Por eso, desde All4sec<\/strong> queremos recopilar un conjunto de sencillas recomendaciones encaminadas a implementar medidas, herramientas y recursos que puedan servir para mitigar el efecto<\/strong> de esta amenaza. No son medidas infalibles. Sin embargo, pueden contribuir a impedir o reducir su impacto.<\/p>\n\n\n\n Lo primero y m\u00e1s importante que una organizaci\u00f3n debe hacer para mantener su operatividad frente a un ransomware<\/em> es disponer de una copia de seguridad, cifrada y offline, de sus elementos m\u00e1s cr\u00edticos<\/strong>. Esta es una tarea fundamental, sea cual sea, la amenaza que se presente. Las copias han de ser \u201cselectivas\u201d incluyendo datos cr\u00edticos y configuraciones de sistemas operativos y aplicaciones.<\/p>\n\n\n\n Resulta asimismo importante identificar y disponer de HW de respaldo<\/strong> para la recuperaci\u00f3n de los sistemas<\/strong>, teniendo en cuenta que los equipos afectados puedan quedar temporalmente inh\u00e1biles y que las configuraciones puedan variar cuando no se disponga de equipos similares.<\/p>\n\n\n\n No debemos tampoco olvidarnos de definir, desarrollar y evaluar planes de recuperaci\u00f3n que contemplen la comunicaci\u00f3n o la notificaci\u00f3n de la incidencia a los organismos correspondientes<\/a><\/strong>. Y, sobre todo, registrar los logs de los eventos que ocurren en los sistemas para su posterior an\u00e1lisis y seguimiento.<\/p>\n\n\n\n Un primer paso indispensable para ser capaz de combatir un ataque de ransomware<\/em> es inventariar todos los activos de la organizaci\u00f3n<\/strong>, as\u00ed como los flujos de informaci\u00f3n entre ellos.<\/p>\n\n\n\n Peri\u00f3dicamente debemos escanear manual o autom\u00e1ticamente los sistemas y redes en busca de posibles de vulnerabilidades. Asimismo, debemos actualizar de forma peri\u00f3dica las aplicaciones y sistemas operativos<\/strong>.<\/p>\n\n\n\n Los dispositivos deben estar configurados de forma que implementen opciones b\u00e1sicas de seguridad como la desactivaci\u00f3n de puertos y protocolos que no son necesarios<\/strong> para su uso habitual. <\/p>\n\n\n\n En particular, los servicios RDP<\/strong> u otros servicios de acceso remoto requieren una atenci\u00f3n especial. Por ejemplo, estos deben configurarse con la desactivaci\u00f3n de puertos, bloqueo de cuentas tras un n\u00famero de intentos de accesos fallidos o con mecanismos de doble autenticaci\u00f3n. Tambi\u00e9n se debe revisar la (des)activaci\u00f3n del protocolo SMB<\/strong> para evitar la propagaci\u00f3n del malware<\/em>.<\/p>\n\n\n\n Otra recomendaci\u00f3n fundamental reside en la concienciaci\u00f3n de los usuarios<\/a><\/strong>. El ransomware<\/em> suele propagarse a trav\u00e9s del phishing<\/em>. Por tanto, es indispensable que los usuarios sean capaces de identificar y bloquear las t\u00e9cnicas de phishing<\/em> m\u00e1s habituales.<\/p>\n\n\n\n En muchos casos, los ataques de ransomware<\/em> provienen de comunicaciones a trav\u00e9s de correos electr\u00f3nicos y resulta clave distinguir aquellos mensajes que puedan ser maliciosos<\/strong>. Por eso es necesario desplegar soluciones de filtrado de correos<\/a> y habilitar mecanismos DMARC<\/strong> en los servidores de correo<\/a>. Asimismo, conviene instalar soluciones para el bloqueo de direcciones IP sospechosas a trav\u00e9s de DNS<\/a><\/strong> y firewalls<\/strong>. Y por supuesto, y no menos importante, desactivar el servicio de macros cuando se utilicen herramientas de Microsoft Office<\/strong>.<\/p>\n\n\n\n Ahora bien, las organizaciones tambi\u00e9n necesitan herramientas que aporten protecci\u00f3n a sus infraestructuras. Han de disponer de IDS para detectar actividad de C&C<\/strong> de posibles malwares<\/em> o tener instaladas plataformas de antivirus y anti-malware<\/em> (preferiblemente centralizadas) en los puestos de trabajo.