rescate envalentona aún más a los delincuentes. Atrás quedaron los días en que
el rescate era de 500 USD para desbloquear un equipo: el Informe del estado del ransomware 2021 de Sophos revela que el
rescate medio pagado por las organizaciones medianas el año pasado fue de 170 404 USD. Los ciberdelincuentes buscan
sus datos críticos, a menudo los exfiltran a la Web Oscura para venderlos, eliminan las copias de seguridad y luego cifran los
datos. Lo que no dicen cuando piden el rescate es que es muy poco probable que recupere todos sus datos; de hecho, nuestra
encuesta reveló que solo el 65 % de los datos cifrados se restauraron después de pagar el rescate, de modo que más de un
tercio quedaron inaccesibles.
Monográficos de Sophos. Noviembre de 2021 14
Ciberseguridad en retrospectiva

El ransomware, como cualquier software, tiene errores y vulnerabilidades, y los operadores humanos que están detrás también
pueden tener días malos. Aunque ocasionalmente esto puede jugar a su favor, en general, complica aún más el desafío de
descifrar los datos. Es más, las bandas de ransomware pueden desaparecer de la noche a la mañana, solo para reaparecer con
una nueva marca si las cosas les salen mal, dejándole sin acceso a una clave de descifrado.

Tenga en cuenta que la legalidad del pago de rescates varía en todo el mundo. Sería conveniente que se mantuviera al día
sobre las limitaciones o restricciones del país o países en que opera su organización.

Conservar las pruebas

Con demasiada frecuencia, vemos que las víctimas de un ataque se apresuran a restaurar los servicios lo antes posible y, en el
proceso, pierden gran parte de la información que ayudaría a determinar la causa raíz y a comprender el alcance de la filtración.
Un gran ejemplo es una nota de rescate. Aunque no tenga intención de pagar ni de ponerse en contacto con el adversario,
la nota en sí es interesante desde el punto de vista forense. La nota puede indicar a un equipo de IR a quién se enfrenta y
las tácticas habituales utilizadas por ese grupo. Incluso podría revelar una cepa completamente nueva de ransomware y las
tácticas, técnicas y procedimientos (TTP) utilizados por el grupo adversario.

Hace poco vimos la nota de Lockfile por primera vez y observamos cómo imitaba a Lockbit 2.0 pero usaba una estrategia de
despliegue mucho más agresiva. Esto significaba que podíamos aplicar los valiosos aprendizajes de nuestras experiencias
con Lockbit 2.0 a cada uno de los ataques posteriores de Lockfile, especialmente en cuanto a la identificación temprana de
indicadores de infracción (IoB). Conserve la nota de rescate: suelen ser simples documentos de texto o HTML que pueden
guardarse fácilmente en otro lugar.

Otro elemento interesante que debe conservarse para el análisis suele ser una muestra del propio ransomware o malware. El
estándar del sector es añadirlos a un archivo comprimido con la contraseña "virus" o "infectado" y guardarlos en algún lugar
seguro. El archivo .zip protegido con contraseña se puede pasar con seguridad a los analistas si es necesario. El malware
puede revertirse para descubrir su modus operandi, lo que ayuda a los expertos en respuesta e investigadores a acotar dónde
buscar daños.

Si es posible, conserve también las imágenes del sistema y de la máquina virtual. Para obtener más puntos, todas las pruebas
forenses deben almacenarse utilizando cifrado y el hash SHA256 registrado en el momento de la recopilación, en caso de
que deban utilizarse en los tribunales y sea necesario demostrar que no han sido manipuladas. Aunque es poco frecuente,
esto puede ser necesario si las reclamaciones del seguro acaban en los tribunales o si tiene que demostrar a un organismo
gubernamental que no ha infringido las leyes de divulgación.

Atribución y represalias
En muchos casos, hay varios grupos detrás de un ataque de ransomware. El grupo uno podría obtener el acceso inicial. Vende
el acceso al grupo dos. El grupo dos utiliza ransomware como servicio del grupo tres para llevar a cabo el ataque. Los diferentes
grupos, y sus miembros, suelen estar repartidos por muchos países. Atribuir la filtración a un solo grupo es difícil y no ayudará
mucho durante el caos posterior a la misma. Por lo general, la información de la nota de rescate y los puntos en común de las
tácticas, técnicas y procedimientos (TTP) permitirán a un equipo experimentado de respuesta a incidentes saber rápidamente
a qué y a quién se enfrentan.

Se desaconseja encarecidamente intentar devolver el golpe, lo que se conoce como "hack back". De entrada es probablemente
ilegal y puede empeorar la situación.

El papel de los ciberseguros

Si sufre un ciberataque cubierto por un ciberseguro, un ajustador de reclamaciones por ciberincidentes de la compañía
de seguros dirigirá primero la contratación de un asesor jurídico externo para organizar los recursos internos y externos y
coordinar las actividades hasta la resolución del incidente. Para un ataque de ransomware, estas actividades de servicio
generalmente incluyen:

Ì Establecer las funciones y responsabilidades, identificar la escala de impacto, establecer las preferencias de comunicación.

Ì Investigar y analizar la amenaza activa, detener los daños, identificar los indicadores de peligro (IoC).

Ì Si es necesario, designar a un especialista para que le asesore sobre cómo gestionar y negociar una demanda de rescate.

Ì Si es necesario, designar a un especialista para que le asesore sobre la naturaleza del acceso, la exfiltración y la recuperación

Monográficos de Sophos. Noviembre de 2021 15

Ciberseguridad en retrospectiva

de datos; identificar la forma más económica de restaurar los datos (pago de rescate, descifrado, copias de seguridad, etc.).

