Cuando WannaCry irrumpió en 2017, el consejo que se podía dar era también el más incómodo: desconfía de quien te prometa una solución infalible, usa todo lo que tengas disponible, y si ya te ha golpeado, reza para que tus copias de seguridad sigan intactas.
Solicita una propuesta de ciberseguridad a medida
Casi una década después, ese consejo sigue teniendo vigencia. Pero el problema es que el ransomware de hoy en dia no se parece a WannaCry casi en nada. WannaCry era un gusano ruidoso que cifraba rápido y se detectaba rápido. El ransomware moderno es silencioso, metódico y enormemente más dañino: se instala semanas antes de activarse, se mueve lateralmente por la red localizando activos críticos y backups, roba los datos antes de cifrarlos, y cuando finalmente activa el cifrado masivo, ya tiene todo preparado para que comience la extorsión.
Por eso cambia completamente la forma de afrontarlo. No es solo una cuestión de filtros y antivirus. Es una cuestión de arquitectura de seguridad, de capacidad de detección temprana, y de saber exactamente qué hacer cuando ocurre.
Antes: construir la defensa correcta
No busques el producto perfecto. Busca una combinación de varias.
El principio de prudencia general dice: “Desconfía de quien te ofrezca un sistema infalible”. Por eso una combinación de soluciones que, unidas, hacen que un ataque de ransomware sea mucho más difícil de ejecutar y mucho más fácil de detectar antes de que cause un daño irreversible. Ninguna capa individual es suficiente. La defensa correcta es la que asume que alguna capa fallará y tiene otra debajo lista para compensarlo.
EDR/XDR: detectar lo que un antivirus común no ve
El antivirus tradicional detecta amenazas conocidas por sus firmas. El ransomware moderno está específicamente diseñado para evitar esas detecciones: usa técnicas de ofuscación, ejecuta código malicioso dentro de procesos legítimos del sistema “living off the land” y en muchos casos no deja nada en disco que analizar.
EDR monitoriza el comportamiento de cada equipo en tiempo real. Si un proceso empieza a cifrar ficheros de forma masiva, si un equipo intenta acceder a un volumen anormalmente grande de recursos compartidos, si se deshabilitan servicios de seguridad o se accede a credenciales almacenadas de forma inusual… EDR lo detecta y puede responder de forma automática aunque ese comportamiento no coincida con ninguna firma conocida.
XDR amplía esa visibilidad a todas las capas del entorno (endpoints, red, correo, identidades, cloud…) y las correlaciona. Lo que visto por separado sería ruido invisible, en conjunto revela un ataque en progreso con días o semanas de antelación al cifrado final.
MFA: cerrar la puerta más fácil de abrir
Múchos de los ataques de ransomware empieza de la misma forma: acceso remoto con credenciales robadas. RDP expuesto, VPN sin segundo factor… Los atacantes escanean internet constantemente buscando estos servicios vulnerables para su cometido.
Por eso la medida que cierra esa puerta es tener MFA activo, así las credenciales robadas no sirven de nada. Es una de las inversiones con mejor retorno en cuanto a ciberseguridad se refiere. Sin excepciones ni casos especiales.
Zero Trust y segmentación
Una vez dentro de un primer equipo, el ransomware se mueve. Busca controladores de dominio, servidores de ficheros, bases de datos, sistemas de backup. Ese movimiento lateral es lo que convierte un incidente puntual en una crisis total.
Zero Trust y la segmentación limitan ese movimiento. Zero Trust significa que ningún sistema tiene acceso implícito a otro por el simple hecho de estar en la misma red: cada comunicación se autoriza explícitamente. La segmentación divide la red en zonas aisladas con políticas de tráfico controladas entre ellas. Si el ransomware compromete un equipo, no puede saltar libremente al resto de la infraestructura.
Backup inmutable: la red de seguridad que de verdad funciona
Contar con un sistema de respaldo que no se haya visto afectado puede ser nuestra única salvación en caso de desastre. Y esto es cierto pero teniendo en cuenta que los backups convencionales ya no son suficiente.
Los grupos de ransomware modernos localizan y destruyen o cifran los backups antes de lanzar el cifrado masivo. Una copia accesible desde la red comprometida es tan vulnerable como el resto de los datos.
Por este motivo la solución es el backup inmutable: almacenado de forma que no puede modificarse ni eliminarse durante un período definido, completamente aislado de la red de producción, y verificado periódicamente para confirmar que la restauración funciona.
Descubrir que el backup está corrupto o incompleto en el momento de necesitarlo es uno de los peores escenarios posibles. Las copias de seguridad deben siempre probarse, no solo ejecutarse.
Protege la continuidad de tu negocio
Durante: cómo responder cuando el ataque está activo
Detectar antes de que el cifrado se active
El ransomware moderno pasa semanas dentro de la red antes de cifrar. Durante ese tiempo (dwell-time) está realizando reconocimiento, extrayendo datos y preparando el ataque final. Este período de permanencia oculta es la ventana de oportunidad para detectarlo y pararlo antes de que cause el daño definitivo.
Un SOC (Security Operations Center) operativo 24 horas con analistas que monitoricen y correlacionen alertas de forma continua es lo que permite aprovechar esa ventana. Los ataques más devastadores no se lanzan durante el horario de oficina: ocurren en fines de semana, madrugadas y festivos, precisamente cuando la guardia del departamento de IT está baja. Si nadie está mirando en ese momento, el ataque habrá completado su trabajo antes de que alguien lo detecte.
