En este post no hablaremos del último CVE en *** o del último APT del banco de no se donde. Hoy vamos a hablar de algo muchos menos interesante, ya aburre, pero es lo que estamos sufriendo las empresas y es el famoso Ransomware.

Muchas veces los informáticos somos amigos del "programa X" o del "comando y" o incluso del "Sistema operativo Z" porque es más seguro... Muchas veces, o casi siempre, somos nosotros mismos nuestros peores enemigos.

Haciendo trabajos de consultoría y auditoría contactas con muchos profesionales que... en pocas palabras... flipas...

Yo he oido de todo, pero no "por internet"... sino delante mia, en la misma habitación !!! Recuerdo algunos así sueltos como: mi hosting tiene tecnología 100% anti hackers. Mi red tiene un doble anillo de seguridad...Tengo el firewall XXXX... Mil tonterias que en algunos casos merecía la pena preguntar qué creía que tenía, y en otros casos solo callar, afirmar, poner cara de interesado y pensar en la tostada con tomate del bar de la puerta...

Me gusta mucho poner similitudes, y no hay una mejor que la de "Se tu propio Chicote". Cuando ves este programa y ves la mierda chorrear por la cocina, no entiendes como el propietario no lo ve, pero a veces nos cegamos por la cercanía, por el ego, por la falta de visión transversal, por problemas con negocio, por mil cosas, pero más o menos las soluciones están ya escritas.


Voy a poner otro ejemplo, algo con lo que por desgracia siempre tengo en mente, la dieta. Yo creo que todo el mundo sabe qué hacer para mantener un estado de forma saludable, pero siempre buscas "la dieta" el "papelico con las comidas" las "pautas" el "motivador"... si está muy claro !!!! pero en el subsconsciente, los que tenemos este problema, siempre buscamos la "pastilla mágica" la solución.

Cuando hablas de Ransomware, ocurre lo mismo. TODOS sabemos qué hay que hacer, pero siempre esperas que tu empresa de confianza, tu producto, tu blog favorito... te de las pautas concretas. Seguro que las sabes.

Voy a intentar daros unos consejos básicos, muy concretos, y si crees que puedes ayudar a crear una mejor lista, prometo actualizarlo.

Resumen de medidas



  • Backup de los datos en formato 3,2,1. De los datos. Algo que llevamos diciendolo desde la saciedad, y claro, si lo llevas a cabo te aburre leerlo, pero ¿y la cantidad de gente que no lo hace? Me recuerda al famoso incendio del server de HH








  • Backup de imágenes maestras. Gold Backup. Es importante tener copias de los sistemas críticos independiente de los datos. Por ejemplo, el controlador de dominio, el servidor de aplicaciones, el servidor de base de datos. Luego restauraremos una copia del domio, de las aplicaciones y de las bases de datos, pero tener una imagen maestra funcional ayuda mucho a la hora de crear un restablecimiento Tier 0. Imagina tus copias de seguridad con Veeam... cada día... con una retención de 1 mes... Y ahora imagina que el malo llevaba en ese sistema 4 meses sin dar la cara...

  • Actualización de Software. Es imprescindible tener un plan de actualizaciones. Todos sabemos que muchas veces es inevitable tener servidores antiguos o versiones desactualizadas. TODOS, pero si tiene una justificación, tiene que tener un plan. Por ejemplo, si necesitas un 2008 para lo que sea, fortificalo al MAXIMO, por ejemplo, establece un firewall de por medio para los publicar solo el servicio necesario, mete unas ACL´s fuertes y monitoriza su uso.

  • Segmentación. Qué decir de las vlans !! Tener segmentada la red, con vlans o lans, o dmz es básico, pero no solo a nivel de buenas prácticas para tu vozip... mete ACL´s entre vlans !!! No sirve de nada tener 20 vlans si puedes "traficar" de una a otra.

  • Evita el RDP expuesto a internet. Evita cualquier servicio que permita conectarse a la organización sin que exista medidas de seguridad básicas como MFA. Si, a todos !!! SSH, VPN, Correo, TODO. Es sencillo !!! Los que estamos haciendo auditorias de seguridad lo vemos todos los días. El proceso en el hacking, lo que hacen los malos, es comprometer un sistema y desde ese, moverse por el resto con credenciales. Si para cualquier movimiento te pide MFA, paras casi TODOS los ataques. Hace unos años esto era inviable, pero hoy por hoy, todo el mundo trabaja con un MFA bancario, y si es un requisito, lo es. Además no es caro. Olvida esconder el puerto RDP...usar SSH que es más seguro y tonterias al uso. Tampoco inventes procesos raros, complejos para el usuario. Quizás tu seas capaz de gestionar un port knocking pero tus usuarios no. Un MFA SENCILLO.

  • Seguridad en el puesto de trabajo. El 90 % de los ataques nos van a venir por el usuario final, por una navegación, por un correo, por una mala praxis. Tenemos que tener equipos fortificados. Por supuesto con un BUEN antivirus. Esto es como todos, hay buenos y malos, caros y baratos. Tener un antivirus malo te da un nivel de protección mejor que uno bueno. A que tiene sentido? no compres el más barato, es PEOR. No digo que compres el más caro, NO ES MEJOR. Por otro lado, si la mayoría de los ataques vienen por el endpoint. El usuario NO debe ser administrador. Esto tiene muchos problemas, no puede instalar lo que quiere... no puede comportarse como quiere... PERFECTO, es lo que tenemos que lograr. Podemos jugar con seguridad de aplicaciones, denegado y autorizando un pool de aplicaciones. Podemos jugar con el VDI y crear escenarios "homogéneos". Según el tamaño y presupuesto de tu organización podrás hacer unas cosas u otras, pero esta línea de trabajo debe estar definida. No digo que de un día para otro le quites el admin a tu jefe y 10 directivos... a veces no se puede... pero tenlo en el radar y prepara un plan.

