KIT DE EMERGENCIA

PARA RANSOMWARE
Si está luchando contra un ataque de ransomware en este
momento, vaya directamente a la sección del Plan de 10 pasos
para la recuperación de ransomware en la página 8 y llámenos
al 1-800-520-2796, ext. 3.

Página 1
El ransomware es un peligro evidente y presente para organizaciones de todos los
tamaños. Este kit de emergencia le indica lo que necesita saber para entender la
amenaza, cómo reforzar su negocio contra ella y qué hacer si sus organizaciones
son atacadas.

Contenido

1 Entender la amenaza

2 Anatomía de un ataque de ransomware

3 ¿Se debe pagar el rescate (”ransom”)?

Lista de comprobación para la protección

4 proactiva contra el ransomware

Plan de 10 pasos para la recuperación

5 de ransomware

Página 2
Entender la amenaza

• El ransomware ataca a organizaciones enteras

• El objetivo de los ataques es paralizar el funcionamiento
de las organizaciones
• Las organizaciones de todos los tamaños están en riesgo

El ransomware es un tipo de software malicioso que encripta

los archivos de la computadora, para volverlos inutilizables,
y exige el pago de un rescate en criptomoneda para
desencriptarlos. La única manera de desencriptar los 287 días
archivos bloqueados por el ransomware es mediante una Tiempo promedio que tarda

clave de desencriptado que está en poder de los atacantes. una empresa en recuperarse
por completo1
Cada vez es más común que las bandas de ransomware
roben también los datos de una organización para tener
más ventaja durante las negociaciones del rescate.

El ransomware moderno se utiliza en los llamados ataques

a “lo grande” que tienen como objetivo paralizar toda la red
USD
312 mil
informática de una organización. Todo tipo de organizaciones El pago promedio de
han sido atacadas, incluyendo organizaciones de todos los un rescate en 20202

tamaños, hospitales, cuerpos de seguridad, gobiernos,

organizaciones benéficas e infraestructuras críticas.

Los ataques modernos de ransomware operan a una escala

11 s
diferente a la de los virus y malware de antaño. A la hora de
planificar cómo prepararse y responder a un ataque de
ransomware, las organizaciones deben pensar en el impacto Los expertos predicen que
potencial sobre su negocio de la misma manera que piensan ahora se produce un ataque de
ransomware cada 11 segundos3
en el impacto de una catástrofe natural.

1
Grupo de trabajo sobre ransomware, Cómo combatir el ransomware, 2021, https://securityandtechnology.org/ransomwaretaskforce/report/
2
Grupo de trabajo sobre ransomware, Cómo combatir el ransomware, 2021, https://securityandtechnology.org/ransomwaretaskforce/report/
3
Revista Cybercrime, Se prevé que el costo de los daños causados por el ransomware en el mundo alcance los 20,000 millones de dólares en
2021, 2019, https://cybersecurityven-tures.com/global-ransomware-damage-costs-predicted-to-reach-20-billion-usd-by-2021/

Página 3
 Anatomía de un ataque de ransomware
El ransomware suele implementarse como el último acto de una sofisticada infiltración
en su red por parte de hackers informáticos. Cada ataque de ransomware es diferente,
pero suelen seguir un patrón predecible, que puede desglosarse en cinco fases.

Intrusión
Los atacantes obtienen acceso no autorizado Dado que la mayoría de las intrusiones se deben
a una de sus computadoras, a menudo a través de al phishing por correo electrónico, a los ataques
phishing (suplantación de identidad), buscando de fuerza bruta contra el protocolo de escritorio
o adivinando una contraseña remota, o explotando
remoto (RDP) o a las deficiencias de seguridad,
una vulnerabilidad de software. Esto puede ocurrir
la prevención adecuada debe ser una prioridad.
con meses de anticipación.

Infiltración
Los programas maliciosos se desplazan No se pueden evitar todas las intrusiones, así que
lateralmente por las redes. estructure y supervise su red como si estuviera
esperando que se produzca una intrusión.

Ataque
Los atacantes ejecutan el ransomware en su red,
a menudo por la noche o el fin de semana. Las
operaciones críticas de la empresa se paralizan.
Las notas de rescate explican cómo negociar
con los atacantes.
La prevención de los ataques requiere múltiples
capas de defensa de seguridad, detección de
anomalías para las amenazas desconocidas de
“día cero” y tecnología de prevención
de ransomware.

Respuesta
Los atacantes exigen un rescate, que puede ser de
millones de dólares. Establecerán plazos y pueden
amenazar con filtrar información confidencial.
Las copias de seguridad son un objetivo principal
para los atacantes, así que mantenga varias copias
de sus datos y asegúrese de que al menos una de
ellas no esté conectada a la red.

