{"id":1950,"date":"2021-12-17T09:12:17","date_gmt":"2021-12-17T09:12:17","guid":{"rendered":"https:\/\/www.all4sec.es\/blog\/?p=1950"},"modified":"2021-12-17T09:12:19","modified_gmt":"2021-12-17T09:12:19","slug":"ransomware-que-hacer-si-hemos-sido-atacados","status":"publish","type":"post","link":"https:\/\/all4sec.es\/blog\/index.php\/2021\/12\/17\/ransomware-que-hacer-si-hemos-sido-atacados\/","title":{"rendered":"Ransomware, \u00bfqu\u00e9 hacer si hemos sido atacados?"},"content":{"rendered":"\n

\u00bfY ahora qu\u00e9?<\/h3>\n\n\n\n

En una entrada anterior de este blog referimos algunas recomendaciones dirigidas a reducir la posibilidad de que un ataque de ransomware<\/a> tenga \u00e9xito dentro de una organizaci\u00f3n. Se trataba de recomendaciones m\u00e1s o menos sencillas de implementar y que podr\u00edan evitarnos m\u00e1s de un quebradero de cabeza.<\/p>\n\n\n\n

Ahora bien, como hemos mencionado, solo son recomendaciones y por supuesto no son infalibles. Lo cierto es que no siempre ser\u00e1 posible evitar los efectos de un ataque de ransomware<\/strong><\/em>. Si desafortunadamente ese es nuestro caso, deberemos prepararnos para ser metodol\u00f3gicos y cuidadosos en nuestros siguientes pasos<\/strong> \u2014 incluyendo la ayuda de profesionales especializados\u2014<\/strong> porque de ello depender\u00e1 gran parte del tiempo que tardemos en recuperarnos.<\/p>\n\n\n\n

A continuaci\u00f3n, enumeramos algunas recomendaciones cuya aplicaci\u00f3n depender\u00e1 de la fase del ataque en la que nos encontremos.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Detecci\u00f3n y an\u00e1lisis<\/strong><\/h3>\n\n\n\n

Lo primero y m\u00e1s importante es identificar los sistemas que est\u00e1n afectados e inmediatamente aislarlos<\/strong>. Debemos pensar en t\u00e9rminos de redes. Es fundamental, en la medida de lo posible, no apagar los equipos, <\/strong>aunque s\u00ed mantenerlos aislados para evitar las propagaciones laterales.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

En caso de que los equipos no se puedan aislar de la red, podr\u00edamos apagarlos. No es la mejor opci\u00f3n porque con ello perderemos cualquier evidencia del ataque que resida en memoria. Por tanto, esta medida debe tomarse de forma muy reflexionada.<\/p>\n\n\n\n

Tambi\u00e9n debemos diagnosticar los sistemas que se han visto afectados para su posterior recuperaci\u00f3n, dando prioridad a los equipos m\u00e1s cr\u00edticos<\/strong>. Todo este proceso debe estar documentado junto con las concusiones del primer an\u00e1lisis.<\/p>\n\n\n\n

Finalmente debemos informar del incidente a aquellos que puedan tener un inter\u00e9s leg\u00edtimo en \u00e9l y a aquellas compa\u00f1\u00edas y organismos que puedan contribuir a su resoluci\u00f3n<\/strong>.<\/p>\n\n\n\n

Contenci\u00f3n y eliminaci\u00f3n<\/strong><\/h3>\n\n\n\n

Una vez diagnosticado el ataque debemos capturar una imagen del sistema y del contenido de la memoria de algunos de los dispositivos afectados<\/strong>. Esta informaci\u00f3n, junto con los logs de los sistemas<\/strong>, nos permitir\u00e1 identificar indicadores de compromiso.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Un paso recomendable es consultar a los organismos p\u00fablicos<\/a> y a las comunidades de expertos en ciberseguridad<\/strong> para ver si disponen de algoritmos para descifrar diferentes variantes del ransomware<\/em><\/a>. Y, por supuesto, investigar el tipo de ransomware<\/em> para determinar su posible comportamiento futuro.<\/p>\n\n\n\n

