Mejores prácticas para la protección contra el ransomware en la nube en 2025

Los ataques de ransomware en la nube están aumentando a medida que las empresas adoptan cada vez más las tecnologías en la nube. Para proteger su organización:

1. Implemente planes sólidos de copia de seguridad y recuperación
2. Utilice la autenticación multifactorial y controles de acceso estrictos
3. Implemente una supervisión continua y una detección de amenazas basada en inteligencia artificial
4. Mantenga todo el software actualizado y parcheado
5. Impartir formación periódica a los empleados sobre ciberseguridad
6. Cifrar los datos confidenciales y utilizar un almacenamiento seguro en la nube
7. Disponer de un plan de respuesta a incidentes claro y preparado

Herramientas como CWPP de SentinelOne pueden ayudar a detectar y responder rápidamente a los ataques. Manténgase alerta y dé prioridad a la seguridad en la nube para proteger su empresa de las amenazas de ransomware en constante evolución.

El Informe global de inteligencia sobre amenazas de BlackBerry (edición de septiembre de 2024) revela que tanto los ciberdelincuentes como las organizaciones criminales utilizan el ransomware en la nube para atacar a empresas de todos los sectores en todo el mundo.

Un ejemplo reciente es el ataque de ransomware perpetrado en marzo de 2024 contra la cervecería belga, en el que se robaron 88 gigabytes de datos, lo que provocó la paralización de la producción.

Grupos como estos adoptan rápidamente nuevos enfoques y tácticas para evadir los mecanismos tradicionales de protección contra el ransomware en la nube y buscan cualquier nueva vulnerabilidad de seguridad. Los actores que despliegan ransomware en la nube tienen principalmente motivaciones económicas, ya que exigen un rescate a cambio de los datos robados.

Los ataques de ransomware en la nube están aumentando constantemente, ya que alrededor del 40 % de las organizaciones encuestadas en la Encuesta anual de seguridad SaaS de 2024 admitieron que habían sufrido un incidente de ransomware SaaS en los últimos dos años. Ocurre con más frecuencia de lo que se podría pensar.

No es de extrañar que la misma encuesta revelara que el 71 % de las organizaciones aumentaron su inversión en protección contra el ransomware en la nube, mientras que el 68 % de las organizaciones aumentaron su inversión en la contratación y formación de personal en herramientas y estrategias de protección contra el ransomware en la nube.

Por lo tanto, este artículo abordará los retos únicos de la protección contra el ransomware en la nube. Obtendrá tácticas prácticas para fortalecer su configuración en la nube, ya sea ejecutando un sistema híbrido o adoptando por completo la computación en la nube.

Los ataques de ransomware en la nube están aumentando constantemente, ya que alrededor del 40 % de las organizaciones que participaron en la Encuesta anual de seguridad SaaS de 2024 admitieron que han sufrido un incidente de ransomware SaaS en los últimos dos años. Ocurre con más frecuencia de lo que se podría pensar.

No es de extrañar que la misma encuesta revelara que el 71 % de las organizaciones aumentaron su inversión en protección contra el ransomware en la nube, mientras que el 68 % de las organizaciones aumentaron su inversión en la contratación y formación de personal en herramientas y estrategias de protección contra el ransomware en la nube.

Por lo tanto, este artículo abordará los retos únicos de la protección contra el ransomware en la nube. Obtendrá tácticas prácticas para fortalecer su configuración en la nube, ya sea ejecutando un sistema híbrido o adoptando por completo la computación en la nube.

¿Qué es el ransomware en la nube?

El ransomware en la nube es un software malicioso que ataca sus activos en la nube, como aplicaciones SaaS, almacenamiento en la nube o infraestructura. Bloquea sus datos o sistemas y exige un pago para restaurar el acceso o descifrar sus archivos.

Vectores de ataque del ransomware en la nube

Un ejemplo reciente de vulnerabilidad de seguridad relacionada con Microsoft Power Apps se produjo en marzo de 2023, cuando los investigadores descubrieron una vulnerabilidad crítica en la función de código personalizado de Power Platform.

Esta vulnerabilidad suponía un riesgo de divulgación de información. Afortunadamente, Microsoft actuó con rapidez y publicó una solución inicial rápida el 7 de junio de 2023 para mitigar el problema para la mayoría de los clientes.

