Skip to content Skip to navigation Skip to footer

Cómo prevenir el ransomware

Negociaciones de ransomware y seguro cibernético

Defining Ransomware

Ransomware is malicious code that renders the files and/or operating environment of an endpoint unavailable—be it an end user device or a server—until a payment is made to the cybercriminal.

Cybercriminals use ransomware to take over devices or systems to extort money. Once the malware has been installed, the hacker controls and freezes you out of it until you pay a ransom. In the earliest versions of ransomware, the attackers claimed that after you paid the ransom, you would get a decryption key to regain control of your computer. 

The Evolution of Ransomware

Ransomware has evolved and now there are various types. Some ransomware just encrypt files while others that destroy file systems. Some cybercriminals are solely financially motivated and will indeed return systems to operation after payment. Other types of attackers aren’t and won’t restore operations after payment out of spite or, perhaps, for political or other reasons.

Currently, many ransomware campaigns employ multiple measures and methods to elicit payment. In addition to holding systems for ransom, some cybercriminals steal data and threaten to release it if  ransom is not paid. Other attackers even go so far as to contact the customers whose data they’ve stolen in an attempt to collect payment from them.

Ransomware attacks have crippled entire organizations for hours, days, or longer. The latest ransomware threat class requires much more than just a secure backup and proactive restore process.

Initially, protecting against ransomware with a secure backup and proactive restore process were often enough to get an organization off the hook. However, the latest versions of ransomware require more comprehensive security solutions.

Prevención del ransomware

Hay algunas buenas noticias: Los sofisticados ataques actuales de ransomware, que se realizan en varias etapas, dan a las posibles víctimas u organizaciones varias oportunidades de detener un ataque de ransomware antes del robo de datos o el bloqueo de computadoras o archivos. 

Por supuesto, lo ideal es evitar que el atacante logre entrar para comenzar su misión, pero incluso si entra, la identificación de etapas tempranas, como el descubrimiento en la red, las comunicaciones de comando y control, el movimiento lateral, la recopilación y puesta a disposición de datos, la exfiltración y el cifrado, son fundamentales. Consulte a continuación los consejos sobre prevención de ransomware y cómo responder mejor a un ataque de ransomware.

9 Tips To Reduce Ransomware Risk

1. Nunca haga clic en enlaces no verificados

Si un enlace está en un correo electrónico no deseado o en un sitio web extraño, evítelo. A menudo, los piratas informáticos propagan el ransomware a través de un enlace malicioso que inicia la descarga de un malware. Una vez que el malware está en la computadora, puede cifrar los datos y mantenerlos como rehenes, permitiendo que solo alguien con una clave de descifrado pueda acceder a ellos.

Sin embargo, el malware debe ingresar primero en la computadora y la manera más popular de propagación del ransomware es a través de un enlace malicioso. Si no se ha verificado un enlace, es mejor dejarlo intacto.

2. Escanee los correos electrónicos en busca de malware

La detención del ransomware, el virus informático u otro malware comienza con el escaneo de los comunicados por correo electrónico. Las herramientas de escaneo de correo electrónico detectan a menudo software malicioso. Una vez que el escáner detecta un malware, el correo electrónico puede eliminarse, de modo que ni siquiera llegar a la bandeja de entrada. 

Por lo general, el malware presente en el correo electrónico estará incrustado en un archivo adjunto o dentro de un archivo en el cuerpo del correo electrónico. Se sabe que los piratas informáticos insertan imágenes que parecen inocentes, pero cuando se hace clic en ellas, instalan un ransomware en la computadora. Escanear los correos electrónicos con este tipo de archivos puede evitar que el dispositivo, u otros presentes en la misma red, se infecten.

3. Uso de firewalls (cortafuegos) y protección de punto final

Los firewalls pueden ser una buena solución mientas se aprende a detener los ataques de ransomware. Los firewalls escanean el tráfico proveniente de ambos lados, examinándolo en busca de malware y otras amenazas. De esta manera, un firewall puede determinar de dónde vino un archivo y hacia dónde se dirige, y obtener información sobre cómo viajó, y usar posteriormente estos datos para saber si es probable que contenga un ransomware. 

Además, un firewall de próxima generación (next-generation firewall, NGFW) puede utilizar la inspección profunda de paquetes (deep packet inspection, DPI) para examinar el contenido de los datos en sí en busca de un ransomware y descartar cualquier archivo que lo contenga.

Con la protección de punto final, se protegen puntos finales individuales contra amenazas. Existen ciertos tipos de tráfico que son más propensos a transportar amenazas, y la protección de punto final puede evitar que el dispositivo acceda a esos tipos de datos. Además, los piratas informáticos pueden usar aplicaciones maliciosas para infectar con ransomware los puntos finales. La protección de punto final evitará que los puntos finales designados ejecuten este tipo de aplicaciones.