Recuperación
Tanto si el ataque tiene éxito como si no, es
posible que los atacantes sigan en su red o que
siga habiendo malware o artefactos persistentes
que puedan causar reinfecciones. Su voluntad de
pagar un rescate quedará registrada.
Después de restablecer las operaciones críticas,
debe descubrir lo que ha ocurrido, expulsar a los
atacantes de su red, eliminar todos los rastros
de su intrusión y fortalecer su red contra un
nuevo ataque.

Página 4
¿Se debe pagar el rescate (”ransom”)?
La mayoría de los expertos y organismos gubernamentales recomiendan que no se pague
un rescate. Los pagos de rescates incentivan nuevos ataques y financian el desarrollo
continuo del ransomware, lo que contribuye a la inseguridad de todos.

Si está pensando en pagar el rescate, debe considerar cuidadosamente lo siguiente:

1. El desencriptado suele fallar.

Las herramientas de desencriptado de las bandas de ransomware son de baja
calidad y a menudo conducen a datos parcialmente corruptos. En mayo de 2021,
Colonial Pipeline pagó un rescate de 4.4 millones de dólares. La aplicación de
desencriptado que recibió era muy lenta y finalmente reconstruyó sus sistemas
a partir de copias de seguridad.1
2. Está confiando en que los delincuentes cumplan con su palabra.
Los datos robados por los que se pide un rescate no se eliminan de forma confiable
ni se protegen adecuadamente. En múltiples casos ya se han filtrado antes de que
se negocie un rescate, o incluso después de que se haya pagado el rescate.2
3. El costo de la recuperación puede hacer que el rescate parezca pequeño.
Aunque pague, necesitará una exhaustiva operación de limpieza y una protección
mejorada para evitar futuros ataques. A pesar de haber recibido una clave de
desencriptado de forma gratuita, el HSE de Irlanda estima que el costo de su
recuperación y protección adicional será de 600 millones de dólares.3
4. Pagar el rescate ocasiona que se repitan los ataques.
Los atacantes se darán cuenta de su disposición para pagar y de que no estaba
preparado para resistir un ataque. Hasta el 80 % de los que pagan rescates sufren
un segundo ataque.4

FBI
El FBI no está a favor del pago de un rescate ante un
ataque de ransomware. Pagar un rescate no le garantiza
a usted o a su empresa que recuperará su información.

1
Forbes, Otra razón por la que las víctimas de ransomware no deberían pagar el rescate, 2021,
https://www.forbes.com/sites/leemathews/2021/05/29/heres-yet-another-reason-ransomware-victims-shouldnt-pay-the-ransom/
2
Coveware, Informe del tercer trimestre de 2020 sobre el mercado de ransomware, 2020,
https://www.coveware.com/blog/q3-2020-ransomware-marketplace-report
3
BankInfoSecurity.com, Estimación del costo de recuperación de un ataque de ransomware en Irlanda: 600 millones de dólares, 2021
https://www.bankinfosecurity.com/irish-ransomware-attack-recovery-cost-estimate-600-million-a-16931
4
Cybereason, Ransomware: El verdadero costo para las empresas, 2021
https://www.cybereason.com/ebook-ransomware-the-true-cost-to-business

Página 5
 Restablecimiento
Lista de comprobación para la protección

Recuperación
Infiltración
Intrusión
proactiva contra el ransomware

Ataque
Crear un inventario de activos, incluyendo hardware, software y datos

Auditar la red en busca de computadoras y servicios desconocidos

Desactivar los sistemas, servicios y puertos de Internet que no son necesarios

Realizar escaneos regulares de vulnerabilidad

Parchar los sistemas regularmente, dando prioridad a los más vulnerables y críticos
Garantizar que los sistemas están correctamente configurados y que las funciones de seguridad
están activadas
Reforzar la seguridad del acceso remoto con autenticación de factores múltiples (MFA), límites de tasa
de las contraseñas y bloqueos de contraseñas
Implementar software de seguridad para puntos finales en todos los puntos finales y servidores

Proporcionar al personal capacitación en materia de ciberseguridad

Implementar un proceso para informar y responder a actividades sospechosas

Documentar la estructura de la red y los flujos de datos

Utilizar la segmentación de la red para subdividir las redes informáticas

Utilizar el acceso de mínimo privilegio para todos los sistemas y servicios

Utilizar la lista de permisos para garantizar que solo se pueda ejecutar el software autorizado

Restringir el uso de herramientas legítimas utilizadas habitualmente por los atacantes4

Reforzar la protección de los controladores de dominio de acuerdo con las mejores prácticas
más recientes5
Supervisar la red y sus puntos finales mediante sistemas de detección de intrusiones (IDS), detección
y respuesta de punto final (EDR) y sistemas de gestión de eventos e información de seguridad (SIEM)
Realizar copias de seguridad continuas y completas y asegurarse de que por lo menos una de ellas
no esté conectada a la red
Disponer de un proceso de restablecimiento de computadoras a partir de imágenes limpias del sistema
Practicar el restablecimiento de sistemas a partir de copias de seguridad, para asegurarse
de que funcionan
Crear un plan de respuesta a incidentes que se ajuste a la normativa6