Este incidente pone de relieve cómo los operadores de ransomware en la nube aprovechan diversos puntos de entrada, conocidos como vectores de ataque, para infiltrarse y comprometer los entornos en la nube. Estos vectores de ataque se pueden clasificar de la siguiente manera:

Vulnerabilidades potenciales

• Defectos en las API de los proveedores de servicios en la nube (por ejemplo, omisión de la autenticación, permisos excesivos, vulnerabilidades de inyección)
• Debilidades en los modelos de seguridad de responsabilidad compartida
• Vulnerabilidades en las plataformas de orquestación de contenedores (por ejemplo, Kubernetes)

Configuraciones erróneas comunes

• Controles de acceso excesivamente permisivos en los depósitos de almacenamiento en la nube
• Segmentación de redes virtuales configurada incorrectamente
• Configuración inadecuada del cifrado de datos en reposo y en tránsito

Prácticas de seguridad deficientes

• Mala gestión de las claves de acceso y los secretos
• Aplicación inconsistente de parches en los recursos de la nube
• Falta de políticas de gestión de identidades y accesos

Por qué la protección contra el ransomware en la nube es fundamental en 2025

El ransomware es una plaga moderna que se está propagando rápidamente. Solo en 2023, el FBI informó haber recibido más de 2800 denuncias con pérdidas que alcanzaron los 59,6 millones de dólares. Pero eso es solo el principio: el verdadero coste del ransomware puede devastar sus datos, interrumpir sus operaciones y arruinar su reputación.

Algunos ejemplos de ataques recientes de ransomware basados en la nube incluyen:

• Sofisticación de los ataques en evolución: El grupo de ransomware CL0p explotó una vulnerabilidad de inyección SQL de día cero en el software en la nube MOVEit Transfer en mayo de 2023, lo que afectó a numerosas organizaciones y expuso datos confidenciales almacenados en la nube.
• Criticidad de los datos: El servicio de transferencia de archivos basado en la nube GoAnywhere MFT sufrió un ataque de día cero en mayo de 2023. El grupo de ransomware Cl0p aprovechó esta vulnerabilidad para acceder y filtrar datos confidenciales de más de 130 organizaciones que utilizaban el servicio.
• Presiones normativas: El 13 de abril de 2024, Young Consulting fue víctima de un ataque de ransomware por parte de Black suit. El resultado de este ataque fue la exposición de los datos personales de aproximadamente un millón de personas. Esta violación no solo provocó la pérdida de datos, sino que también desencadenó problemas de cumplimiento con el RGPD y la HIPAA.
• Daño a la reputación: El ataque de ransomware de 2022 al gestor de contraseñas basado en la nube LastPass provocó el robo de los datos del almacén de clientes, lo que dañó gravemente la reputación de la empresa y la confianza de sus usuarios.
• Continuidad del negocio: En diciembre de 2021, el proveedor de gestión de recursos humanos basado en la nube Ultimate Kronos Group (UKG) sufrió un ataque de ransomware que interrumpió sus servicios de nube privada, lo que afectó a la gestión de nóminas y personal de empresas como MGM Resorts, Samsung, PepsiCo, Whole Foods, Gap y Tesla.

Mejores prácticas para prevenir el ransomware en la nube

Cybersecurity Ventures califica el ransomware como la "amenaza más inmediata" en la actualidad. Para protegerse contra él, estas son algunas prácticas esenciales:

N.º 1: Implementar planes sólidos de copia de seguridad y recuperación

Debido a planes de copia de seguridad o recuperación inadecuados, las organizaciones pueden enfrentarse a un tiempo de inactividad prolongado y a pérdidas económicas significativas.

El incidente de ransomware de Royal Mail en enero de 2023 , perpetrado por la banda LockBit, sirve como un excelente recordatorio de los riesgos que existen. Ponga a prueba sus planes de recuperación con regularidad, sométalos siempre a pruebas de estrés y no se limite a confiar en ellos.

La automatización de las copias de seguridad también puede reducir la posibilidad de cometer errores, asegurando que sus archivos permanezcan protegidos en todos los sentidos, ya sea en tránsito o en reposo.

#2 Autenticación multifactorial (MFA) y controles de acceso

Configure un pase MFA. Esto puede suponer un gran obstáculo para los actores no autorizados. La MFA está muy infravalorada, pero es crucial, como informes de Microsoft indican que el 99,9 % de las cuentas pirateadas no tenían MFA, lo que podría haber evitado más del 99,2 % de los ataques.

Además de la autenticación multifactor, puede intentar restringir el acceso mediante políticas de privilegios mínimos que garanticen que los usuarios solo obtengan lo que necesitan y nada más.

Los profesionales de TI pueden incorporar métodos de autenticación adaptativos que cambian en función de la ubicación, el dispositivo u otros factores contextuales. Audite regularmente estos permisos y, para las acciones sensibles, puede apoyarse en el acceso Just-In-Time (JIT) para reducir los riesgos de exposición innecesarios.

