Mantén el sistema operativo y las aplicaciones de los dispositivos corporativos actualizados.
- Aplica los últimos parches y asegura que el software crítico está actualizado, incluído el de los dispositivos móviles.
- Habilita la opción de actualizaciones automáticas si es posible. Disponer de las últimas actualizaciones asegurará que los dispositivos no sólo son más seguros, sino que funcionarán mejor.
- Valora si antivirus y productos de antimalware son necesarios y mantenlos actualizados.
- Lleva a cabo escaneos regulares para asegurar que tu sistema operativo funciona eficientemente.
- Considera el uso de un sistema de gestión de parches y usa una estrategia de gestión de riesgos para determinar qué sistemas deberían ser parte del programa de gestión de parches.
- Realiza copias de seguridad de manera regular, tanto online como offline. Las copias de seguridad actualizadas son la forma más efectiva de recuperarse de un ataque de ransomware.
- Asegura la creación de copias de seguridad offline que estén situadas en una localización diferente a la de tu red y sistemas, o incluídas en un servicio en la nube diseñado para ese propósito. Ten en cuenta que el ransomware se dirige activamente a las copias de seguridad para incrementar la probabilidad de que las víctimas paguen para recuperar sus datos.
Conoce tus activos y compartiméntalos.
Los datos sensibles han de ser tratados de manera diferente al resto de datos.
- Almacena los datos sensibles en localizaciones compartimentalizadas.
- Implementa y garantiza una efectiva segregación de la red, para limitar los movimientos de los adversarios de una red a otra.
- Asegura una compartimentalización de áreas con diferentes características y perfiles de seguridad, aislando y limitando el acceso a esos segmentos que están más expuestos a las amenazas.
Asegura el acceso al Protocolo de Escritorio Remoto (RDP)
Limita el acceso a recursos sobre redes, especialmente restringiendo el protocolo RDP. Después de una gestión de riesgos apropiada, en caso de que RDP sea absolutamente necesario para tu organización, restringe las fuentes de origen y obliga a usar autenticación multifactor.
Monitoriza la exfiltración de datos.
Muchas campañas de ransomware incluyen la amenaza de publicar datos, lo que anima a los negocios a pagar el rescate. Cuánto antes la exfiltración sea detectada, menor será el daño que la publicación pueda generar. Monitorizar la exfiltración de datos proporciona visibilidad de exactamente qué datos se encuentran en riesgo de exposición.
No hay garantía de que el atacante no publique los datos o los reuse para llevar a cabo extorsiones adicionales. Considera ambos escenarios como posibles, independientemente de si el rescate es pagado.
Testea tus sistemas.
Lleva a cabo pruebas de penetración de manera regular y chequea los procesos de restauración de información crítica para asegurar que funcionan como se espera.
Reduce la posibilidad de que el contenido malicioso alcance tus redes.
- Deshabilita los entornos de scripting y las macros.
- Configura tus sistemas para inspeccionar de manera activa el contenido, permitiendo únicamente algunos tipos de ficheros y bloqueando sitios web, aplicaciones, protocolos, etc, que sean conocidos por su maliciosidad.
- A nivel de red, considera el filtrado de tráfico de red, implementando políticas de monitorización, filtrado y bloqueo de tráfico ilegítimo o malicioso para que no alcance tus redes.
- Implementa reglas de filtrado basadas en inteligencia activa de amenazas para prevenir que los usuarios accedan a sitios web maliciosos, direcciones IP, URLs de phishing, proxies anónimos, Tor, y otros servicios de anonimización, etc.
Usa contraseñas complejas y modifícalas de manera regular.
- Números, símbolos y combinaciones de mayúsculas y minúsculas ayudarán a crear contraseñas más robustas.
- Forma y anima a tus empleados a usar contraseñas complejas tanto en su ámbito personal como profesional, promocionando el uso de un gestor de contraseñas.
Usa autenticación robusta.
Requiere autenticación multifactor para el acceso a cuentas en redes críticas minimizando el riesgo de acceso a través de credenciales robadas o hackeadas.
Gestiona el uso de cuentas privilegiadas.
- Restringe la posibilidad de que tus empleados instalen y ejecuten software en dispositivos corporativos.
- Asegura que las cuentas de usuario y de sistema estén limitadas a través de políticas de uso, control de cuentas de usuario y gestión de cuentas de acceso privilegiadas.