Un elemento fundamental en esta etapa ser\u00e1 la identificaci\u00f3n de los sistemas y las cuentas de usuarios que originaron la brecha original<\/strong>. Bas\u00e1ndonos en esta informaci\u00f3n se podr\u00e1n implementar medidas de contenci\u00f3n para evitar su propagaci\u00f3n (i.e. deshabilitar VPNs, servidores de acceso remoto, recursos de SSO o servicios en la nube).<\/p>\n\n\n\n

Si se detecta que un servidor se ha infectado a trav\u00e9s de un puesto de trabajo, debemos revisar las sesiones y los ficheros abiertos, analizar las conexiones RDP y comprobar las conexiones SMB y los intentos de acceso<\/strong>.<\/p>\n\n\n\n

No menos importante resultar\u00e1 la informaci\u00f3n que proporcionan las herramientas de seguridad (EPP, IDS, IPS, FW\u2026). Uno de los elementos cr\u00edticos a localizar con ellas es el que act\u00faa habitualmente de facilitador para la descarga del ransomware<\/em><\/strong>. Se trata de un componente clave en todo el proceso.<\/p>\n\n\n\n

Deberemos, asimismo, analizar la posibilidad de persistencia del ransomware<\/em><\/strong> una vez que este sea eliminado a trav\u00e9s de la localizaci\u00f3n de cuentas ocultas, puertas traseras o vulnerabilidades externas.<\/p>\n\n\n\n

Finalmente, y una vez verificados y resueltos todos estos puntos, podremos reconstruir el sistema empezando por los sistemas m\u00e1s cr\u00edticos, utilizando im\u00e1genes software preconfiguradas<\/strong>, para inmediatamente cambiar las contrase\u00f1as y actualizar las versiones del software<\/strong>.<\/p>\n\n\n\n

Recuperaci\u00f3n<\/strong><\/h3>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n

Llegados a esta etapa, volveremos a conectar los servicios en la red y monitorizaremos su comportamiento<\/strong>. Como punto final, ser\u00e1 indispensable documentar todos los pasos dados durante el proceso<\/strong>, as\u00ed como las lecciones aprendidas. De hecho, deber\u00edamos considerar la posibilidad de compartir con la comunidad esas conclusiones en beneficio colectivo<\/strong>.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Corolario<\/strong><\/h3>\n\n\n\n

El ransomware<\/em> es una de las amenazas m\u00e1s da\u00f1inas que actualmente se presentan a las organizaciones. Estar preparados para evitarlo, y llegado el caso combatirlo, es una tarea fundamental dentro de cualquier compa\u00f1\u00eda. Con una serie de medidas b\u00e1sicas de seguridad ciertamente podremos reducir su tasa de \u00e9xito<\/em>. Resolverlo, sin embargo, a posteriori, resultar\u00e1 una tarea \u201calgo m\u00e1s compleja\u201d<\/em>.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

<\/p>\n","protected":false},"excerpt":{"rendered":"