N.º 3: Supervisión continua y detección de amenazas

IBM informa de que el tiempo medio para identificar una infracción en 2023 fue de 204 días, demasiado largo para adoptar un enfoque proactivo. Es necesario implementar sistemas avanzados de detección de amenazas que utilicen el análisis del comportamiento para detectar anomalías rápidamente.

Los sistemas de gestión de información y eventos de seguridad (SIEM) Los sistemas emplean análisis del comportamiento de usuarios y entidades (UEBA) para detectar amenazas con gran precisión. Considere la posibilidad de establecer un centro de operaciones de seguridad (SOC) disponible las 24 horas del día, los 7 días de la semana, o de asociarse con un proveedor de seguridad gestionada como McAfee, IBM Security o Microsoft Azure Security Center para garantizar una vigilancia permanente.lt;/p>

#4 Actualizaciones y parches de software periódicos

Una vulnerabilidad crítica: Vulnerabilidad de Microsoft Exchange (CVE-2023-21709), apareció en agosto de 2023 y permitía a los atacantes escalar privilegios sin la interacción del usuario. Microsoft lanzó una solución más completa (CVE-2023-36434) en octubre, que eliminaba la necesidad de realizar cambios de configuración manuales.

La automatización de la gestión de parches con herramientas como Microsoft Intune, Google Workspaces, Amazon Workspaces o WSUS garantiza que esté al tanto de estas correcciones críticas.

Supervise sus activos en la nube comprobando periódicamente si hay software obsoleto y configuraciones incorrectas, y mantenga un inventario exhaustivo de todos sus recursos en la nube para asegurarse de que no se le escape nada.

N.º 5: Programas de formación y concienciación de los empleados

Su seguridad es tan fuerte como su eslabón más débil, que a menudo es el error humano.

Una formación coherente y centrada en el phishing y la ingeniería social es fundamental para mantener un equipo alerta.

Los jefes de departamento deben organizar simulacros de ataques de phishing para poner a prueba la respuesta de los empleados bajo presión y asegurarse de que están preparados para las amenazas del mundo real.

Se recomienda desalentar la transferencia de culpas y fomentar la notificación inmediata de cualquier actividad sospechosa.

Cuanto antes se sienta cómodo su equipo dando la voz de alarma, más rápido se podrán neutralizar las posibles amenazas.

#6 Cifrado de datos y almacenamiento seguro en la nube

La violación de datos del Departamento de Transporte de EE. UU. en 2023, que comprometió los datos personales de 237 000 empleados, puso de relieve la importancia fundamental del cifrado.

No deje sus datos a la vista de todos: ciérrelos. Proteja sus claves, cámbielas con frecuencia y elija un almacenamiento en la nube con un cifrado sólido e integrado. Para su información más confidencial, vaya más allá con el cifrado del lado del cliente, de modo que usted sea el único que tenga las claves.

#7 Uso de la inteligencia artificial y el aprendizaje automático

Investigaciones recientes han demostrado que la inteligencia artificial es una herramienta poderosa para mejorar la precisión y reforzar la postura de seguridad frente a diversas amenazas y ciberataques.

La IA puede ayudarle a examinar grandes cantidades de datos e identificar patrones de comportamiento a medida que se producen. El aprendizaje automático mejora la detección de amenazas con el tiempo y automatiza las tareas rutinarias. Sin embargo, debe complementar, y no sustituir, la experiencia humana en una estrategia de seguridad sólida.

Cómo responder a un ataque de ransomware en la nube

La Agencia de Seguridad Cibernética y de Infraestructuras (CISA) recomienda a las empresas que sigan la lista de verificación que se incluye en la guía #StopRansomware. Compartimos una versión resumida de la lista de verificación que le guiará a través del proceso de respuesta, desde la detección hasta la contención y la erradicación.

Estos son los pasos:

1. Identifique el ataque

• Detecte el incidente: supervise sus sistemas en busca de actividades inusuales, como archivos cifrados o intentos de acceso no autorizados.
• Aísle los sistemas infectados: desconecte los dispositivos afectados para evitar que el ransomware se propague aún más. Si no es posible apagar temporalmente la red o desconectar los hosts afectados, puede considerar la posibilidad de apagar los dispositivos. Céntrese primero en aislar los hosts que son críticos para las operaciones diarias a fin de minimizar nuevas interrupciones.
• Reúna pruebas: Recopile registros, capturas de pantalla y cualquier dato relevante que pueda ayudar en la investigación. En entornos en la nube, realice instantáneas de los volúmenes para capturar una vista en un momento determinado, lo que proporcionará una referencia clara para el análisis posterior durante la fase de investigación.