4. Descargue únicamente desde sitios de confianza

Es común que los piratas informáticos coloquen malware en un sitio web y luego utilicen contenido o ingeniería social para atraer a un usuario que haga clic dentro del sitio. La ingeniería social ejerce presión sobre el usuario, generalmente a través de miedo, para que realice una acción deseada, en este caso, hacer clic en un enlace malicioso.

En muchos casos, el vínculo en sí puede verse inocente. Si usted no está familiarizado con el sitio o si el localizador uniforme de recursos (uniform resource locator, URL) le parece sospechoso aunque el sitio sea de confianza, no toque nada. Los ciberdelincuentes suelen crear sitios falsos que parecen confiables. Siempre verifique dos veces el URL del sitio antes de descargar algo de él.

5. Conserve copias de seguridad de los datos importantes

A los atacantes de ransomware les gusta aprovecharse de los usuarios que dependen de ciertos datos para operar sus organizaciones. A menudo, puesto que los datos forman parte integral de las operaciones cotidianas, una víctima puede pensar que es más cuerdo pagar el rescate y recuperar el acceso a los datos. Se puede evitar esa tentación haciendo copias de seguridad periódicas de los datos importantes.

Si los datos están respaldados en un dispositivo o lugar al que no es necesario que la computadora acceda, usted puede restaurar simplemente los datos que necesita si un ataque tiene éxito. Es importante asegurarse de hacer copias de seguridad frecuentes de todos los datos esenciales, ya que si pasa tiempo suficiente, los datos que tenga podrían ser insuficientes para respaldar la continuidad de sus negocios.

6. Use una VPN cuando recurra a una red pública de Wi-Fi

Las redes públicas de Wi-Fi son convenientes porque es fácil acceder a ellas, a menudo sin contraseña. Lamentablemente, para los piratas informáticos es igual de fácil usar redes públicas de Wi-Fi para propagar ransomware. Siempre que entre en una red pública de Wi-Fi, debe usar una red privada virtual (VPN).

Una VPN cifra los datos que fluyen hacia y desde el dispositivo mientras esté conectado a Internet. En efecto, una VPN forma un “túnel” a través del cual pasan los datos. Para entrar al túnel, el usuario debe tener una clave de cifrado. Además, para leer los datos que pasan por el túnel, un pirata informático necesitaría descifrarlos. Para bloquear un ransomware, la VPN evita que personas ajenas puedan acceder a su conexión e instalar un malware en su ruta o computadora.

7. Use software de seguridad

El software de seguridad puede ser una herramienta poderosa en la prevención del ransomware. Por lo tanto, a menudo se enumera entre las mejores prácticas para prevenir el ransomware. El software de seguridad verifica los archivos que entran en la computadora desde Internet. Cuando se detecta un archivo malicioso, el software evita que entre en la computadora.

El software de seguridad utiliza los perfiles de amenazas y tipos de archivos maliciosos conocidos para determinar cuáles pueden ser peligrosos para la computadora. Para mantenerse actualizado, el software de seguridad suele venir con actualizaciones periódicas gratuitas. El proveedor puede instalarlos automáticamente. A medida que el proveedor toma conocimiento de nuevas amenazas, los perfiles de estas se incluyen en la actualización. Siempre y cuando usted se asegure de que su software se actualice periódicamente, tendrá la mejor protección que el software puede ofrecer.

USD 8 No use dispositivos USB desconocidos

Se puede utilizar un dispositivo de bus en serie universal (USB) para almacenar un archivo malicioso que podría contener ransomware. Ya sea que el USB contenga un archivo ejecutable capaz de infectar la computadora o que el archivo se ejecute automáticamente al insertar el dispositivo USB, un USB aparentemente benévolo puede capturar su computadora en muy poco tiempo.

Los ciberdelincuentes pueden dejar un dispositivo USB por ahí, sabiendo que algunas personas pueden verse tentadas a recogerlo e insertarlo en sus computadoras. El delincuente incluso puede imprimir una etiqueta aparentemente inocente en el dispositivo para hacerlo parecer un regalo gratuito de una empresa de buena reputación. Si alguna vez encuentra un dispositivo USB por ahí, no lo inserte en su computadora. Los USB más seguros son los que se compran en una tienda y vienen sellados dentro de un empaque intacto.

9. Procure no divulgar sus datos personales

Con los datos personales correctos, un ciberdelincuente puede tender una variedad de trampas para introducir el ransomware en su computadora o engañarlo a usted para que lo instale en el dispositivo por mano propia. En muchos casos, las personas usan las mismas contraseñas para sus computadoras que para los sitios web y sus cuentas. Un ciberdelincuente puede usar los datos personales de usted para acceder a una cuenta, y luego usar esa contraseña para introducirse a su computadora e instalar ransomware.