- Organiza los permisos de acceso basados en el principio de menor privilegio, necesidad de conocer y segregación de responsabilidades. El posible compromiso de una cuenta privilegiada podría resultar en una exposición mucho mayor que la de una cuenta regular.
Securiza los equipos de teletrabajo.
- Implementa medidas como el cifrado de disco, los timeouts de inactividad, las pantallas privadas, la autenticación robusta, la deshabilitación de bluetooth y el control y cifrado de dispositivos extraibles (p.ej dispositivos USB).
- Implementa un procedimiento para deshabilitar el acceso remoto a un dispositivo que ha sido perdido o robado.
Instala aplicaciones sólo de fuentes confiables.
Las empresas deberían permitir únicamente la instalación de apps de fuentes oficiales en aquellos dispositivos que se conectan a la red corporativa. Como opción, considera el desarrollo de una aplicación empresarial que permita el acceso, la descarga y la instalación de las apps autorizadas por la corporación. Consulta con los proveedores de seguridad para desarrollar tus propias aplicaciones.
Desconfía del acceso a los datos de la compañía a través de redes Wi-Fi públicas.
En general, las redes Wi-Fi públicas no son seguras. Si un empleado está accediendo a datos corporativos usando una conexión Wi-Fi gratuita en un aeropuerto o cafetería, los datos pueden estar siendo expuestos a actores maliciosos. Se aconseja que las compañías desarrollen políticas de uso en este sentido.
Proporciona a tus empleados formación y educación en ciberseguridad.
- Educa a tus empleados sobre las políticas de la compañía en seguridad online. Tómate el tiempo para concienciar de las ciber amenazas, especialmente el phishing y la ingeniería social, así como qué hacer si se encuentran con actividad sospechosa.
- Considera la implementación de programas de formación que incluyan la simulación de ataques de spear phishing para evitar que los empleados accedan a sitios web maliciosos o abran archivos adjuntos maliciosos.
- Proporciona a tus empleados con mecanismos para reportar correos de phishing y prémiales cuándo lo hagan. Un sistema de puntos o un banner agradeciéndolo podría animar a los empleados a reportar lo que encuentren sospechoso.
Explora la posibilidad de seguros que cubran incidentes cibernéticos.
Considera contactar con un agente de seguros que ofrezca cobertura en caso de ciberataques.
Habilita los cortafuegos locales.
Habilita los cortafuegos locales para asistir en el acceso no autorizado.
Deshabilita Windows Powershell.
Si no lo usas, deshabilita Windows Powershell. Algunas variantes de ransomware usan Powershell para ejecutarse.
Infectado…. ¿Qué hacer a continuación?
- 1) Desconecta inmediatamente, pero no apagues los dispositivos infectados de las redes, ya sean conexiones cableadas, wireless o a través de teléfonos móviles.
- 2) En casos severos, considera apagar la Wi-Fi deshabilitando cualquier conexión de red nuclear (incluyendo switches), siendo la desconexión de Internet en algunos casos necesaria.
- 3) Resetea las credenciales, incluyendo contraseñas (especialmente de administradores y otras cuentas de sistema), pero verifica que no estás bloqueando tu acceso a los sistemas que son necesarios para la recuperación.
- 4) Reporta el incidente a tu Policía Nacional u otra autoridad competente.
- 5) Preserva cualquier evidencia, en coordinación con las autoridades competentes investigando el ataque: crea imágenes forenses de los sistemas afectados (o una instantánea del sistema), crea un volcado de RAM de los sistemas afectados, y preserva cualquier tráfico de red o logs.
- 6) Visita www.nomoreransom.org para comprobar si tu compañía ha sido afectada por una variante de ransomware para la cual existen herramientas de descifrado disponibles y gratuitas. Si no es el caso, procede con los pasos de recuperación.
- 7) Borra de manera segura los sistemas infectados y reinstala el SO.
- 8) Antes de restaurar una copia de seguridad, verifica que no está infectada. Deberías sólo restaurar si tienes confianza que la copia de seguridad y el dispositivo al que te estás conectando están libres de malware.
- 9) Conecta los dispositivos a una red segura para descargar, instalar y actualizar el SO y otros software.
- 10) Instala, actualiza, y ejecuta software de antivirus.
- 11) Reconecta los dispositivos a la red.
- 12) Monitoriza el tráfico de red y ejecuta escaneos de antivirus para identificar si persiste la infección.