Las recomendaciones para reducir el impacto de un ataque de rasomware no son infalibles. Lo cierto es que no siempre ser\u00e1 posible evitar sus perversos efectos.
\nSi desafortunadamente el ataque de un ransomware ha tenido \u00e9xito, no deber\u00edamos desfallecer y prepararnos para ser metodol\u00f3gicos y cuidadosos con nuestros siguientes pasos.<\/p>\n","protected":false},"author":3,"featured_media":1954,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[2,28],"tags":[61],"yoast_head":"\nRansomware, \u00bfqu\u00e9 hacer si hemos sido atacados? - all4sec.es<\/title>\n<meta name=\"description\" content=\"Ransomware, \u00bfqu\u00e9 hacer si hemos sido atacados? Recomendaciones y pasos sencillos para recuperar el control de nuestros sistemas\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/all4sec.es\/blog\/index.php\/2021\/12\/17\/ransomware-que-hacer-si-hemos-sido-atacados\/\" \/>\n<meta property=\"og:locale\" content=\"es_ES\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Ransomware, \u00bfqu\u00e9 hacer si hemos sido atacados? - all4sec.es\" \/>\n<meta property=\"og:description\" content=\"Ransomware, \u00bfqu\u00e9 hacer si hemos sido atacados? Recomendaciones y pasos sencillos para recuperar el control de nuestros sistemas\" \/>\n<meta property=\"og:url\" content=\"https:\/\/all4sec.es\/blog\/index.php\/2021\/12\/17\/ransomware-que-hacer-si-hemos-sido-atacados\/\" \/>\n<meta property=\"og:site_name\" content=\"all4sec.es\" \/>\n<meta property=\"article:published_time\" content=\"2021-12-17T09:12:17+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2021-12-17T09:12:19+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2021\/12\/RR-1-binary-gd683e78cf_1920.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"1280\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Juanjo Galan\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"Juanjo Galan\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tiempo de lectura\" \/>\n\t<meta name=\"twitter:data2\" content=\"4 minutos\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/all4sec.es\/blog\/index.php\/2021\/12\/17\/ransomware-que-hacer-si-hemos-sido-atacados\/\",\"url\":\"https:\/\/all4sec.es\/blog\/index.php\/2021\/12\/17\/ransomware-que-hacer-si-hemos-sido-atacados\/\",\"name\":\"Ransomware, \u00bfqu\u00e9 hacer si hemos sido atacados? - all4sec.es\",\"isPartOf\":{\"@id\":\"https:\/\/all4sec.es\/blog\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/all4sec.es\/blog\/index.php\/2021\/12\/17\/ransomware-que-hacer-si-hemos-sido-atacados\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/all4sec.es\/blog\/index.php\/2021\/12\/17\/ransomware-que-hacer-si-hemos-sido-atacados\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2021\/12\/RR-1-binary-gd683e78cf_1920.jpg\",\"datePublished\":\"2021-12-17T09:12:17+00:00\",\"dateModified\":\"2021-12-17T09:12:19+00:00\",\"author\":{\"@id\":\"https:\/\/all4sec.es\/blog\/#\/schema\/person\/d8839fb727b62b7c4e8598b89fdaafa9\"},\"description\":\"Ransomware, \u00bfqu\u00e9 hacer si hemos sido atacados? Recomendaciones y pasos sencillos para recuperar el control de nuestros sistemas\",\"breadcrumb\":{\"@id\":\"https:\/\/all4sec.es\/blog\/index.php\/2021\/12\/17\/ransomware-que-hacer-si-hemos-sido-atacados\/#breadcrumb\"},\"inLanguage\":\"es\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/all4sec.es\/blog\/index.php\/2021\/12\/17\/ransomware-que-hacer-si-hemos-sido-atacados\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/all4sec.es\/blog\/index.php\/2021\/12\/17\/ransomware-que-hacer-si-hemos-sido-atacados\/#primaryimage\",\"url\":\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2021\/12\/RR-1-binary-gd683e78cf_1920.jpg\",\"contentUrl\":\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2021\/12\/RR-1-binary-gd683e78cf_1920.jpg\",\"width\":1920,\"height\":1280},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/all4sec.es\/blog\/index.php\/2021\/12\/17\/ransomware-que-hacer-si-hemos-sido-atacados\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Portada\",\"item\":\"https:\/\/all4sec.es\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Ransomware, \u00bfqu\u00e9 hacer si hemos sido atacados?\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/all4sec.es\/blog\/#website\",\"url\":\"https:\/\/all4sec.es\/blog\/\",\"name\":\"all4sec.es\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/all4sec.es\/blog\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"es\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/all4sec.es\/blog\/#\/schema\/person\/d8839fb727b62b7c4e8598b89fdaafa9\",\"name\":\"Juanjo Galan\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/all4sec.es\/blog\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/a3f0814447c3b2bad83feb430187bee0?