Ir para o conteúdo
Menu Menu Menu

Logo NIC.br Logo CERT.br

Ransomware: cómo detectarlo

Autor: CERT.br
Versión: 1.1 — 17 de octubre de 2025

Traducción: Laureana Pavón
Apoyo de difusión: LACNIC CSIRT

Ver también

Ransomware: cómo se produce

Ransomware: cómo protegernos

Ransomware: cómo responder

Folleto para descargar

Resumen

Introducción

Los ataques de ransomware se pueden detectar en diferentes fases, de distintas formas y con diversos niveles de detalle. Cuanto antes se detecten, menor será el impacto en la empresa y, por lo tanto, en los esfuerzos de respuesta.

Para que se produzca la detección, es fundamental que el entorno esté preparado para monitorear y detectar las actividades de los atacantes, y que cuente con herramientas y personal capaces de interpretar los resultados.

Cada fase del ataque ofrece oportunidades para detectar y detener las acciones maliciosas del atacante, tal como se ilustra en la infografía "Ransomware: cómo detectarlo" y se describe a continuación.

Infografía Ransomware: cómo detectarlo
Infografía Ransomware: cómo detectarlo

Ícone Habilitar y analizar los <i>logs</i> 1. Habilitar y analizar los logs

Los logs generados por distintos equipos y sistemas ayudan a identificar las actividades maliciosas de los atacantes y del malware. Dada su importancia, deben protegerse contra eliminaciones o modificaciones no autorizadas.

  • Habilite la generación de logs en los dispositivos de red, servidores, herramientas de seguridad, aplicaciones y servicios en la nube, especialmente en los sistemas críticos:
    • En los dispositivos de red y firewalls, habilite también la generación de netflows.
  • Proteja los logs contra accesos indebidos:
    • Envíe los logs a servidores centralizados y con mecanismos de protección habilitados.
  • Para facilitar la correlación de logs, eventos y otros datos, mantenga:
    • Todos los registros en la misma zona horaria (por ejemplo, UTC).
    • La hora de los servidores y dispositivos de red sincronizada con una fuente horaria confiable usando, por ejemplo, el protocolo NTP.

Ícone Monitorear el tráfico de red 2. Monitorear el tráfico de red

El monitoreo de la red debe incluir tanto el tráfico que entra y sale de Internet, como el tráfico interno entre las redes de la propia empresa. Esto ayuda a detectar actividades de acesso inicial, persistencia y c2, movimiento lateral y impacto.

2.1. Tráfico entrante

  • Identifique previamente el patrón de tráfico entrante de la red.
  • Determine a qué equipos y puertos de servicio se puede acceder desde otras redes, tanto desde Internet como desde las redes internas.
  • Monitoree:
    • Los accesos externos a equipos a los que no se debería acceder desde fuera de la red: pueden indicar cambios en la configuración del equipo para permitir el acceso remoto.
    • Los intentos sucesivos de acceder a un puerto de servicio específico: pueden indicar una posible explotación de vulnerabilidades de este servicio o ataques de fuerza bruta.
    • Los escaneos de redes y puertos: pueden indicar intentos de identificar equipos activos y los servicios que ofrecen, para luego asociarlos a vulnerabilidades.

Analizar los datos de escaneos en equipos expuestos a Internet puede ser un desafío debido a los constantes intentos de ataque y al tráfico de numerosos proyectos de investigación y empresas que también escanean Internet para mapear vulnerabilidades. Este análisis puede requerir el uso de herramientas de análisis de tráfico específicas para detectar anomalías relevantes.

2.2. Tráfico saliente

  • Determine previamente el patrón de tráfico saliente de la red.
  • Monitoree:
    • Los aumentos atípicos del volumen de datos transmitidos: pueden indicar exfiltración de datos.
    • Los aumentos inusuales del tráfico de protocolos utilizados para compartir recursos en red, como SMB: pueden indicar el cifrado de datos de estas áreas.
    • Las conexiones a direcciones IP conocidas por estar implicadas en actividades maliciosas y a enlaces de phishing detectados por notificaciones o herramientas de protección: pueden indicar que hay credenciales de usuario o del sistema comprometidas.
    • Las consultas DNS utilizadas para comunicarse con C2 y dominios sospechosos de participar en ransomware: pueden indicar la presencia de mecanismos de persistencia.
    • Las conexiones a Tor o Tor2Web: pueden indicar comunicación con C2 o exfiltración de datos.
    • Las sesiones excesivamente largas: pueden indicar comunicación con C2 o exfiltración de datos.

