• Emsisoft

Guía de Protección Contra Ransomware de Trabajo Remoto para Empresas

Una guía de protección contra ransomware de trabajo remoto. Mejores prácticas de ciberseguridad para asegurar las redes corporativas y proteger a los trabajadores remotos del ransomware


COVID-19 provocó un aumento sin precedentes en el trabajo remoto, y es probable que tenga un impacto duradero en los patrones de trabajo futuros.


Si bien los arreglos de trabajo remoto implementados rápidamente pueden haber sido inicialmente considerados como una solución a corto plazo para mantener la continuidad del negocio, muchos predicen que el trabajo remoto seguirá siendo un elemento permanente en el mundo posterior a la pandemia.


Desde una perspectiva de seguridad, trabajar desde casa presenta una gran cantidad de riesgos graves. Se accede a los datos corporativos desde dispositivos personales vulnerables, los equipos de TI no pueden hacer cumplir rígidamente los protocolos de seguridad normales y las soluciones de seguridad específicas de la empresa están fracasando en el entorno de usuarios domésticos extranjeros.


En esta guía, exploraremos los riesgos de seguridad relacionados con el trabajo desde casa y analizaremos qué deben hacer las empresas para proteger tanto a los trabajadores remotos como a las redes corporativas del ransomware.


Desafíos de seguridad del trabajo remoto

El trabajo remoto amplifica las fallas de seguridad existentes e introduce nuevas amenazas, lo que hace que las empresas sean especialmente vulnerables a los ciberataques. A continuación, se muestran algunos de los mayores desafíos de seguridad asociados con el trabajo remoto:


Dispositivos domésticos inseguros que se utilizan para acceder a recursos corporativos


COVID-19 forzó una transición rápida (y en muchos casos imperfecta) al trabajo remoto. Había que hacer concesiones en aras de la continuidad del negocio y simplemente no había tiempo para que las empresas se aseguraran de que las redes domésticas de sus empleados fueran completamente seguras y libres de infecciones existentes. En algunas partes del mundo, la escasez de equipos de TI significaba que las organizaciones no podían proporcionar al personal hardware proporcionado por la empresa.


Con muchos trabajadores remotos que utilizan dispositivos personales inseguros para acceder a redes corporativas y datos confidenciales, las superficies de ataque se han expandido dramáticamente. Cada dispositivo conectado a la red doméstica, incluidas otras computadoras, teléfonos inteligentes, computadoras portátiles, impresoras, dispositivos domésticos inteligentes, etc., es un nuevo punto de acceso potencial para los atacantes, mientras que las infecciones preexistentes en los dispositivos domésticos pueden exponer las redes comerciales al malware. En marzo de 2020, el 45 por ciento de las empresas estadounidenses observó al menos una infección de malware en sus redes de oficinas remotas, mientras que solo el 13,3% observó una infección en sus redes corporativas internas, según cifras de BitSight.


Controles de seguridad debilitados


En un entorno empresarial normal, los equipos de TI pueden imponer políticas de seguridad estrictas en los dispositivos propiedad de la empresa a través de sistemas EDR, políticas de grupo restrictivas, soluciones de listas blancas, etc. Con el trabajo remoto, mantener el mismo nivel de control es difícil, si no imposible, porque muchos trabajadores remotos usan sus dispositivos personales para fines laborales.


Éticamente, es difícil para las empresas dictar qué software pueden y qué no pueden usar los empleados en sus dispositivos domésticos. Desde una perspectiva técnica, la gran diversidad del entorno de trabajo remoto hace que sea extremadamente difícil para las empresas proteger de manera confiable la gran cantidad de dispositivos, sistemas operativos y aplicaciones en la red doméstica de cada empleado.


Diversidad del ecosistema de software para usuarios domésticos


La red corporativa es un entorno cuidadosamente controlado donde solo los usuarios autorizados instalan software aprobado. Los productos de seguridad EDR y nextgen modernos, que a menudo dependen en gran medida del aprendizaje automático, se destacan en este entorno desinfectado porque las aplicaciones se pueden agrupar y reconocer fácilmente. Una aplicación debe ser un software empresarial o un software de sistema operativo y, si no lo es, es probable que sea malicioso.