2. Evaluar los daños

• Determine el alcance del ataque: Antes de poder tomar el control, debe tener una idea clara del impacto del ataque. Realice un análisis en profundidad para identificar los sistemas afectados y los datos comprometidos, y asegúrese de que el vector de ataque ya no está activo. Cuando coordine con su equipo, utilice canales de comunicación seguros, como llamadas telefónicas, para evitar alertar a los atacantes, que podrían intensificar el ataque o activar el ransomware si se dan cuenta de que han sido descubiertos.
• Evaluar el impacto en el negocio: Evalúe las posibles consecuencias financieras y para la reputación del ataque. Las pérdidas directas pueden medirse en términos monetarios, como los costes del tiempo de inactividad del sistema, los costes de la violación de datos, los costes de recuperación, las indemnizaciones, los honorarios legales y las multas o sanciones. Las pérdidas indirectas, como el daño a la reputación, la pérdida de ventaja competitiva, la disminución de la moral de los empleados y el aumento de la pérdida de clientes, pueden medirse mediante diferentes métodos, como encuestas, comparativas del sector, análisis de datos históricos y simulaciones.

3. Contener el ataque

• Implementar medidas de contención: Aprovechar la segmentación de la red para aislar los sistemas comprometidos e implementar herramientas EDR como SentinelOne Singularity, junto con soluciones de seguridad nativas de la nube, para bloquear las áreas afectadas.
• Corregir vulnerabilidades: Asegúrese de que todos los sistemas estén actualizados con las últimas actualizaciones de seguridad. Desafortunadamente, los parches no se aplican automáticamente al software. Los profesionales de TI aplican los últimos parches publicados por los proveedores de software mediante una estrategia de gestión de parches. Dado que los atacantes de ransomware buscan sistemas que no tengan los últimos parches de seguridad mediante software de análisis automatizado, las vulnerabilidades deben corregirse periódicamente.

4. Recuperar datos

• Utilizar copias de seguridad: Restaure los datos a partir de copias de seguridad limpias que no se hayan visto afectadas por el ransomware. Considere la posibilidad de mejorar la seguridad de las copias de seguridad combinando copias de seguridad inmutables con técnicas de seguridad avanzadas, como el aislamiento físico (air gapping). De este modo, incluso si el ransomware intenta cifrar las copias de seguridad, seguirá habiendo acceso a una versión limpia.
• Considere métodos de recuperación alternativos: Si las copias de seguridad no están disponibles o se han visto comprometidas, explore opciones como los servicios de recuperación de datos o la negociación con los atacantes. En agosto de 2024, la ARRL confirmó que pagó un rescate de 1 millón de dólares al grupo de ransomware Embargo después de que un ataque en mayo cifrara sus sistemas.

5. Notificar a las partes interesadas

• Informar a las partes pertinentes: Alerte a la alta dirección, al departamento de TI, al seguro cibernético y a los proveedores de servicios de seguridad sobre cuál es su plan de respuesta ante incidentes.
• Comunicar con transparencia: Controle los daños y asegúrese de comunicar a sus clientes su postura sobre la violación y las medidas que se están tomando. Póngase también en contacto con organismos encargados de hacer cumplir la ley, como el Centro de Denuncias de Delitos en Internet del FBI, la CISA o su oficina local del FBI para solicitar ayuda.

6. Investigar y aprender

• Investigación exhaustiva: Analice los registros de su sistema para identificar el tipo de ransomware y localizar los archivos cifrados. A continuación, compruebe los registros de las aplicaciones para ver cuáles estaban activas durante el ataque.

Continúe revisando los registros de seguridad para rastrear la dirección IP del atacante y descubrir cómo obtuvo acceso no autorizado. Por último, los registros de red pueden ayudar a detectar patrones de tráfico anormales y determinar dónde pudo haber comenzado o propagarse el ataque.

• Medidas preventivas: Refuerce sus defensas mediante la implementación rutinaria de controles de seguridad robustos, como cortafuegos, IDPS, EDR, antivirus/antimalware, gestión de parches, MFA y copias de seguridad automatizadas. Las pruebas de penetración periódicas desempeñan un papel crucial a la hora de identificar de forma proactiva las vulnerabilidades antes de que los atacantes puedan aprovecharlas, lo que le permite adelantarse a las posibles amenazas.

