Ir para o conteúdo
Menu Menu Menu

Logo NIC.br Logo CERT.br

Ransomware: cómo protegernos

Autor: CERT.br
Versión: 1.0 — 5 de octubre de 2025

Traducción: Laureana Pavón
Apoyo de difusión: LACNIC CSIRT

Ver también

Ransomware: cómo se produce

Ransomware: cómo detectarlo

Ransomware: cómo responder

Folleto para descargar

Resumen

Introducción

Dado el constante descubrimiento de nuevas vulnerabilidades y la complejidad de los sistemas y redes, es necesario adoptar una estrategia de defensa por capas, con múltiples medidas de seguridad complementarias. De esta manera, aunque no sea posible evitar el acesso inicial, existen otras medidas para ralentizar el ataque, limitar su impacto y aumentar la resiliencia operativa de la empresa.

A continuación, se describen algunas medidas esenciales, también ilustradas en la infografía "Ransomware: cómo protegernos".

Infografía Ransomware: cómo protegernosr
Infografía Ransomware: cómo protegernos

Ícone MFA 1. Usar autenticación multifactor (MFA)

La autenticación multifactor ayuda a evitar los accesos no autorizados por medio de credenciales comprometidas. Es fundamental para prevenir el acesso inicial y también puede utilizarse contra el movimiento lateral.

  • Adopte autenticación multifactor, especialmente para:
    • acceso remoto a la red, como VPN y escritorios remotos;
    • servicios accesibles a través de la web y servicios en la nube;
    • usuarios con privilegios de administrador, especialmente en servicios en la nube.
  • Siempre que sea posible, utilice mecanismos de MFA resistentes al phishing.

Cabe destacar que las VPN SSL tienen fragilidades que son inherentes al uso de navegadores web como clientes. Entre otros ataques, son susceptibles al secuestro de tokens de sesión, lo que permite a un atacante eludir la autenticación multifactor y acceder a la red. Es por ello que es importante considerar la adopción de una solución VPN más robusta.

Ícone Gestionar las vulnerabilidades 2. Gestionar las vulnerabilidades

Los atacantes explotan las vulnerabilidades tanto en los sistemas expuestos a Internet para obtener acesso inicial, como en la red interna durante las fases de escalamiento de privilegios y movimiento lateral.

Por lo tanto, es importante gestionar las vulnerabilidades de todos los sistemas, aplicando una estrategia de priorización basada en riesgos para corregir o mitigar las fallas mediante la implementación de medidas que reduzcan la posibilidad de explotación.

  • Mantenga actualizados los sistemas operativos, las aplicaciones y el firmware de los dispositivos:
    • Algunas vulnerabilidades solo se corrigen actualizando el software a una nueva versión, no aplicando parches de seguridad individuales.
  • Priorice la corrección de:
  • Cuando no sea posible corregir una vulnerabilidad, por ejemplo, en sistemas legados o sistemas para los cuales no hay parches disponibles, implemente medidas de mitigación. Ejemplos:
    • Aislar el sistema vulnerable del resto de la red.
    • Implementar un control de acceso más estricto.
    • Ajustar las configuraciones.

Ícone Concientizar a los empleados 3. Concientizar a los empleados

El Phishing y otras técnicas de ingeniería social—como llamadas telefónicas que se hacen pasar por soporte técnico—se usan para persuadir a empleados y terceros a revelar credenciales de acceso, instalar malware o herramientas de escritorio remoto. Estos métodos son uno de los principales vectores de acesso inicial y también pueden utilizarse para el movimiento lateral.

  • Capacite a los empleados y a terceros para que sepan:
    • los canales oficiales de soporte técnico y seguridad de la organización;
    • reconocer el phishing y otras comunicaciones sospechosas;
    • informar sobre posibles problemas de seguridad, como phishing, accesos no autorizados a sus cuentas, computadoras "extrañas" y alertas;
    • qué es el ransomware y qué hacer en caso de un ataque.