Ícone Observar las alertas de las herramientas de protección 3. Observar las alertas de las herramientas de protección

Las herramientas de protección—como las herramientas de detección y respuesta, los firewalls, los filtros antispam y los filtros anti-phishing—suelen emitir alertas cuando detectan actividades sospechosas. También contribuyen a la respuesta, bloqueando automáticamente ciertas actividades.

  • Monitoree:
    • Los logs y alertas generados por las herramientas de protección.
    • Las propias herramientas de protección para detectar intentos de desactivación o cambios en sus configuraciones.
  • Configure las herramientas de protección para identificar y bloquear la instalación y ejecución de software que no sea original.

Ícone Monitorear las cuentas de usuarios y administradores 4. Monitorear las cuentas de usuarios y administradores

La intrusión o creación de cuentas de usuarios y administradores es uno de los vectores de acesso inicial. También puede ocurrir en las fases de movimiento lateral y de persistencia y c2.

  • Monitoree:
    • La creación o modificación de cuentas, especialmente cuentas de administrador.
    • Los ataques de fuerza bruta para obtener credenciales, especialmente varios intentos fallidos sucesivos seguidos de una autenticación exitosa.
    • Los accesos a cuentas antiguas o no estándar por parte de empleados y terceros: pueden indicar que una cuenta fue comprometida y se está utilizando para acceder a la red de la empresa.
    • Accesos remotos exitosos, por ejemplo los de VPN: pueden ayudar a rastrear las cuentas comprometidas y las acciones de los atacantes.

Ícone Monitorear el uso de los sistemas 5. Monitorear el uso de los sistemas

Durante las diferentes fases de un ataque de ransomware, los atacantes pueden cambiar configuraciones, instalar malware y herramientas de acceso remoto, realizar análisis de red, eliminar copias de seguridad, y exfiltrar y cifrar datos. Estas acciones pueden afectar el comportamiento del sistema y alertar sobre actividades maliciosas.

  • Establezca qué se considera un uso “normal” del equipo.
  • Monitoree:
    • Los cambios en los patrones de uso de los equipos, como un mayor uso de la CPU o un aumento en la actividad de acceso al disco y a la red.
    • La instalación de software y ejecución de procesos desconocidos.
    • Los cambios en la configuración de los sistemas, como las tareas programadas, scripts de inicio y claves de registro.
  • Ejecute un software de verificación de integridad en archivos críticos, como los sistemas de archivos, directorios, bases de datos, componentes del sistema operativo y aplicaciones, y monitoree los cambios.
  • Cree archivos señuelo y monitoree los accesos a estos archivos.

Los archivos señuelo son, por ejemplo, archivos que parecen contener datos sensibles, contraseñas, certificados o tokens de acceso, pero que no son utilizados por nadie en la empresa. Estos archivos deben monitorearse y se debe generar una alerta cada vez que se acceda a ellos, ya que estos accesos probablemente provengan de un atacante o malware.

Ícone Establecer un canal para recibir notificaciones de seguridad 6. Establecer un canal para recibir notificaciones de seguridad

Tener un contacto donde enviar notificaciones de seguridad ayuda a identificar problemas como filtraciones de datos, equipos infectados, cuentas comprometidas e intentos de explotar vulnerabilidades. Estas notificaciones pueden recibirse tanto de fuentes externas como de fuentes internas.

  • Cree y monitoree canales de comunicación para recibir notificaciones de fuentes externas, como investigadores y equipos de respuesta a incidentes, y de fuentes internas, como empleados y terceros:
    • Cree casillas de correo electrónico estándar, como abuse@dominio y security@dominio;
    • Mantenga la información del contacto técnico de su dominio actualizada y asegúrese de que alguien lea los mensajes recibidos y los reenvíe al equipo técnico.
    • Cree un archivo security.txt en su sitio web siguiendo el estándar descrito en https://securitytxt.org/.
  • Divulgue los canales de comunicación y el procedimiento para generar notificaciones de seguridad:
  • Anime a sus empleados y terceros para que informen cualquier problema de seguridad que detecten, como phishing, solicitudes de rescate por ransomware y comportamientos atípicos en los equipos, como archivos que desaparecen y alertas de las herramientas de seguridad.
  • Utilice las notificaciones que recibe para entrenar los filtros de las herramientas de seguridad y como alerta de posibles ataques contra su empresa.

Historial de revisiones

Versión 1.0: 5 de octubre de 2025. Versión inicial.

Versión 1.1: 17 de octubre de 2025. Se agregó una recomendación sobre la zona horaria para los logs.