Crear una lista de activos críticos para saber qué se debe restaurar primero

Página 6
Lista de comprobación de protección
de puntos finales
Las soluciones de seguridad para puntos finales son una parte clave de una estrategia de
defensa en profundidad, ya que desempeñan un papel en la detención de las intrusiones y la
infiltración, así como los propios ataques de ransomware. El software de protección de puntos
finales, o las funciones de protección de puntos finales incluidas en una solución de detección
y respuesta de puntos finales (EDR), deben ofrecer los siguientes componentes para garantizar
que la solución defienda contra el ransomware:
Protección contra programas espía (spyware), correos electrónicos y sitios
web maliciosos
Detección en tiempo real de malware de día cero, sin archivos y ofuscado
Fortalecimiento de aplicaciones para prevenir exploits
Mitigación de exploits y análisis de la carga maliciosa para bloquear el código
malicioso activado de forma remota
Análisis de carga maliciosa que identifica familias de malware conocido
y relevante con presiones
Mitigación de ransomware para detectar y bloquear la ejecución del ransomware
Una función de reversión que puede restaurar los puntos finales a un estado
bueno conocido

Recursos de utilidad
La Agencia de ciberseguridad e infraestructura (CISA) mantiene una guía detallada
sobre el ransomware (https://www.cisa.gov/publication/ransomware-guide) y una
herramienta para evaluar si se está preparado ante el ransomware
(https://github.com/cisagov/cset/releases/tag/v10.3.0.0).

El Instituto nacional de normas y tecnología (NIST) ha publicado un amplio marco de

ciberseguridad (https://www.nist.gov/cyberframework) para ayudar a las organizaciones
a gestionar y reducir mejor el riesgo de ciberseguridad.

La guía de ransomware de la CISA (https://www.cisa.gov/publication/ransomware-guide)

contiene una lista de comprobación muy útil sobre la respuesta al ransomware.

4
A esto se le conoce como “living off the land”. El proyecto “Living Off The Land Binaries and Scripts” (LOLBAS) mantiene una lista de software
legítimo utilizado por los atacantes en https://lolbas-project.github.io/
5
Los controladores de dominio son un objetivo principal para los atacantes. Microsoft mantiene una guía para asegurar los controladores
de dominio contra los ataques en
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/securing-domain-controllers-against-attack
6
Puede encontrar un modelo de plan de respuesta en
https://github.com/counteractive/incident-response-plan-tem-plate/blob/master/playbooks/playbook-ransomware.md

Página 7
Plan de 10 pasos para la recuperación
de ransomware
Si está lidiando con un incidente de ransomware es posible que esté trabajando bajo una presión extrema.
El ransomware puede seguir cifrando archivos, los atacantes pueden haber dado un ultimátum y su
organización estará desesperada por volver a funcionar. Pida ayuda, priorice sus acciones, comuníquese
con claridad y proteja a los demás.

Le recomendamos que realice las siguientes acciones en este orden:

1. Contenga el ataque. Aísle los sistemas o redes infectados para limitar el impacto del ataque.
Su prioridad debe ser contener el ataque, y al mismo tiempo, en caso de ser posible, intente
preservar las pruebas dejando los sistemas afectados encendidos.
2. Determine el alcance del ataque. Comprenda qué sistemas y qué tipos de datos han sido
afectados, dé prioridad a la recuperación de los sistemas críticos.
3. Comuníquese con las partes interesadas. Las partes interesadas pueden ser la alta dirección,
las relaciones públicas, su equipo jurídico, los proveedores de seguros, los vendedores
y los cuerpos de seguridad.
4. Busque ayuda. Considere la posibilidad de buscar la ayuda de expertos de los cuerpos de segur
dad locales y nacionales, proveedores u otros terceros familiarizados con la recuperación
de ransomware.
5. Preserve las pruebas. Con la ayuda de los cuerpos de seguridad y de terceros, intente preservar
las pruebas del ataque.
6. Identifique el ransomware utilizado. Esto le ayudará a descubrir si hay un desencriptador
disponible, y le informará de los detalles de la contención y la limpieza.
7. Contenga la intrusión. Intente identificar los sistemas y las cuentas utilizadas en la intrusión
inicial, así como cualquier malware precursor o mecanismos de persistencia dejados por
los atacantes.
8. Reconstruya los sistemas. Utilice imágenes y copias de seguridad del sistema en buen
estado para restaurar los sistemas críticos. Tenga cuidado de separar los sistemas limpios
de los afectados.
9. Restablezca, parche, actualice. Restablezca las contraseñas, aplique parches y actualice
el software, e inste cualquier control de seguridad adicional necesario para evitar que se
repita el ataque.
10. Documente las lecciones aprendidas. El ransonware está en constante evolución. Utilice lo que
ha aprendido de este ataque para prepararse mejor para el siguiente.

Página 8