La red doméstica es comparativamente caótica, un crisol de aplicaciones de trabajo, juegos y entretenimiento descargadas de fuentes desconocidas en la web. Para los productos de seguridad empresarial, cuyos modelos de aprendizaje automático han sido entrenados con conjuntos de datos muy en blanco y negro, este es un terreno extraño. Volver a aprender qué constituye una amenaza en este entorno diverso lleva tiempo, y no es raro que los productos adaptados al mercado empresarial provoquen una avalancha de falsos positivos e incompatibilidades cuando se exponen al ecosistema de software de usuario doméstico.


Vectores de ataque de ransomware más comunes para trabajadores remotos

Los actores de amenazas utilizan una variedad de métodos para comprometer a los trabajadores remotos e infectar a las empresas para las que trabajan con ransomware. A continuación, se muestran los tres vectores de ataque más comunes:


  • Spam malicioso: los atacantes distribuyen correos electrónicos que contienen un archivo adjunto o URL malicioso, lo que conduce a la descarga de malware (a menudo un bot como Emotet, Trickbot o Dridex). Los atacantes envían comandos a estos bots para recopilar información sobre el sistema comprometido y la red a la que está conectado, antes de implementar malware adicional adaptado al entorno de destino. Los actores de amenazas se han aprovechado del interés del público en la pandemia para crear campañas de spam maliciosas con el tema COVID-19 que se aprovechan del miedo y la curiosidad de la gente. En abril, se distribuyeron diariamente alrededor de 60.000 mensajes de phishing relacionados con COVID-19, según Microsoft, y los atacantes a menudo se hicieron pasar por fuentes confiables como la Organización Mundial de la Salud o los Centros para el Control y la Prevención de Enfermedades.

  • Acceso remoto: los atacantes aprovechan las herramientas de acceso remoto poco seguras para obtener acceso a las redes corporativas. El protocolo de escritorio remoto (RDP) es el vector de ataque de acceso remoto más común, pero es importante recordar que cualquier herramienta de acceso remoto, así como cualquier software que se conecte con el directorio activo local de una empresa, puede servir como punto de entrada si no se protege adecuadamente. . Varias utilidades de acceso remoto se han visto comprometidas en el pasado, incluidas TeamViewer, Kaseya y Citrix.

  • Spear phishing: el spear phishing es una forma sofisticada y dirigida de phishing. Los actores de amenazas estudian de cerca la organización objetivo para aprender más sobre las personas que trabajan allí y sus hábitos de comunicación, y utilizan esta información para enviar correos electrónicos de phishing dirigidos que parecen haber sido enviados desde una fuente confiable. Los correos electrónicos contienen un archivo adjunto o URL malicioso, que desencadena la descarga de malware. El phishing es particularmente problemático en el clima laboral actual porque es posible que los empleados aún no estén familiarizados con las interfaces y las pantallas de inicio de sesión de las herramientas de trabajo remoto recientemente introducidas y, por lo tanto, pueden tener dificultades para distinguir las estafas de phishing de los sitios web legítimos.


Cómo asegurar los puntos finales remotos y proteger las redes de la empresa

Un cambio en la forma en que trabajamos requiere un cambio en la forma en que las empresas abordan la seguridad. Las siguientes mejores prácticas pueden ayudar a las organizaciones a asegurar nuevos puntos de acceso remoto y proteger los datos de la empresa.


  • Capacite a los empleados: ya sea en la oficina o en casa, los empleados de todos los niveles de una organización deben recibir capacitación en ciberseguridad con regularidad. El personal debe tener un conocimiento fundamental de las estrategias actuales de ingeniería social y estar familiarizado con los procedimientos de notificación y respuesta en caso de un incidente.

  • RDP seguro: el protocolo de escritorio remoto y otras formas de acceso remoto deben deshabilitarse si es posible. Si RDP es necesario para que la organización funcione, debe protegerse adecuadamente mediante el uso de una puerta de enlace VPN o RDP, MFA y contraseñas seguras, y limitar el acceso RDP a usuarios e intervalos de IP específicos. Consulte esta publicación de blog para obtener más información sobre cómo proteger RDP del ransomware.

  • Utilice MFA: las credenciales de usuario comprometidas son una de las principales causas del ransomware. Este riesgo se puede mitigar habilitando la autenticación multifactor siempre que sea posible, con especial atención a los servicios colaborativos y el acceso remoto a las redes de la empresa. La configuración del software de seguridad también debe protegerse con MFA, que se puede habilitar fácilmente en plataformas de administración de antivirus basadas en la nube, como Emsisoft Cloud Console.