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/a3f0814447c3b2bad83feb430187bee0?s=96&d=mm&r=g\",\"caption\":\"Juanjo Galan\"},\"url\":\"https:\/\/all4sec.es\/blog\/index.php\/author\/juanjo\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Ransomware, \u00bfqu\u00e9 hacer si hemos sido atacados? - all4sec.es","description":"Ransomware, \u00bfqu\u00e9 hacer si hemos sido atacados? Recomendaciones y pasos sencillos para recuperar el control de nuestros sistemas","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/all4sec.es\/blog\/index.php\/2021\/12\/17\/ransomware-que-hacer-si-hemos-sido-atacados\/","og_locale":"es_ES","og_type":"article","og_title":"Ransomware, \u00bfqu\u00e9 hacer si hemos sido atacados? - all4sec.es","og_description":"Ransomware, \u00bfqu\u00e9 hacer si hemos sido atacados? Recomendaciones y pasos sencillos para recuperar el control de nuestros sistemas","og_url":"https:\/\/all4sec.es\/blog\/index.php\/2021\/12\/17\/ransomware-que-hacer-si-hemos-sido-atacados\/","og_site_name":"all4sec.es","article_published_time":"2021-12-17T09:12:17+00:00","article_modified_time":"2021-12-17T09:12:19+00:00","og_image":[{"width":1920,"height":1280,"url":"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2021\/12\/RR-1-binary-gd683e78cf_1920.jpg","type":"image\/jpeg"}],"author":"Juanjo Galan","twitter_card":"summary_large_image","twitter_misc":{"Escrito por":"Juanjo Galan","Tiempo de lectura":"4 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/all4sec.es\/blog\/index.php\/2021\/12\/17\/ransomware-que-hacer-si-hemos-sido-atacados\/","url":"https:\/\/all4sec.es\/blog\/index.php\/2021\/12\/17\/ransomware-que-hacer-si-hemos-sido-atacados\/","name":"Ransomware, \u00bfqu\u00e9 hacer si hemos sido atacados? - all4sec.es","isPartOf":{"@id":"https:\/\/all4sec.es\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/all4sec.es\/blog\/index.php\/2021\/12\/17\/ransomware-que-hacer-si-hemos-sido-atacados\/#primaryimage"},"image":{"@id":"https:\/\/all4sec.es\/blog\/index.php\/2021\/12\/17\/ransomware-que-hacer-si-hemos-sido-atacados\/#primaryimage"},"thumbnailUrl":"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2021\/12\/RR-1-binary-gd683e78cf_1920.jpg","datePublished":"2021-12-17T09:12:17+00:00","dateModified":"2021-12-17T09:12:19+00:00","author":{"@id":"https:\/\/all4sec.es\/blog\/#\/schema\/person\/d8839fb727b62b7c4e8598b89fdaafa9"},"description":"Ransomware, \u00bfqu\u00e9 hacer si hemos sido atacados? Recomendaciones y pasos sencillos para recuperar el control de nuestros sistemas","breadcrumb":{"@id":"https:\/\/all4sec.es\/blog\/index.php\/2021\/12\/17\/ransomware-que-hacer-si-hemos-sido-atacados\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/all4sec.es\/blog\/index.php\/2021\/12\/17\/ransomware-que-hacer-si-hemos-sido-atacados\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/all4sec.es\/blog\/index.php\/2021\/12\/17\/ransomware-que-hacer-si-hemos-sido-atacados\/#primaryimage","url":"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2021\/12\/RR-1-binary-gd683e78cf_1920.jpg","contentUrl":"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2021\/12\/RR-1-binary-gd683e78cf_1920.jpg","width":1920,"height":1280},{"@type":"BreadcrumbList","@id":"https:\/\/all4sec.es\/blog\/index.php\/2021\/12\/17\/ransomware-que-hacer-si-hemos-sido-atacados\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Portada","item":"https:\/\/all4sec.es\/blog\/"},{"@type":"ListItem","position":2,"name":"Ransomware, \u00bfqu\u00e9 hacer si hemos sido atacados?"}]},{"@type":"WebSite","@id":"https:\/\/all4sec.es\/blog\/#website","url":"https:\/\/all4sec.es\/blog\/","name":"all4sec.es","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/all4sec.es\/blog\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/all4sec.es\/blog\/#\/schema\/person\/d8839fb727b62b7c4e8598b89fdaafa9","name":"Juanjo Galan","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/all4sec.es\/blog\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/a3f0814447c3b2bad83feb430187bee0?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/a3f0814447c3b2bad83feb430187bee0?s=96&d=mm&r=g","caption":"Juanjo Galan"},"url":"https:\/\/all4sec.es\/blog\/index.php\/author\/juanjo\/"}]}},"_links":{"self":[{"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/posts\/1950"}],"collection":[{"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/comments?post=1950"}],"version-history":[{"count":9,"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/posts\/1950\/revisions"}],"predecessor-version":[{"id":1965,"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/posts\/1950\/revisions\/1965"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/media\/1954"}],"wp:attachment":[{"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/media?parent=1950"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/categories?post=1950"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/tags?post=1950"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}