Ícone Usar herramientas de protección 4. Usar herramientas de protección

Algunas herramientas pueden ayudar a prevenir, detectar y contener amenazas como los ataques de phishing, malware y ransomware, siendo útiles en todas las fases de un ataque. Estas incluyen herramientas de protección de terminales, filtros antispam y herramientas de protección y monitoreo de redes.

  • Instale herramientas de protección contra malware y phishing en las estaciones de trabajo y los servidores.
  • De ser posible, utilice herramientas con capacidades de detección y respuesta.
  • Utilice herramientas de protección y monitoreo del tráfico de red:

Ícone Hacer copias de seguridad y protegerlas 5. Hacer copias de seguridad y protegerlas

Las copias de seguridad suelen guardar datos importantes para las empresas. En los ataques de ransomware, las empresas son un doble objetivo: como fuentes para la exfiltración de datos y como blancos de destrucción. El propósito es impedir que la empresa se recupere sin pagar el rescate.

  • Realice copias de seguridad periódicas.
  • Mantenga las copias de seguridad fuera de línea para evitar su destrucción.
  • Implemente controles para evitar accesos y modificaciones no autorizadas.
  • Pruebe periódicamente las copias de seguridad para verificar que los datos estén intactos y que la restauración funcione correctamente.

En caso de que un ataque avance hasta cifrar datos e interrumpir operaciones críticas, contar con copias de seguridad actualizadas e intactas puede ser la única alternativa para la recuperación de la empresa.

Ícone Reducir la superficie de ataque 6. Reducir la superficie de ataque

Los servicios activos innecesariamente o expuestos de forma inapropiada, ya sea en Internet o en la red interna, aumentan el riesgo de explotación de vulnerabilidades y accesos no autorizados. Eliminar los servicios innecesarios ayuda a prevenir el acesso inicial, el escalamiento de privilegios, el movimiento lateral y el impacto.

  • Desactive los servicios que no se utilicen, tanto en Internet como en la red interna.
  • No exponga servicios ni datos innecesariamente, como:
    • servicios de escritorio remoto, por ejemplo, RDP;
    • servicios para compartir recursos en la red, por ejemplo, SMB;
    • almacenamiento en la nube, por ejemplo, buckets y copias de seguridad;
    • servidores críticos, por ejemplo, controladores de dominio;
    • impresoras y otros dispositivos en red.

Ícone Gestionar las identidades y los accesos 7. Gestionar las identidades y los accesos

Cuantos más privilegios tenga una cuenta, mayor será el impacto negativo en caso de que sea comprometida. Además, mantener cuentas y permisos activos sin ningún propósito aumenta el riesgo de accesos no autorizados. Otorgar a las cuentas solo los accesos esenciales y únicamente por el tiempo necesario (principio del mínimo privilegio) limita las acciones del atacante en caso de compromiso.

  • Controle los accesos según el principio del mínimo privilegio:
    • Otorgue solo los permisos necesarios para cumplir la función, incluso en cuentas de servicio como las de copia de seguridad y servidores web.
    • Limite el número de cuentas con accesos privilegiados.
    • Asigne adecuadamente los permisos de acceso a las copias de seguridad y a los servicios para compartir recursos en la red.
    • Proporcione acceso remoto únicamente a quienes realmente lo necesiten.
  • Revise periódicamente las cuentas y los privilegios de empleados y terceros:
    • Desactive las cuentas de quienes ya no los necesiten.
    • Revoque los permisos innecesarios si los empleados cambian de rol.

Ícone Segmentar la red 8. Segmentar la red

Dividir la red en segmentos más pequeños e independientes limita el movimiento lateral y la propagación de malware. Reduce el riesgo de accesos no autorizados a sistemas críticos y datos confidenciales, ayudando así a contener los ataques y la exfiltración de datos.

  • Divida la red y separe los servicios críticos, los equipos de los usuarios, los sistemas legados, etc.
  • Aísle los segmentos y únicamente permita los accesos a servicios necesarios.