{"id":3030,"date":"2022-04-19T15:55:49","date_gmt":"2022-04-19T20:55:49","guid":{"rendered":"https:\/\/cert.pa\/?p=3030"},"modified":"2022-04-19T15:55:49","modified_gmt":"2022-04-19T20:55:49","slug":"ransomware-estoy-preparado","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=3030","title":{"rendered":"Ransomware, \u00bfEstoy preparado?"},"content":{"rendered":"\n<p><\/p>\n\n\n\n<p><strong>\u00bfQu\u00e9 es ransomware?<\/strong><\/p>\n\n\n\n<p>El Ransomware o secuestro de informaci\u00f3n, es una pieza de software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de inutilizar nuestros equipos cifrando archivos, bases de datos o incluso el mismo sistema operativo para luego pedir un rescate por la liberaci\u00f3n de los mismos.<\/p>\n\n\n\n<p><strong>\u00bfComo reducir el riesgo de ransomware?<\/strong><\/p>\n\n\n\n<p>Algunas medidas que pueden ayudarnos a prevenir el ransomware por medio del endurecimiento del sistema operativo son las siguientes:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Desactivaci\u00f3n de la ejecuci\u00f3n autom\u00e1tica de unidades externas<\/li><li>Eliminaci\u00f3n del uso de unidades compartidas y bloc de notas<\/li><li>Control de acceso en carpetas<\/li><\/ul>\n\n\n\n<p>Utilice la autenticaci\u00f3n basada en roles y aplique reglas de privilegios m\u00ednimos a estos roles.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Protecci\u00f3n en comunicaciones remotas de PowerShell<\/li><li>Desactivaci\u00f3n de Windows Script Host<\/li><\/ul>\n\n\n\n<p>Windows Script Host (WSH) es el encargado de ejecutar archivos com\u00fanmente conocidos como \u2018macros\u2019, como es el caso de los archivos JScript y VBScript, que son ampliamente utilizados para desplegar malware en los equipos.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Desactivaci\u00f3n de las macros de los ficheros Office enviados a trav\u00e9s de email<\/li><\/ul>\n\n\n\n<p>El \u2018modo protegido\u2019 predeterminado de Microsoft Office impide que las macros de un documento Office se ejecuten de forma autom\u00e1tica sin aprobaci\u00f3n del usuario. Sin embargo, en ocasiones, los actores maliciosos logran enga\u00f1ar a los usuarios para que deshabiliten el \u2018modo protegido\u2019 y ejecuten las macros. Un ejemplo de la t\u00e9cnica de enga\u00f1o consiste en un documento de Word malicioso que presenta un formato algo confuso, con caracteres extra\u00f1os y una nota legible que dice algo similar a: \u2018Si el documento no tiene el formato correcto, por favor, habilite las macros\u2019.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Activaci\u00f3n de la visualizaci\u00f3n de extensi\u00f3n de archivos<\/li><li>Control por medio del visor de eventos de Windows<\/li><\/ul>\n\n\n\n<p><strong>Copias de respaldo.<\/strong><\/p>\n\n\n\n<p>Si un c\u00f3digo de ransomware ya ha sido ejecutado es muy improbable que se logre revertir ya que ocupan algoritmos de cifrado muy fuertes. Para ello la mejor forma de volver a operaciones es mediante la restauraci\u00f3n de una copia de seguridad.<\/p>\n\n\n\n<p>Seg\u00fan las buenas pr\u00e1cticas estos son aspectos clave que hay que tomar en cuenta a la hora de programar nuestros backups:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Periodicidad: \u00c9sta depender\u00e1 de la criticidad de los datos y la frecuencia con la que \u00e9stos se modifiquen. Realizar una copia de seguridad semanalmente suele ser correcto para la mayor\u00eda de casos.<\/li><li>N\u00famero de r\u00e9plicas: Se recomienda aplicar la regla \u20183-2-1\u2019, que consiste en realizar, al menos, tres&nbsp;<em>backup<\/em>&nbsp;de datos, donde dos de dichas copias deben estar guardadas en plataformas diferentes, como, por ejemplo, en un disco externo y en la nube. La tercera copia de seguridad se recomienda alojarla en una ubicaci\u00f3n diferente a las anteriores. As\u00ed, en caso de que ocurra alg\u00fan incidente, incluyendo incendios o hurtos, se evitar\u00eda que todas las copias se vieran afectadas.<\/li><li>Acceso desde la Red: Se recomienda que las copias sean inaccesibles desde la red, es decir, que no presten servicio desde la misma. En el caso de que esto no sea posible, como ocurre con los&nbsp;<em>backup<\/em>&nbsp;en la nube, se recomienda que las dos copias de seguridad restantes no lo est\u00e9n. Esta medida hace frente a las nuevas capacidades de los ataques&nbsp;<em>ransomware<\/em>&nbsp;de enumerar y recorrer todas las unidades del equipo infectado, incluyendo los discos externos o USB conectados. Este hecho tambi\u00e9n afectar\u00eda a programas como OneDrive o Dropbox, ya que trabajan con unidades locales del equipo.