What is the most effective way to prevent ransomware from entering a network through software vulnerabilities?

Regularly patching operating systems and applications is a vital defense against vulnerability exploits.

How does two-factor authentication (2FA) protect against credential theft?

Many ransomware attacks rely on phishing to steal usernames and passwords, thereby gaining access to secured networks or devices. By requiring an additional authentication factor, such as a physical hardware token, 2FA ensures that even if an attacker manages to obtain legitimate login details, they still cannot access the network without that secondary proof of identity.

Why is email security considered a critical tool for ransomware prevention?

Email remains a primary method for spreading ransomware via phishing links or infected attachments. Robust email security services use advanced detection techniques to filter out messages from untrusted sources and block malicious files before they can reach a user's inbox.

What steps can an organization take if a device is already infected with ransomware?

If security teams detect a ransomware infection, they should immediately disconnect the affected machine from all networks to prevent the malware from spreading. Once isolated, they can use anti-malware software to remove the malicious files and attempt to recover the device's data using a secure backup or a specialized decryption tool.

Can data backups prevent a ransomware attack from occurring?

While backups do not stop an initial infection, they are essential for recovery. Maintaining up-to-date copies of information in a secure or offline location reduces the pressure to pay a ransom, as it allows businesses to restore their systems and return to normal operations.

How do DNS filtering and browser isolation help protect users?

These technologies address different web-based threats. DNS filtering prevents users from reaching known malicious websites, while browser isolation adds a layer of safety by keeping web-based attacks and automatic drive-by downloads away from the user’s actual device.

How to prevent ransomware attacks

Cómo prevenir los ataques de ransomware

Realizar copias de seguridad de los datos, actualizar con regularidad el software y utilizar un enfoque de seguridad Zero Trust son formas de evitar que las infecciones de ransomware acaben con una red.

Cómo prevenir los ataques de ransomware

El ransomware es una amenaza en aumento, pero las buenas prácticas de seguridad, como las actualizaciones periódicas del software, las copias de seguridad frecuentes de los datos y la formación de los usuarios en seguridad del correo electrónico, pueden disminuir las probabilidades de que afecte a una organización.

El ransomware es un tipo de software malicioso, o malware, que bloquea archivos y datos y los retiene para pedir un rescate. Suele hacerlo mediante la encriptación de los archivos y datos, y el atacante se queda con la clave de encriptación. El ransomware puede entrar en una red de diferentes maneras: correos electrónicos maliciosos, vulnerabilidades o a través de otras infecciones de malware.

No hay una forma 100 % infalible de evitar que el ransomware entre en una red, pero tomar las siguientes medidas puede reducir considerablemente el riesgo de ataque.

Buenas prácticas para prevenir el ransomware

Aunque los ataques de ransomware son generalizados, existen métodos eficaces para prevenirlos y proteger los datos confidenciales. A continuación, se exponen seis tácticas que las empresas pueden utilizar para prevenir el ransomware.

1. Actualiza el software con regularidad

Una forma habitual de que el ransomware entre y se propague en una red es aprovechando las vulnerabilidades del software obsoleto. Una "vulnerabilidad" es un fallo de software que alguien puede utilizar con fines maliciosos. A medida que se van descubriendo vulnerabilidades, los proveedores de software publican regularmente correcciones para solucionarlas en forma de actualizaciones de software. Si no se actualizan los sistemas operativos y las aplicaciones con regularidad, es como dejar la puerta de una casa sin cerrar para que los ladrones entren directamente.

Por ejemplo, en mayo de 2017, el ransomware WannaCry utilizó la famosa vulnerabilidad "EternalBlue" para infectar a más de 200 000 ordenadores, a pesar de que Microsoft había publicado previamente un parche para la vulnerabilidad.

Los ataques de ransomware también aprovechan las vulnerabilidades para propagarse dentro de una red una vez ya están dentro. Por ejemplo, el ransomware Maze escanea en busca de vulnerabilidades una vez que ya está en una red, y luego utiliza esas vulnerabilidades para infectar tantas máquinas como sea posible.

Para ayudar a prevenir el ransomware, además de muchos otros tipos de ataques, se debe actualizar el software con tanta frecuencia como sea posible. Esto parchará las vulnerabilidades, básicamente volverá a cerrar la puerta principal para que los delincuentes (o los atacantes de ransomware) no puedan entrar.

