Ransomware: cómo detectarlo
Autor: CERT.br
Versión: 1.0 — 5 de octubre de 2025
Traducción: Laureana Pavón
Apoyo de difusión: LACNIC CSIRT
Resumen
- Introducción
- 1. Habilitar y analizar los logs
- 2. Monitorear el tráfico de red
- 3. Observar las alertas de las herramientas de protección
- 4. Monitorear las cuentas de usuarios y administradores
- 5. Monitorear el uso de los sistemas
- 6. Establecer un canal para recibir notificaciones de seguridad
Introducción
Los ataques de ransomware se pueden detectar en diferentes fases, de distintas formas y con diversos niveles de detalle. Cuanto antes se detecten, menor será el impacto en la empresa y, por lo tanto, en los esfuerzos de respuesta.
Para que se produzca la detección, es fundamental que el entorno esté preparado para monitorear y detectar las actividades de los atacantes, y que cuente con herramientas y personal capaces de interpretar los resultados.
Cada fase del ataque ofrece oportunidades para detectar y detener las acciones maliciosas del atacante, tal como se ilustra en la infografía "Ransomware: cómo detectarlo" y se describe a continuación.
1. Habilitar y analizar los logs
Los logs generados por distintos equipos y sistemas ayudan a identificar las actividades maliciosas de los atacantes y del malware. Dada su importancia, deben protegerse contra eliminaciones o modificaciones no autorizadas.
- Habilite la generación de logs en los dispositivos de
red, servidores, herramientas de seguridad, aplicaciones y
servicios en la nube, especialmente en los sistemas críticos:
- En los dispositivos de red y firewalls, habilite también la generación de netflows.
- Proteja los logs contra accesos indebidos:
- Envíe los logs a servidores centralizados y con mecanismos de protección habilitados.
- Para facilitar la correlación de logs, eventos y otros datos, mantenga la hora de los servidores y dispositivos de red sincronizada con una fuente horaria confiable usando, por ejemplo, el protocolo NTP.
2. Monitorear el tráfico de red
El monitoreo de la red debe incluir tanto el tráfico que entra y sale de Internet, como el tráfico interno entre las redes de la propia empresa. Esto ayuda a detectar actividades de acesso inicial, persistencia y c2, movimiento lateral y impacto.
2.1. Tráfico entrante
- Identifique previamente el patrón de tráfico entrante de la red.
- Determine a qué equipos y puertos de servicio se puede acceder desde otras redes, tanto desde Internet como desde las redes internas.
- Monitoree:
- Los accesos externos a equipos a los que no se debería acceder desde fuera de la red: pueden indicar cambios en la configuración del equipo para permitir el acceso remoto.
- Los intentos sucesivos de acceder a un puerto de servicio específico: pueden indicar una posible explotación de vulnerabilidades de este servicio o ataques de fuerza bruta.
- Los escaneos de redes y puertos: pueden indicar intentos de identificar equipos activos y los servicios que ofrecen, para luego asociarlos a vulnerabilidades.
Analizar los datos de escaneos en equipos expuestos a Internet puede ser un desafío debido a los constantes intentos de ataque y al tráfico de numerosos proyectos de investigación y empresas que también escanean Internet para mapear vulnerabilidades. Este análisis puede requerir el uso de herramientas de análisis de tráfico específicas para detectar anomalías relevantes.
2.2. Tráfico saliente
- Determine previamente el patrón de tráfico saliente de la red.
- Monitoree:
- Los aumentos atípicos del volumen de datos transmitidos: pueden indicar exfiltración de datos.
- Los aumentos inusuales del tráfico de protocolos utilizados para compartir recursos en red, como SMB: pueden indicar el cifrado de datos de estas áreas.
- Las conexiones a direcciones IP conocidas por estar implicadas en actividades maliciosas y a enlaces de phishing detectados por notificaciones o herramientas de protección: pueden indicar que hay credenciales de usuario o del sistema comprometidas.
- Las consultas DNS utilizadas para comunicarse con C2 y dominios sospechosos de participar en ransomware: pueden indicar la presencia de mecanismos de persistencia.
- Las conexiones a Tor o Tor2Web: pueden indicar comunicación con C2 o exfiltración de datos.
- Las sesiones excesivamente largas: pueden indicar comunicación con C2 o exfiltración de datos.