<\/p>\n\n\n\n Se deben utilizar listas de aplicaciones autorizadas y mecanismos de doble autenticaci\u00f3n<\/a><\/strong> all\u00ed donde sea posible, principalmente en servicios de webmail, accesos remotos o conexi\u00f3n a aplicaciones cr\u00edticas. Y en general, deben aplicar el principio del \u201cmenor privilegio posible\u201d<\/strong> que solo permita a los usuarios acceder a aquello que realmente necesitan<\/a>. Un caso particular responde al uso de herramientas como Powershell que solo deben estar habilitadas en condiciones muy controladas<\/strong>.<\/p>\n\n\n\n La siguiente tabla recoge las recomendaciones<\/strong> que hemos ido mencionado a lo largo del art\u00edculo. Ahora le toca al lector identificar cu\u00e1ntas de ellas est\u00e1 dispuesto a seguir<\/strong>. <\/p>\n\n\n\n <\/p>\n","protected":false},"excerpt":{"rendered":" Desde hace unos cuantos a\u00f1os, el ransomware est\u00e1 generando importantes estragos entre particulares, empresas y organismos p\u00fablicos.Preparaci\u00f3n ante un ransomware<\/strong><\/h3>\n\n\n\n
![\"\"](\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2021\/12\/R-2-switch-g0137bff06_1920-1024x684.jpg\")
<\/figure><\/div>\n\n\n\nAn\u00e1lisis de configuraciones y vulnerabilidades<\/strong><\/h3>\n\n\n\n
![\"\"](\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2021\/12\/R-3-update-gbc532b069_1920-1024x512.jpg\")
<\/figure><\/div>\n\n\n\nConocimiento de los vectores de ataque<\/strong><\/h3>\n\n\n\n
![\"\"](\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2021\/12\/R-5-malicious-code-gb80e7be21_1920-1024x576.jpg\")
<\/figure><\/div>\n\n\n\nMecanismos de protecci\u00f3n<\/strong><\/h3>\n\n\n\n
![\"\"](\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2021\/12\/R-4-app-g2e312fce0_1920-1024x704.jpg\")
<\/figure><\/div>\n\n\n\nResumen<\/strong><\/h3>\n\n\n\n
RECOMENDACI\u00d3N<\/strong><\/td> SI\/NO<\/strong><\/td><\/tr><\/thead> Disponer de una copia de seguridad, cifrada y offline, de sus elementos m\u00e1s cr\u00edticos<\/strong><\/td> <\/td><\/tr> HW de respaldo<\/strong> para la recuperaci\u00f3n de los sistemas<\/strong><\/td> <\/td><\/tr> Definir, desarrollar y evaluar planes de recuperaci\u00f3n<\/strong><\/strong><\/td> <\/td><\/tr> Inventariar todos los activos de informaci\u00f3n de la organizaci\u00f3n<\/strong><\/td> <\/td><\/tr> Actualizar de forma peri\u00f3dica las aplicaciones y sistemas operativos<\/strong><\/td> <\/td><\/tr> Desactivaci\u00f3n de puertos y protocolos que no son necesarios (RDP, SMB\u2026)<\/strong><\/td> <\/td><\/tr> Bloqueo de cuentas de usuarios tras un n\u00famero de intentos de acceso fallidos<\/strong><\/td> <\/td><\/tr> Concienciaci\u00f3n de los usuarios<\/strong><\/td> <\/td><\/tr> Filtrado de correos maliciosos y protecci\u00f3n de puestos de trabajo<\/strong><\/td> <\/td><\/tr> Desactivar el servicio de macros en herramientas de Microsoft Office<\/strong><\/td> <\/td><\/tr> Implantar sistemas IDS, FW, filtrado en DNS\u2026<\/strong><\/td> <\/td><\/tr> Evitar la instalaci\u00f3n de software no autorizado<\/strong><\/td> <\/td><\/tr> Implantar mecanismos de doble autenticaci\u00f3n<\/strong><\/td> <\/td><\/tr> Habilitar Powershell solo en condiciones muy controladas<\/strong><\/td> <\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\nEn All4sec hemos querido recopilar un conjunto de sencillas recomendaciones encaminadas a implementar medidas, herramientas y recursos que puedan servir para mitigar el efecto de esta amenaza. No son medidas infalibles. Sin embargo, pueden contribuir a impedir o reducir su impacto.<\/p>\n","protected":false},"author":3,"featured_media":1928,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[2,28],"tags":[],"yoast_head":"\n