7. Notifique el incidente

• Cumpla con la normativa: Si así lo exige la ley, presente inmediatamente una denuncia ante las autoridades. En Estados Unidos, la Ley de Notificación de Incidentes Cibernéticos para Infraestructuras Críticas de 2022 obliga a notificar los incidentes cibernéticos importantes que puedan amenazar la seguridad nacional, las relaciones exteriores o la confianza pública, entre otros factores críticos. El incumplimiento de la obligación de notificación puede acarrear consecuencias legales y económicas.
• Aprenda de la experiencia: Comparta lo que ha aprendido con las partes interesadas clave, incluidos los socios comerciales, las compañías de seguros y las fuerzas del orden. Este intercambio de conocimientos ayuda a otros a reforzar sus defensas y reduce la probabilidad de que se produzcan ataques similares en todo el sector.

Detecte y solucione los incidentes de ransomware en la nube con SentinelOne CWPP

La detección, contención y recuperación rápidas son pasos importantes en la protección contra el ransomware en la nube. Aunque hemos analizado varias estrategias, gestionarlas todas puede resultar complicado.

Las soluciones integradas como la plataforma de protección de cargas de trabajo en la nube de SentinelOne’s Cloud Workload Protection Platform (CWPP) pueden agilizar este proceso. Veamos cómo la CWPP aborda estos aspectos críticos:

• Detección de amenazas en tiempo real: el motor basado en IA de SentinelOne supervisa continuamente las cargas de trabajo en la nube en busca de actividades sospechosas, detectando los ataques de ransomware en una fase temprana de su ciclo de vida.
• Prevención automatizada: la plataforma puede bloquear automáticamente los ataques de ransomware antes de que causen daños significativos, minimizando el impacto de los incidentes.
• Respuesta rápida: SentinelOne permite a los equipos de seguridad responder rápidamente a los incidentes de ransomware, ya que proporciona información detallada sobre el origen, el alcance y el impacto del ataque.
• Supervisión continua: la plataforma supervisa constantemente los entornos en la nube para identificar y abordar las posibles vulnerabilidades que podrían aprovechar los atacantes de ransomware. Puede defenderse contra el ransomware, los ataques de día cero y los ataques sin archivos en tiempo real.
• Integración con plataformas en la nube: El CWPP en tiempo real de SentinelOne se integra con las principales plataformas en la nube, lo que proporciona una protección completa en entornos híbridos y multinube.
• Visibilidad forense de la telemetría de la carga de trabajo: Informa la investigación y la respuesta a incidentes con un registro de datos de la actividad a nivel de procesos del sistema operativo. CWPP implementa millones de agentes que cuentan con la confianza de marcas líderes, hiperescaladores y organizaciones de nube híbrida en todo el mundo.
• Arquitectura eBPF e inteligencia sobre amenazas: El motor de IA conductual añade la dimensión del tiempo a la evaluación de las intenciones maliciosas. El motor de IA estática de SentinelOne está entrenado con más de 500 millones de muestras de malware e inspecciona las estructuras de los archivos en busca de características maliciosas. El motor de control de aplicaciones derrota los procesos maliciosos que no están asociados con la imagen de la carga de trabajo.
• Detección en tiempo de ejecución enriquecida con contexto de tiempo de compilación: Visualización automatizada de ataques Storyline™ y mapeo a MITRE ATT&CK TTP. También incluye IaC para el aprovisionamiento de DevOps, integración con Snyk y es compatible con 15 distribuciones de Linux, 20 años de servidores Windows y 3 tiempos de ejecución de contenedores.

Conclusión

La computación en la nube ha transformado los negocios, pero también introduce nuevos riesgos de ransomware. A medida que las amenazas evolucionan, las defensas deben adaptarse. Es esencial contar con copias de seguridad sólidas, controles de acceso estrictos y detección de amenazas basada en inteligencia artificial, pero la seguridad debe ser dinámica y estar estructurada en capas para mantenerse a la vanguardia.

La tecnología por sí sola no es suficiente. Es esencial crear una cultura de ciberseguridad. La formación periódica de los empleados, los ataques simulados y la comunicación abierta sobre las amenazas deben ser algo habitual. Aunque lo ideal es prevenir el ransomware, estar preparado con un plan de respuesta probado es lo que le protegerá cuando se produzca un ataque.

Asegúrese de que su equipo tenga un plan de respuesta claro, sepa a quién contactar y comprenda cómo recuperarse rápidamente.

Herramientas como CWPP de SentinelOne pueden fortalecer sus defensas, pero la responsabilidad final recae en usted y su equipo. La lucha contra el ransomware en la nube es constante, así que manténgase informado, esté preparado y nunca baje la guardia. Su negocio depende de ello.

Póngase en contacto con SentinelOne para recibir asistencia hoy mismo. Para obtener más información, solicite una demostración en vivo gratuita.

"

FAQs