Los ataques de ransomware dejaron de ser noticia de primera plana: diario surgen nuevas víctimas. Por esto es que nunca había sido tan importante que las empresas contaran con una estrategia multinivel bien concebida para protegerse contra amenazas de este tipo.

En su mayoría, los ataques de ransomware siguen una metodología bastante común: un empleado muerde el anzuelo de las tácticas de ingeniería social y abre un documento adjunto de correo electrónico, o los atacantes acceden a los sistemas de la empresa vía remota (tras conseguir las contraseñas mediante filtraciones, mediante técnicas de fuerza bruta o comprándolas a agentes de acceso inicial). En algunos casos, los delincuentes explotan vulnerabilidades en el software del lado del servidor. Por ende, para eliminar la mayoría de los problemas:

• Forma a los empleados en seguridad de la información e higiene digital. Si los trabajadores pueden diferenciar un correo electrónico de phishing de uno legítimo y mantener las contraseñas a salvo, se podrán reducir en gran medida las cargas de los departamentos de seguridad de la información.
• Implementa una política estricta que prohíba contraseñas débiles, duplicadas y que requiera el uso de un gestor de contraseñas.
• No uses servicios de escritorio remoto (como el RDP) en redes públicas a menos que sea absolutamente necesario y, si surge la necesidad, configura el acceso remoto solo a través de un canal de VPN seguro.
• Dale prioridad a la instalación de actualizaciones en todos los dispositivos conectados, sobre todo los parches para software crítico (sistemas operativos, navegadores, suites ofimáticas, clientes de VPN, aplicaciones de servidor) y las soluciones para vulnerabilidades que permitan la ejecución remota de código (RCE por sus siglas en inglés) y la escalada de privilegios.

Las herramientas y tecnologías de protección de tu equipo de seguridad de la información deben estar preparadas para las amenazas actuales. Y los propios expertos deberían tener acceso a la información más actual sobre el panorama de amenazas en constante evolución. Por esto, te aconsejamos:

• Usar una inteligencia de amenazas actualizada para mantener a tus expertos actualizado sobre las últimas tácticas, técnicas y pasos a seguir de los ciberdelincuentes.
• Actualizar las soluciones de seguridad oportunamente para que brinden una protección integral contra las amenazas que se asocian de forma más común con la entrega de ransomware (troyanos de acceso remoto (RAT), exploits, botnets).
• Usar herramientas que además de detectar el malware, también rastreen actividades sospechosas en la infraestructura de la empresa (como las soluciones Extended Detection and Response (EDR)).
• Si se cuenta con recursos limitados, considerar la contratación de expertos externos (o el uso de soluciones de detección y respuesta gestionadas (MDR por sus siglas en inglés)
• Monitorizar el tráfico saliente para detectar conexiones no autorizadas desde fuera de la infraestructura de la empresa.
• Supervisar de cerca el uso de lenguajes y herramientas de scripting para el movimiento lateral en la red de la empresa.
• Permanecer actualizados a las noticias sobre ransomware y asegurarte de que tus tecnologías de protección puedan gestionar nuevas cepas.

Aunque puedes confiar en las tecnologías para detectar y contrarrestar el ransomware, siempre conviene contar con un plan por si acaso surge un error. Puede haber diferentes situaciones. Por ejemplo, un infiltrado con malas intenciones, sobre todo uno con derechos de administrador, podría desactivar tu sistema de seguridad. Es importante que el incidente no te tome por sorpresa. Para evitar que los ciberincidentes causen periodos de inactividad:

• Realiza copias de seguridad periódicas de tus datos, especialmente si son críticos para la empresa.
• Garantiza un acceso rápido a esta copia de seguridad en caso de emergencia.