Si no divulga sus datos personales, hace mucho más difícil para un atacante aprovechar este tipo de ataque, en particular porque tendría que encontrar otra forma de averiguar las contraseñas de usted u otra información de su cuenta. También se consideran datos personales los nombres de personas, mascotas o lugares que usted utiliza como respuestas a las preguntas de seguridad de sus cuentas. 

2021 Ransomware Survey Report

How To Defend Against the Growing Challenge of Ransomware

Download our latest Ransomware Survey Report

Cómo responder a un ataque de ransomware

El hecho de que su computadora o red haya sufrido un ataque de ransomware no significa que no se pueda hacer nada para mejorar la situación. En muchos casos, es posible limitar el daño del ransomware si se toman medidas rápidamente.

Aislamiento

Aislar el ransomware es el primer paso que debe dar. Esto puede prevenir ataques de punta a punta, en lo que el ransomware se propaga de un dispositivo a otro a través de las conexiones de la red. El primer paso es apagar el sistema infectado. Al apagarlo, evita que el malware lo utilice para propagar aún más el ransomware. 

También debe desconectar los cables de la red conectados al dispositivo. Esto incluye todo aquello que conecte el dispositivo infectado a la red en sí, o a los dispositivos que la integran. Por ejemplo, el dispositivo podría estar conectado a una impresora vinculada a la red de área local (LAN). Desenchufar la impresora puede evitar que esta sea utilizada para propagar el ransomware.

Además de los cables de hardware, también debe apagar la conexión Wi-Fi del área infectada con el ransomware. La conexión Wi-Fi se puede utilizar como medio para propagar el ransomware a otros dispositivos conectados a la misma red Wi-Fi. Apagar la Wi-Fi puede detener este tipo de propagación de punta a punta antes de que comience. No obstante, si ya comenzó en el momento en que usted se percata de que la computadora fue infectada, apagar la Wi-Fi puede evitar que se propague aún más.

Los dispositivos de almacenamiento conectados a la red también deben desconectarse de inmediato. El ransomware podría localizar el dispositivo de almacenamiento e infectarlo. Si eso ocurre, cualquier dispositivo conectado al sistema de almacenamiento puede infectarse. Esto puede suceder de inmediato o en algún momento futuro. Por lo tanto, si ha sido víctima de un ataque de ransomware, es importante asumir que todos los dispositivos de almacenamiento han sido infectados y limpiarlos antes de permitir que cualquier dispositivo de su red se conecte a ellos.

Identificación

El siguiente paso es determinar el tipo de malware utilizado para infectar el sistema con ransomware. En algunos casos, saber el tipo de malware utilizado puede ayudar al equipo de respuesta a incidentes a encontrar una solución. Las claves de descifrado de algunos ataques de ransomware ya son conocidos, y saber el tipo de malware utilizado puede ayudar al equipo de respuesta a determinar si la clave de descifrado ya está disponible. De ser así, pueden usarla para desbloquear la computadora y frustrar el objetivo del atacante.

Además, el tipo de malware puede ayudar a determinar otras formas de lidiar con la amenaza. Para entender sus opciones de descontaminación, el equipo o consultor externo de tecnología informática (TI) necesitará saber con qué tipo de malware está lidiando, lo que hace de la identificación temprana un paso esencial.

Eliminación del malware

Sobra decir que necesita eliminar el malware, pero la necesidad de realizar este paso es menos importante que el momento en que se hace. Es importante intentar eliminar el malware únicamente después de haber realizado los pasos anteriores de aislamiento e identificación. Si intenta eliminar el malware antes de aislarlo, este podría usar el tiempo que usted tarde en desinstalarlo para propagarse a otros dispositivos conectados a la red.

Además, si elimina el malware antes de poder identificarlo, puede perder la oportunidad de recopilar información acerca de este que podría ser útil para el personal de respuesta a incidentes, los consultores externos o las fuerzas del orden público.

Una vez tomadas las medidas anteriores, eliminar el malware puede evitar que llegue a otros dispositivos. Aunque la computadora ya no esté conectada a la red, el malware podría propagarse en una fecha posterior si no es eliminado.

Recuperación de la información

Tan pronto como contenga el ataque y la computadora se encuentre asegurada y limpia, debe comenzar a recuperar sus datos. Esto puede ayudarle a asegurar la continuidad de su empresa y aumentar su resiliencia, en especial si los datos se respaldaron recientemente.