2. Utilizar la autenticación en dos fases (2FA)

Muchos ataques de ransomware empiezan con una campaña de phishing: se hacen con las credenciales del usuario (nombre de usuario y contraseña), y luego las utilizan para entrar y moverse dentro de una red. En otros casos, los atacantes de ransomware intentan utilizar credenciales conocidas por defecto hasta que encuentran un servidor o una red que las utiliza, y es así como consiguen acceder. (Los ataques Maze han usado esta técnica).

La autenticación en dos fases (2FA) es un enfoque más seguro para autenticar a los usuarios. La 2FA implica la comprobación de un factor adicional, como un token de hardware que solo posee el usuario auténtico. De este modo, aunque un atacante consiga robar una combinación de nombre de usuario y contraseña, no podrá acceder a la red.

3. Mantener los correos electrónicos internos seguros

Una herramienta esencial de prevención de ransomware es la seguridad de correo electrónico. Los ataques de ransomware utilizan diversos métodos para poner en riesgo dispositivos y redes, pero el correo electrónico sigue siendo uno de los más habituales. Muchos ataques de ransomware empiezan con un ataque de phishing, un ataque de spear phishing, o un troyano oculto dentro de un archivo adjunto malicioso de un correo electrónico.

Busca proveedores de seguridad de correo electrónico que incluyan las siguientes áreas clave:

Descubrimiento en entornos de la infraestructura del atacante y campañas de phishing, en colaboración con técnicas de detección basadas en heurísticas y aprendizaje automático, para filtrar correos electrónicos y archivos adjuntos de fuentes no confiables.
Implementación multimodo con opciones flexibles: en líneas, API, registros en diario y conectores.
Protección frente a los cuatro tipos de ataques definidos por Gartner

4. Implementar la seguridad de los puntos finales

Otro paso para prevenir el ransomware es a través de la seguridad de los puntos finales. La seguridad de los puntos finales final es el proceso de proteger de los ataques a dispositivos como portátiles, ordenadores de escritorio, tabletas y teléfonos inteligentes. La seguridad de puntos finales implica lo siguiente:

El software antimalware puede detectar ransomware en los dispositivos, y luego poner en cuarentena los dispositivos infectados para evitar que el malware se propague. Además, algunos ataques de ransomware se propagan mediante infecciones de malware preexistentes: por ejemplo, el ransomware Ryuk suele entrar en las redes a través de dispositivos que ya están infectados con el malware TrickBot. El antimalware puede ayudar a eliminar estas infecciones antes de que den lugar a un ransomware. (Sin embargo, el antimalware sirve de poco una vez que el ransomware se ha activado, y ya ha encriptado archivos y datos).
El control de aplicaciones impide que los usuarios instalen aplicaciones falsas o comprometidas por los atacantes que contengan ransomware.
La encriptación del disco duro no ayuda a detener el ransomware, pero es una parte importante de la seguridad de los puntos de conexión, ya que impide que personas no autorizadas roben datos.

Más información sobre la seguridad de los puntos de conexión.

5. Copias de seguridad de archivos y datos

Realizar con regularidad copias de seguridad de archivos y datos es una práctica recomendada muy conocida para prepararse ante un posible ataque de ransomware. En muchos casos, una organización puede restaurar sus datos a partir de una copia de seguridad en lugar de tener que pagar el rescate para desencriptarlos o reconstruir toda su infraestructura informática desde cero.

Aunque hacer una copia de seguridad de los datos no previene el ransomware, puede ayudar a una organización a recuperarse más rápido de un ataque de ransomware. Sin embargo, la copia de seguridad también se puede infectar, a menos que se aísle del resto de la red.

6. Usar un modelo Zero Trust

Muchas organizaciones piensan que sus redes son como un castillo rodeado por un foso. Las medidas defensivas que protegen el perímetro de la red, como los firewalls y los sistemas de prevención de intrusiones (IPS), mantienen a los atacantes fuera, igual que en la Edad Media un foso mantenía a las fuerzas invasoras fuera de un castillo.