  • Formación al usuario. Al hilo de lo anterior. Si la mayoría de las veces tenemos el susto por aquí, tenemos que formar y entrenar al usuario. No es justo que queramos digitalizar la empresa, queremos que los usuarios trabajen de manera segura, sin formación? Imagina entrar a CUALQUIER empleo y que no te expliquen como funciona la "maquina"...

  • Mínimos privilegios. Esta línea de trabajo es otro clásico, pero no lo usamos. Para que tienes que ser administrador del dominio en tu laptop cuando ves páginas de viajes? es más, para qué tienes que ser administrador del dominio para administrar un Sql Server en un servidor Miembro? Otra, para que tienes que usar tu usuario administrador del dominio para conectarte por VPN !!!! es un Clásico !!! usa un usuario y usuario_admin. Para conectarte desde el hotel con wifi o con 4g usa el usuario plano por VPN, y luego ya veremos como elevar, pero no expongas usuarios privilegiados a redes no confiables. Ojo con esto...

  • Crea redes confiables. Hace 10 años internet no era confiable y la lan si. Ahora tienes que trabajar como si tuvieras malos en tu red. Montar un host bastion en el que en el caso anterior, conectarte con un usuario básico y elevar de manera segura, bajo unas condiciones, debería ser un paso a tener en cuenta. Un mfa distinto para conectarte a ese bastion? SI. y todo tipo de tecnologías orientadas a la gestión de indentidades y accesos, lo que se denomina ZERO TRUST.

  • Relaciones con terceros. Cuantos usuarios tienes para tus partners? los necesitas 24/7 ? deben ser administradores del dominio? TODOS te lo van a pedir, pero tu es postura hacerles firmar que en caso de verse comprometida la red por su culpa, tendrán una penalización fuerte... ya verás como no la firman y relajan sus necesidades. TU eres el garante de tu seguridad y ningún externo/colaborador tiene que definir esta estrategia. Si puede, pero que se haga responsable.

  • Documentación. No me refiero a tener la ISO 27001 pasada. Me refiero a tener un DFD, un diagrama de flujo de datos de los principales procesos de la organización. Mantenerlo medianamente actualizado, cada 6 meses !! pero hacer este ejercicio nos permite detectar fallos en el diseño, y sobre todo, en caso de incidente, nos ayudará mucho a tener claro el entorno, tanto tu equipo, como un equipo DFIR que deba ayudarte. Empieza por hacerlo a lapiz, no inviertas tu vida en softwares complejos...y poco a poco mejora el Diagrama, pero empieza YA.

  • Inventario. Lo primero que tenemos que hacer es saber qué tenemos que proteger. Cuando preguntamos a las empresas MUY POCAS tienen un sistema efectivo de inventario. Imagina un momento de crisis buscando direcciones MAC, IP´s... nombres de equipo raros, logs de DHCP... Una fiesta buena...

  • Ten un pequeño plan de respuesta. Esto es muy complejo y no vale improvisar sobre la marcha, pero como con otros elementos de la lista, comienza por algo. Por ejemplo:
    • En caso de infección, tienes que ser capaz de "aislar" los elementos. Apagar Switches, cortar comunicaciones, apagar wifi´s.
    • Si no eres capaz o por cualquier motivo no se puede, poder desconectar los equipos.
    • Por último, si no se puede, apagar todo.
    • Como vas a restaurar los elementos críticos... en la misma red donde tienes la infección? Como vas a probar los backups, conectándolos a la red? y si están en un clud?
    • Tienes capacidad para almacenar logs? muestras de memoria? trazas de red?
    • Puedes bloquear accesos a terceros para evitar contagiar a clientes/usuarios/partners?
    • Sabes como actuar legamente? tu DPO está en orden?
    • ...


  • Monitorización. La respuesta a incidentes se va a realizar mirando las evidencias, los eventos, los logs. Seguro que tienes un sistema centralizado de logs? o cada Windows, Cacharro, aplicación los escribe en cada sitio?

  • Hazlo. Si he tenido la suerte de que leas este artículo, gracias, compártelo :-) pero hazlo !!! auto-evalúa en qué grado estas. Muchas cosas las sabrás, otras no. Algunas las tendrás perfectas, algunas las tendrás por iniciar, pero hazte un plan. Estamos en Enero, es el mes de las buenas propuestas.


Al final el post creo que ha virado a la protección del Ransomware, a un entorno más o menos seguro. Por supuesto que hay muchas mas acciones a fortificar, pero creo que con estas 15 medidas podemos alcanzar cotas bastante aceptables.

Siento si esperabas un producto concreto. Un Script Powershell que lo haga todo, pero no, esto es NUESTRO trabajo, no hay balas de plata.


Aporreador de teclado kinomakino en http://kinomakino.blogspot.com/2022/01/ransomwaretrabajos-previos-15-medidas.html