La recuperación de datos satisfactoria depende de la presencia de un programa de recuperación de datos implementado antes del ataque. Por ejemplo, si los datos se respaldan varias veces al día, un ataque afectará solo unas horas, en el peor de los casos. Puede utilizar servicios basados en la nube o hardware interno para hacer copias de seguridad de sus datos, siempre y cuando pueda acceder desde un dispositivo diferente al servicio que utilice. Para asegurar el acceso podría ser necesario almacenar la información de inicio de sesión de manera segura, en vez de guardarla simplemente en los dispositivos que acceden al lugar de almacenamiento de las copias de respaldo.

Jamás pague el rescate

Una vez que un ataque de ransomware se afianza, puede ser tentador pagar el rescate. Es posible que el usuario razone que perderá más dinero del que pide el atacante conforme pase el tiempo. Por ejemplo, si los sistemas esenciales se bloquean y los clientes no pueden hacer compras, las pérdidas podrían a miles de dólares en poco tiempo. Si el atacante pide unos cientos de dólares, posiblemente piense que pagar es la opción prudente. Sin embargo, no es así.

De manera similar a los secuestradores y terroristas, que mantienen personas cautivas, los piratas informáticos dependen de los ataques de ransomware para extorsionar a sus víctimas. Si los usuarios se niegan a pagar el rescate, los atacantes podrían pensarlo dos veces antes de recurrir a un ransomware e invertir sus energías en algo posiblemente más rentable. Por lo tanto, cuando usted se niega a pagar el rescate, ayuda a otras personas que podrían ser víctimas en el futuro.

Además, si paga una vez, los atacantes saben que es probable que vuelva a pagar si vuelve a enfrentar una situación similar. Por lo tanto, al pagar, usted se identifica como un objetivo potencialmente lucrativo para futuros ataques.

¿Cuándo se debe pagar el rescate? (Y cuándo no)

En términos generales, nunca se debe pagar el rescate. Pagar puede indicarle al atacante que podrá salirse con la suya al extorsionarlo, e invitarlo a regresar más adelante para un segundo ataque. Además, perjudica a otros porque envía un mensaje a la comunidad de piratas informáticos de que el ransomware sigue siendo un vector de ataque eficaz. Además, tenga en cuenta que una vez que pague el rescate, no hay garantía de que el atacante le permita recuperar la información de su computadora.

Sin embargo, negarse puede ser más fácil de decir que de hacer, en especial cuando no se cuenta con respaldos adecuados o con un plan de resiliencia. Aunque nunca es aconsejable pagar el rescate, es posible que tenga que sopesar las consecuencias antes de tomar una decisión final. Conviene tener presentes los siguientes factores:

  1. Cuánto costará recuperar los datos perdidos
  2. Si su seguro cibernético, si cuenta con uno, puede absorber parte del costo
  3. Cuáles son las probabilidades de que el operador del rasomware atacante específico descifrará los sistemas después del pago

¿Cómo puede ayudarle Fortinet?

Security Fabric de Fortinet ofrece una amplia gama de productos y servicios que se pueden implementar en toda la superficie de ataque digital y a lo largo de la cadena de ataque cibernético, para reducir el riesgo y el impacto potencial del ransomware. Dichos productos y servicios pueden ayudar a las organizaciones a prepararse para, y prevenir incidentes de ransomware, detectarlos y responder a ellos si ocurren, y reforzar a los equipos internos, según sea necesario.

El nivel de exposición actual, el apetito de riesgo, la situación de la licencia de uso, las habilidades de seguridad de cada organización y otros factores, determinarán cuáles productos y servicios son más apropiados en un momento dado, pero las opciones son:

  1. Preparación:  Servicio de preparación para incidentes, Gestión de la superficie de ataque FortiRecon, Simulación de ataque de violación FortiTester. Capacitación y concienciación sobre InfoSec
  2. Prevención: Firewall de próxima generación FortiGate, Puerta de enlace de correo electrónico de seguridad FortiMail, Firewall de aplicación web FortiWeb, Seguridad de punto final moderna FortiEDR, Análisis de espacio seguro en línea FortiSandbox
  3. Detección: FortiDeceptor, Detección y respuesta extendida FortiXDR, Detección y respuesta de red FortiNDR
  4. Respuesta: FortiAnalyzer, FortiSIEM, FortiSOAR, Servicio de respuesta a incidentes FortiGuard
  5. Aumento: FortiGuard SOCaaS, Detección y respuesta gestionadas FortiGuard

Enlaces rápidos

links image 1 139x100

Demo gratuita de producto

Conozca las principales funcionalidades y capacidades, y experimente las interfaces de usuarios
resource center icon 139X159

Centro de Recursos

Descargue una amplia variedad de materiales educativos y documentos
links image 2 139x121

Prueba gratuita

Examine nuestros productos y soluciones
contact sales icon 139x85

Contacto de ventas

¿Tiene una pregunta? Estamos para ayudarlo