3. Observar las alertas de las herramientas de protección
Las herramientas de protección—como las herramientas de detección y respuesta, los firewalls, los filtros antispam y los filtros anti-phishing—suelen emitir alertas cuando detectan actividades sospechosas. También contribuyen a la respuesta, bloqueando automáticamente ciertas actividades.
- Monitoree:
- Los logs y alertas generados por las herramientas de protección.
- Las propias herramientas de protección para detectar intentos de desactivación o cambios en sus configuraciones.
- Configure las herramientas de protección para identificar y bloquear la instalación y ejecución de software que no sea original.
4. Monitorear las cuentas de usuarios y administradores
La intrusión o creación de cuentas de usuarios y administradores es uno de los vectores de acesso inicial. También puede ocurrir en las fases de movimiento lateral y de persistencia y c2.
- Monitoree:
- La creación o modificación de cuentas, especialmente cuentas de administrador.
- Los ataques de fuerza bruta para obtener credenciales, especialmente varios intentos fallidos sucesivos seguidos de una autenticación exitosa.
- Los accesos a cuentas antiguas o no estándar por parte de empleados y terceros: pueden indicar que una cuenta fue comprometida y se está utilizando para acceder a la red de la empresa.
- Accesos remotos exitosos, por ejemplo los de VPN: pueden ayudar a rastrear las cuentas comprometidas y las acciones de los atacantes.
5. Monitorear el uso de los sistemas
Durante las diferentes fases de un ataque de ransomware, los atacantes pueden cambiar configuraciones, instalar malware y herramientas de acceso remoto, realizar análisis de red, eliminar copias de seguridad, y exfiltrar y cifrar datos. Estas acciones pueden afectar el comportamiento del sistema y alertar sobre actividades maliciosas.
- Establezca qué se considera un uso “normal” del equipo.
- Monitoree:
- Los cambios en los patrones de uso de los equipos, como un mayor uso de la CPU o un aumento en la actividad de acceso al disco y a la red.
- La instalación de software y ejecución de procesos desconocidos.
- Los cambios en la configuración de los sistemas, como las tareas programadas, scripts de inicio y claves de registro.
- Ejecute un software de verificación de integridad en archivos críticos, como los sistemas de archivos, directorios, bases de datos, componentes del sistema operativo y aplicaciones, y monitoree los cambios.
- Cree archivos señuelo y monitoree los accesos a estos archivos.
Los archivos señuelo son, por ejemplo, archivos que parecen contener datos sensibles, contraseñas, certificados o tokens de acceso, pero que no son utilizados por nadie en la empresa. Estos archivos deben monitorearse y se debe generar una alerta cada vez que se acceda a ellos, ya que estos accesos probablemente provengan de un atacante o malware.
6. Establecer un canal para recibir notificaciones de seguridad
Tener un contacto donde enviar notificaciones de seguridad ayuda a identificar problemas como filtraciones de datos, equipos infectados, cuentas comprometidas e intentos de explotar vulnerabilidades. Estas notificaciones pueden recibirse tanto de fuentes externas como de fuentes internas.
- Cree y monitoree canales de comunicación para recibir
notificaciones de fuentes externas, como investigadores y
equipos de respuesta a incidentes, y de fuentes internas, como
empleados y terceros:
- Cree casillas de correo electrónico estándar,
como
abuse@dominio
ysecurity@dominio
; - Mantenga la información del contacto técnico de su dominio actualizada y asegúrese de que alguien lea los mensajes recibidos y los reenvíe al equipo técnico.
- Cree un archivo
security.txt
en su sitio web siguiendo el estándar descrito en https://securitytxt.org/.
- Cree casillas de correo electrónico estándar,
como
- Divulgue los canales de comunicación y el procedimiento para
generar notificaciones de seguridad:
- Obtenga más información sobre cómo concientizar a los empleados en "Ransomware: cómo protegernos".
- Anime a sus empleados y terceros para que informen cualquier problema de seguridad que detecten, como phishing, solicitudes de rescate por ransomware y comportamientos atípicos en los equipos, como archivos que desaparecen y alertas de las herramientas de seguridad.
- Utilice las notificaciones que recibe para entrenar los filtros de las herramientas de seguridad y como alerta de posibles ataques contra su empresa.