Sin embargo, las organizaciones que adoptan este enfoque de seguridad perimetral son muy vulnerables a los ataques de ransomware. La realidad es que los atacantes consiguen con frecuencia abrir una brecha en el "foso" mediante una variedad de métodos, y una vez que están dentro, prácticamente tienen vía libre para infectar y encriptar toda la red.

Un mejor enfoque a la seguridad de redes es asumir que hay amenazas tanto dentro como fuera del "castillo". Esta filosofía se conoce como Zero Trust.

Los modelos de seguridad Zero Trust mantienen estrictos controles de acceso y no confían en ninguna persona o máquina por defecto, ni siquiera en los usuarios y dispositivos que están dentro del perímetro de red. Dado que Zero Trust supervisa continuamente y reautentica con regularidad tanto a los usuarios como a los dispositivos, puede evitar que se propaguen los ataques de ransomware al denegar el acceso a la red y a las aplicaciones en cuanto se detecta una infección. Zero Trust también sigue el principio del "mínimo privilegio" para el control de acceso, lo que dificulta que el ransomware escale sus privilegios y obtenga el control de una red.

Cloudflare One es una plataforma de la red como servicio (NaaS) de Zero Trust. Combina los servicios de seguridad y redes para conectar de forma segura usuarios, oficinas y centros de datos remotos (un modelo conocido como SASE o filo de servicio de acceso seguro).

¿Quieres más información sobre el ransomware? Profundiza en el tema con estos artículos:

Preguntas frecuentes

¿Cuál es la forma más eficaz de evitar que el ransomware entre en una red a través de vulnerabilidades de software?

La revisión periódica de los sistemas operativos y las aplicaciones es una defensa fundamental contra la explotación de vulnerabilidades.

¿Cómo protege la autenticación en dos fases (2FA) contra el robo de credenciales?

Muchos ataques de ransomware se basan en el phishing para robar nombres de usuario y contraseñas, y así obtener acceso a redes o dispositivos protegidos. Al requerir un factor de autenticación adicional, como un token de hardware físico, la autenticación en dos fases garantiza que, aunque un atacante consiga obtener la información legítima de inicio de sesión, aún no pueda acceder a la red sin esa prueba de identidad secundaria.

¿Por qué la seguridad del correo electrónico se considera una herramienta fundamental para la prevención del ransomware?

El correo electrónico sigue siendo el principal método de propagación de ransomware a través de enlaces de phishing o de archivos adjuntos infectados. Los servicios eficaces de seguridad del correo electrónico utilizan técnicas de detección avanzadas para filtrar los mensajes de fuentes no fiables y bloquear los archivos maliciosos antes de que puedan llegar a la bandeja de entrada de un usuario.

¿Qué medidas puede tomar una organización si un dispositivo ya está infectado con ransomware?

Si los equipos de seguridad detectan una infección de ransomware, deben desconectar inmediatamente el equipo afectado de todas las redes para evitar la propagación del malware. Una vez aislado, pueden utilizar un software antimalware para eliminar los archivos maliciosos e intentar recuperar los datos del dispositivo utilizando una copia de seguridad segura o una herramienta de descifrado especializada. Puede que la recuperación desde el propio dispositivo no sea posible, por lo que es fundamental realizar periódicamente copias de seguridad de los datos para contener los efectos de un ataque de ransomware.

¿Pueden las copias de seguridad de los datos evitar un ataque de ransomware?

Aunque las copias de seguridad no detienen una infección inicial, son fundamentales para la recuperación. El almacenamiento de copias actualizadas de la información en una ubicación segura o sin conexión reduce la presión de tener que pagar un rescate, ya que permite a las empresas restaurar sus sistemas y volver a la normalidad incluso si un ataque de ransomware destruye sus sistemas originales.

¿Cómo mejoran el filtrado de DNS y el aislamiento del navegador la protección de los usuarios?

Estas tecnologías abordan distintas amenazas en la web. El filtrado de DNS evita que los usuarios lleguen a sitios web maliciosos conocidos. Por otro lado, el aislamiento de navegador añade una capa de seguridad, ya que mantiene los ataques web y las descargas no autorizadas automáticas lejos del dispositivo real del usuario. Ambas técnicas ayudan a prevenir muchos tipos de infecciones de malware, incluido el ransomware.