Ì Implementar acciones preventivas, eliminar el acceso de los atacantes, establecer la cronología del incidente.

Ì Elaborar un informe final que indique el estado del entorno, el análisis de la causa raíz, la naturaleza
del ataque y las tácticas, técnicas y procedimientos de los ciberdelincuentes identificados.

Si bien la mayoría de las aseguradoras tienen un "panel de proveedores" de productos/servicios para cada una de las
actividades mencionadas, cuando se contrata una póliza vale la pena analizar por adelantado qué actividades y los
correspondientes proveedores que estarán cubiertos si se sufre un ciberataque importante. La mayoría de las pólizas de
ciberseguridad admiten el uso de proveedores preexistentes, pero es mejor asegurarse de la compatibilidad desde un principio.
El cambio de agentes de protección durante un incidente crea tanto trabajo adicional como riesgos para la seguridad; a
menudo, la solución existente evita que el ataque se intensifique y no debe ser eliminada.

Comunicación
La comunicación se ve obstaculizada por una filtración. Los sistemas de correo electrónico pueden estar sin conexión, las
copias electrónicas de su póliza y plan de IR cifrados, y el ciberdelincuente podría estar monitorizando sus comunicaciones.
Prepárese para ello y disponga de un método de comunicación alternativo, como una aplicación de mensajería instantánea,
para poder comunicarse por un canal separado con su equipo y todos los demás implicados. Los datos del seguro, el plan de IR
y los contactos de la empresa de IR deben conservarse en formato físico.

Practicar
Los ejercicios de simulación son una excelente manera de practicar en caso de filtración de datos o ataque de ransomware.
Para añadir realismo, llévelo a cabo a las 2 de la madrugada de un fin de semana largo y evite el uso del sistema de correo
electrónico corporativo.

Más recursos
Los siguientes artículos explican qué puede esperarse cuando se sufre el ataque de algunas de las familias más comunes de
ransomware. Son una gran herramienta de aprendizaje, sin tener que experimentar de primera mano el dolor.

Ì Qué esperar cuando sufre un ataque del ransomware REvil

Ì Qué esperar cuando sufre un ataque del ransomware Avaddon

Ì Qué esperar cuando sufre un ataque del ransomware Conti

Monográficos de Sophos. Noviembre de 2021 16

Ciberseguridad en retrospectiva

Cómo puede ayudar Sophos

Aunque muchas de las recomendaciones de este informe no requieren que las organizaciones adquieran ninguna herramienta,
invertir en ciberseguridad next-gen es una forma segura de protegerse incluso de las amenazas más avanzadas.

Servicio 24/7/365 de búsqueda y respuesta a amenazas: Sophos Managed Threat Response (MTR)
Los ciberataques más avanzados están perpetrados por humanos y requieren una respuesta realizada por humanos. De ahí
Sophos Managed Threat Response (MTR), un servicio 24/7 que añade la experiencia humana a su estrategia de seguridad
por capas. Un equipo de élite de cazadores de amenazas busca y valida de forma proactiva las amenazas potenciales en
su nombre. Si se les autoriza, adoptan medidas para interrumpir, contener y neutralizar amenazas, además de brindar
asesoramiento práctico para abordar la causa raíz de los incidentes recurrentes.
Más información sobre Sophos MTR

Respuesta ultrarrápida a incidentes: Sophos Rapid Response

Cuando ocurre lo peor, el servicio Sophos Rapid Response, prestado por un equipo de expertos en respuesta a incidentes,
ofrece ayuda inmediata a la hora de identificar y neutralizar amenazas activas contra una organización. Ya sea una infección,
un ataque o un acceso no autorizado que intenta burlar sus controles de seguridad, lo hemos visto y detenido todo.
Más información sobre Sophos Rapid Response

Optimice la prevención y minimice el tiempo de detección y respuesta: Sophos Endpoint

La protección de endpoints de Sophos Intercept X utiliza múltiples capas de defensa para detener los ciberataques al instante.
La tecnología antiexploits detiene las tácticas, técnicas y procedimientos utilizados por los atacantes, el Deep Learning
bloquea las amenazas desconocidas antes de que puedan ejecutarse, y CryptoGuard previene el cifrado malicioso de archivos
y los revierte a su estado seguro.

Las funciones de detección y respuesta ampliadas (XDR) de Sophos permiten a las organizaciones detectar e investigar en
endpoints, servidores, firewalls y otros datos. Le proporciona la información y los datos contextuales que necesita para actuar
con mayor rapidez y eficacia.
Más información sobre Sophos Endpoint | Más información sobre Sophos XDR

Protección y rendimiento potentes: Sophos Firewall

Sophos Firewall cuenta con numerosas tecnologías para ayudarle a proteger su organización de ciberataques en constante
evolución. Sophos Firewall incluye uno de los motores IPS más efectivos y con un mejor rendimiento del mercado y constituye
una solución simple y elegante para bloquear sus servidores RDP.

Sophos Firewall ofrece herramientas de segmentación sencillas y flexibles como zonas y redes VLAN para proteger su LAN
y disminuir el riesgo de propagación lateral, lo que reduce el área de la superficie de ataque y minimiza el riesgo y el posible
alcance de la propagación.
Más información sobre Sophos Firewall

Ventas en España Ventas en América Latina

Teléfono: (+34) 913 756 756 Correo electrónico: Latamsales@sophos.com
Correo electrónico: comercialES@sophos.com
© Copyright 2021. Sophos Ltd. Todos los derechos reservados.
Constituida en Inglaterra y Gales N.º 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido
Sophos es la marca registrada de Sophos Ltd. Todos los demás productos y empresas mencionados son marcas
comerciales o registradas de sus respectivos propietarios.

21-11-26 EN (MP)