<\/li><li>Revisi\u00f3n peri\u00f3dica: con el fin de asegurar que las copias de seguridad y los sistemas que las realizan funcionan correctamente y se pueden restaurar, estas deben ser probadas cada cierto tiempo, siguiendo un procedimiento de recuperaci\u00f3n.<\/li><\/ul>\n\n\n\n<p><strong>Fomento de educaci\u00f3n y concienciaci\u00f3n de usuarios<\/strong><\/p>\n\n\n\n<p>Gran parte del \u00e9xito de las campa\u00f1as de ransomware, es que utilizan com\u00fanmente como vector de ataque a los correos electr\u00f3nicos. Esto impacta directamente al eslab\u00f3n m\u00e1s d\u00e9bil de la cadena (usuario). Cuando un usuario es afectado, el malware se puede ir moviendo en la red y afectando otros equipos.<\/p>\n\n\n\n<p>Fomentar la educaci\u00f3n de los usuarios en materia de&nbsp;<a href=\"https:\/\/www.incibe.es\/protege-tu-empresa\/kit-concienciacion\" target=\"_blank\" rel=\"noreferrer noopener\">ingenier\u00eda social<\/a>&nbsp;es vital para reducir el alcance de ataques como el ransomware. Los usuarios son el objetivo de estos ataques, por lo que, si conocen la amenaza y sus posibles formas de ataque, se reducir\u00eda la probabilidad de que, por ejemplo, ejecutaran un archivo malicioso descargado de un adjunto en un correo electr\u00f3nico o tras abrir una pesta\u00f1a emergente del navegador.<\/p>\n\n\n\n<p><strong>\u00bfQu\u00e9 hacer si soy v\u00edctima de un ataque de Ransomware?<\/strong><\/p>\n\n\n\n<p>Las recomendaciones de los pasos a seguir son los siguientes:<\/p>\n\n\n\n<ol class=\"wp-block-list\" type=\"1\"><li>Recomendamos nunca pagar el rescate solicitado por los ciberdelincuentes, esta acci\u00f3n promueve el cibercrimen y muchas veces resulta ser un enga\u00f1o por parte de los ciberdelincuentes que utilizan el activo robado para continuar con la manipulaci\u00f3n y sacar m\u00e1s provecho econ\u00f3mico.&nbsp; Los ramsomware actuales no solo cifran los activos, sino que copian en equipos externo la informaci\u00f3n para volver hacer la extorsi\u00f3n en el futuro.<\/li><li>Reportar la incidencia al CERT correspondiente y al ente superintendente de acuerdo al sector al que pertenezca. El CSIRT Panam\u00e1 es el CERT Nacional correspondiente para reportar estas incidencias en Panam\u00e1, mediante el correo <a href=\"mailto:info@cert.pa\">info@cert.pa<\/a><\/li><li>Identificar la causa ra\u00edz del ataque, para el momento de restaurar los respaldos puedan asegurar esas posibles brechas de seguridad en los equipos.<\/li><li>Limpiar los equipos infectados y restaurar las copias de seguridad, ya sean snapshot, backup de bases de datos o system restore de equipos. &nbsp;<\/li><\/ol>\n\n\n\n<p><strong>Conclusi\u00f3n<\/strong><\/p>\n\n\n\n<p>Debido a que cada vez es m\u00e1s com\u00fan la utilizaci\u00f3n del ransomware, ya sea en busca de un beneficio econ\u00f3mico o simplemente interrumpir un servicio para afectar la operaci\u00f3n de la empresa, es de suma importancia tomar conciencia y elevar el nivel de seguridad tanto en la infraestructura, procedimientos de respaldo, como la desinformaci\u00f3n presente en nuestros usuarios, para reducir el n\u00famero de incidencias de ransomware o cualquier otro malware en la red.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u00bfQu\u00e9 es ransomware? El Ransomware o secuestro de informaci\u00f3n, es una pieza de software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de inutilizar nuestros equipos cifrando archivos, bases de datos&#8230;<\/p>\n","protected":false},"author":4,"featured_media":3031,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[3],"tags":[],"class_list":["post-3030","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia-y-seguridad"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/3030","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3030"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/3030\/revisions"}],"predecessor-version":[{"id":3032,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/3030\/revisions\/3032"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/3031"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3030"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3030"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3030"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}