Por este motivo un SOC con analistas especializados disponibles 24 horas que monitorizan el entorno e investigan alertas, pueden contener las amenazas activas sin necesitar que el equipo interno esté disponible en todo momento.
Contener, no solo apagar
Cuando se detecta un incidente activo, el primer instinto suele ser apagar equipos. A veces es la decisión correcta; otras veces destruye evidencias forenses que serían necesarias para entender el alcance del ataque o para la recuperación. La respuesta correcta depende del tipo de ataque y del momento en que se detecta.
Lo que sí es siempre correcto es aislar los sistemas comprometidos de la red de producción antes de que el ransomware continúe propagándose.
Y mientras se contiene el ataque, hay que activar el plan de respuesta a incidentes que debe estar documentado y probado antes de que ocurra nada.
Activar el plan, no improvisar
Cuando el ransomware está activo, no es el momento de decidir quién lidera la respuesta, cómo se comunica la situación a dirección, si se notifica a clientes o proveedores, o cuándo se involucra a las autoridades. Todo eso tiene que estar decidido de antemano. Un plan de respuesta a incidentes real define roles, protocolos de comunicación interna y externa, criterios de escalada, y pasos ordenados para la recuperación. NIS2 exige tener este plan documentado para las organizaciones en su ámbito, incluyendo la notificación obligatoria a las autoridades ante incidentes significativos. Pero más allá del cumplimiento, un plan bien diseñado y probado puede ser la diferencia entre una crisis controlada y el caos total.
Configura tu solución de ciberseguridad
Después: recuperación y lecciones aprendidas
La doble extorsión: pagar no garantiza nada
El ransomware moderno no solo cifra: primero roba. Antes de activar el cifrado, los grupos más sofisticados exfiltran datos sensibles (información de clientes, datos financieros, propiedad intelectual, contratos…) y amenazan con publicarlos o venderlos si no se paga. Es lo que se conoce como doble extorsión.
Esto cambia radicalmente el escenario. Tener un buen backup te permite recuperar la operativa sin pagar el rescate por el descifrado. Pero no te protege del daño reputacional, legal y regulatorio de una filtración de datos. La única forma de mitigar ese riesgo es detectar la exfiltración antes de que ocurra que es exactamente lo que hace XDR cuando monitoriza el tráfico de red en busca de volúmenes anómalos de datos salientes.
Pagar el rescate, por otro lado, no garantiza que los datos no se publiquen igualmente, ni que el grupo no vuelva a atacar. Las autoridades europeas y el CCN recomiendan no pagar.
Recuperación ordenada: los sistemas críticos primero
La recuperación de un ataque de ransomware no consiste en restaurar todo a la vez. Consiste en volver a la operativa crítica lo antes posible, en el orden correcto, verificando en cada paso que los sistemas restaurados están limpios antes de reconectarlos a la red.
El orden de recuperación, qué se restaura primero, qué puede esperar, qué sistemas se reconstruyen desde cero en lugar de restaurar… debería estar definido en el plan de continuidad de negocio, basado en el análisis de impacto real de cada sistema para la operativa de la empresa.
La pregunta que siempre hay que responder: ¿cómo entró?
Después de gestionar el incidente, hay una pregunta que no puede quedar sin respuesta: ¿cómo entró el atacante? ¿Qué vulnerabilidad explotó? ¿Qué credencial usó? ¿Por qué no se detectó antes? El análisis post-incidente o revisión forense de lo ocurrido, es lo que permite no solo cerrar el vector de entrada específico, sino identificar debilidades sistémicas en la arquitectura de seguridad que lo hicieron posible. Sin ese análisis, la probabilidad de sufrir un segundo incidente similar es muy alta.
El consejo que sigue siendo el más importante
La única forma de paliar este problema es aplicar un conjunto de medidas lo más completo posible porque ninguna medida por si sola es suficiente.
La defensa correcta es la que asume que algo fallará y tiene más capas debajo. Y la organización correcta es la que no pregunta «¿nos puede pasar?» sino «¿estamos preparados para cuando pase?»
Solicita una propuesta de ciberseguridad a medida
3 Comentarios
Puedes enviar comentarios en este post.
[…] en la que, a través de mesas redondas y conferencias, se tratará el estado de la ciberseguridad en España, se identificarán los retos a los que se enfrenta el sector y se analizarán los […]
Agenda tecnológica: octubre de 2017 | Blog Sarenet 9 años ago
[…] ha iniciado su andadura tomando el relevo a 2017 al menos en lo que problemas de seguridad y bugs se […]
Meltdown y Spectre: Nuevos agujeros de seguridad en procesadores | Blog Sarenet 8 años ago
[…] Andalucía Digital Week es la principal feria del sector TIC y contenidos digitales de Andalucía. Un punto de encuentro de empresas, con mayor o menor grado de digitalización, profesionales y entusiastas e instituciones públicas, que compartirán novedades y puntos de vista acerca de temas tan diversos como las Smart Cities, Industria 4.0, contenidos digitales, agricultura y ganadería de precisión, formación digital o ciberseguridad. […]
Agenda tecnológica: marzo de 2018 | Blog Sarenet 8 años ago
Enviar una respuesta
No hay comentarios