  • Mantenga los dispositivos VPN: el cambio repentino al trabajo remoto resultó en un aumento en la demanda de VPN comerciales. Si bien los dispositivos VPN desempeñan un papel clave en la protección de los datos relacionados con el trabajo, también actúan como un posible punto de entrada para los atacantes y deben monitorearse y actualizarse periódicamente para garantizar que las vulnerabilidades de seguridad conocidas se solucionen lo más rápido posible.

  • Implemente software antivirus confiable: las organizaciones deben tener una solución antivirus sólida para detectar y detener el malware inicial que se utiliza para el reconocimiento y la propagación en las primeras etapas de la cadena de ataque. Como se señaló, las soluciones de seguridad específicas de la empresa pueden tener dificultades cuando se enfrentan a la diversidad del entorno del usuario doméstico, por lo que las organizaciones deben considerar a los proveedores de antivirus que tengan experiencia y un producto establecido en el mercado de consumo. Es posible que las infecciones activas ya estén presentes en los dispositivos domésticos de los empleados, lo que hace que la detección y reparación clásicas como parte del proceso de incorporación sea crucial para la seguridad de la red.

  • Filtrar correo no deseado: un filtro de correo no deseado sólido puede detener la mayoría del correo no deseado malicioso y reducir el riesgo de infección de malware a través de URL y archivos adjuntos maliciosos. Los filtros se pueden configurar para evitar la entrega de ciertos tipos de archivos adjuntos (por ejemplo, documentos que contienen macros).

  • Eliminar PowerShell: una potente herramienta administrativa, los actores de amenazas utilizan con frecuencia PowerShell en las primeras etapas de un ataque. Las organizaciones deberían considerar la posibilidad de eliminar PowerShell de los puntos finales remotos a menos que sea necesario. Si no se puede eliminar PowerShell, debe asegurarse de manera adecuada (por ejemplo, limitando su uso solo a los usuarios que realmente lo necesiten y solo permitiendo que se ejecuten scripts firmados digitalmente).

  • Confirmar solicitudes: los flujos de trabajo regulares se han interrumpido y cambiado durante la transición al trabajo remoto, lo que puede aumentar el riesgo de fraude. Los empleados deben ser conscientes de las actividades fraudulentas y deben buscar la confirmación de todas las solicitudes e instrucciones inusuales, incluidas las de clientes, colegas, proveedores y superiores. La confirmación debe buscarse a través de un canal de comunicación secundario en caso de que la cuenta del remitente se haya visto comprometida.

  • Realice copias de seguridad: en el entorno de trabajo remoto, una estrategia de copia de seguridad confiable sigue siendo un componente fundamental para mitigar el ransomware. Los problemas de seguridad y las limitaciones de ancho de banda pueden disuadir a las organizaciones de enviar copias de seguridad a su NAS local a través de VPN, mientras que implementar copias de seguridad locales para cada trabajador remoto sería un desafío logístico. Con estos factores en mente, un sistema de respaldo basado en la nube es probablemente la opción más práctica para la mayoría de las organizaciones. Consulte esta guía para obtener más información sobre cómo realizar copias de seguridad a prueba de ransomware.


COVID-19 puede haber cambiado permanentemente la forma en que funciona el mundo. La transición global al trabajo remoto ha sido fundamental para mantener la continuidad empresarial respetando las pautas de distanciamiento social, pero con este cambio de paradigma surgen oportunidades únicas para los ciberdelincuentes que buscan capitalizar el caos.


Las empresas de todos los tamaños deben ser conscientes de los desafíos de seguridad que implica el trabajo remoto y tomar medidas para proteger sus puntos finales remotos, redes y activos corporativos. La implementación de las prácticas de seguridad descritas en este artículo puede reducir significativamente el riesgo de compromiso y ayudar a las empresas a evitar convertirse en la próxima víctima de ransomware.




44 vistas

Unete a nuestra lista de correo

No te pierdas ninguna actualización

Dirección: Juan Díaz,Calle No. 3, Oficina 6062

Panamá, Panamá

Teléfono: (507) 220-8465

Email: sales@sertecomsa.com

© 2016 por Sertecomsa