{"id":148477,"date":"2022-07-07T22:00:02","date_gmt":"2022-07-07T22:00:02","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/como-detectar-el-ransomware\/"},"modified":"2025-12-18T13:43:58","modified_gmt":"2025-12-18T13:43:58","slug":"como-detectar-el-ransomware","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/es\/blog\/como-detectar-el-ransomware\/","title":{"rendered":"C\u00f3mo detectar el ransomware: 12 oportunidades de supervisi\u00f3n y alertas para automatizar"},"content":{"rendered":"<div class=\"in-context-cta\"><h2 style=\"text-align: left;\">Puntos clave<\/h2>\n<h3 style=\"text-align: left;\">C\u00f3mo detectar el ransomware<\/h3>\n<ul style=\"text-align: left;\">\n<li><strong>La detecci\u00f3n precoz es clave para detener el ransomware: <\/strong> la mayor\u00eda de los ataques de ransomware se intensifican en horas. Detectar se\u00f1ales de acceso inicial como phishing, RDP expuesto o scripts sospechosos es fundamental.<\/li>\n<li><strong>Supervisa 12 indicadores de alto impacto en toda la cadena de ataque:<\/strong> rastrea comportamientos como el acceso a LSASS, la creaci\u00f3n de tareas programadas, la manipulaci\u00f3n de AV, el escaneado de puertos y el tr\u00e1fico saliente inusual para detectar amenazas a tiempo.<\/li>\n<li><strong>Automatiza las alertas con herramientas de gesti\u00f3n de endpoints: <\/strong>utiliza un RMM como NinjaOne para desplegar scripts de detecci\u00f3n, activar alertas y automatizar la respuesta a incidentes en todos los endpoints.<\/li>\n<li><strong>La supervisi\u00f3n basada en el comportamiento supera a la detecci\u00f3n basada \u00fanicamente en firmas: <\/strong> confiar \u00fanicamente en los antivirus no es suficiente. Supervisa las t\u00e1cticas de los atacantes, como el uso de PsExec o herramientas remotas no autorizadas, para reforzar la defensa.<\/li>\n<\/ul>\n<p style=\"text-align: left;\"><strong>Una protecci\u00f3n asequible y escalable es posible: <\/strong> muchos m\u00e9todos de detecci\u00f3n utilizan herramientas gratuitas, registros de eventos y reglas de c\u00f3digo abierto, lo que hace que la supervisi\u00f3n eficaz del ransomware est\u00e9 al alcance de las PYMES.<\/p>\n<\/div>\n<p>Es una locura pensar que este mes de mayo se cumplieron cinco a\u00f1os desde que el brote de <a href=\"https:\/\/en.wikipedia.org\/wiki\/WannaCry_ransomware_attack\" target=\"_blank\" rel=\"noopener\">WannaCry<\/a> ayud\u00f3 a hacer del <a href=\"https:\/\/www.ninjaone.com\/it-hub\/endpoint-security\/what-is-ransomware\/\">ransomware<\/a> un nombre familiar. En cierto modo, parece que fue hace toda una vida (o m\u00e1s). Por ejemplo: En comparaci\u00f3n con las asombrosas cifras citadas en los informes actuales, algunas de las estad\u00edsticas relacionadas con el ransomware de 2017 resultan pintorescas.<\/p>\n<ul>\n<li>En el segundo trimestre de 2017, la demanda media de rescate estimada fue <a href=\"https:\/\/www.statista.com\/statistics\/701003\/average-amount-of-ransom-requested-to-msp-clients\/#:~:text=Amount%20of%20ransom%20demanded%20during%20ransomware%20attacks%202017&amp;text=According%20to%20the%20survey%2C%2047,500%20and%202%2C000%20U.S.%20dollars.\" target=\"_blank\" rel=\"noopener\">de entre 501 y 2.000 d\u00f3lares<\/a>. Seg\u00fan Coveware, si avanzamos hasta el primer trimestre de 2024, en el <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/ransomware-payments-drop-to-record-low-of-28-percent-in-q1-2024\/\" target=\"_blank\" rel=\"noopener\">pago medio por rescate fue de 381.980 d\u00f3lares<\/a>.<\/li>\n<li>En 2017, Cybersecurity Ventures estim\u00f3 que el coste total de los da\u00f1os causados por el ransomware <a href=\"https:\/\/cybersecurityventures.com\/ransomware-damage-report-2017-5-billion\/\" target=\"_blank\" rel=\"noopener\">alcanzar\u00eda los 5.000 millones de d\u00f3lares en el a\u00f1o<\/a>. Su \u00faltimo informe estima <a href=\"https:\/\/cybersecurityventures.com\/global-ransomware-damage-costs-predicted-to-reach-250-billion-usd-by-2031\/\" target=\"_blank\" rel=\"noopener\">que los costes anuales totales en 2025 podr\u00edan alcanzar los 57.000 millones de d\u00f3lares<\/a>.<\/li>\n<\/ul>\n<p>Evidentemente, han cambiado muchas cosas y, con miles de millones de d\u00f3lares en juego, decir que las operaciones de ransomware actuales han madurado y evolucionado es quedarse muy corto.<\/p>\n<p>Como dice el investigador de seguridad Kevin Beaumont en un art\u00edculo del blog que todo el mundo deber\u00eda leer:<\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><strong>\u00abUn grupo de ransomware <a href=\"https:\/\/www.bloomberg.com\/news\/articles\/2021-05-20\/cna-financial-paid-40-million-in-ransom-after-march-cyberattack\" target=\"_blank\" rel=\"noopener\">que recibe un pago de 40 millones de d\u00f3lares por atacar a una compa\u00f1\u00eda de seguros de ciberseguridad<\/a> da a los atacantes m\u00e1s presupuesto para seguir ciberatacando que el que tienen la mayor\u00eda de las medianas y grandes empresas tienen para defenderse totalmente de los ataques. Y eso es solo un ataque, de un grupo, que apenas lleg\u00f3 al radar de noticias de la mayor\u00eda de la gente\u00bb.<\/strong><\/p>\n<p>&#8211; Kevin Beaumont, <a href=\"https:\/\/doublepulsar.com\/the-hard-truth-about-ransomware-we-arent-prepared-it-s-a-battle-with-new-rules-and-it-hasn-t-a93ad3030a54\" target=\"_blank\" rel=\"noopener\">\u00abLa dura verdad sobre el ransomware\u00bb<\/a><\/p><\/blockquote>\n<p>&nbsp;<\/p>\n<p>Es una evaluaci\u00f3n aleccionadora, pero antes de que vayamos a a\u00f1orar los d\u00edas \u00abm\u00e1s sencillos\u00bb de 2017, tambi\u00e9n vale la pena considerar que, por mucho que hayamos visto cambiar las cosas en estos \u00faltimos ocho a\u00f1os, tambi\u00e9n hay muchas cosas que no lo han hecho.<\/p>\n<p>S\u00ed, el ecosistema de la ciberdelincuencia se ha disparado en torno al ransomware y, por supuesto, los grupos de ataque han acumulado enormes fondos para comprar d\u00edas cero y <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/lockbit-30-introduces-the-first-ransomware-bug-bounty-program\/\" target=\"_blank\" rel=\"noopener\">lanzar programas de recompensas por errores<\/a>. Pero la verdad es que, a pesar de todo esto, la mayor\u00eda sigue funcionando en modo de \u201cfruta al alcance de la mano\u201d. \u00bfPara qu\u00e9 complicarse y ponerse sofisticados si a\u00fan puedes pillar a mucha gente desprevenida con lo b\u00e1sico?<\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">\u00bfColonial Pipeline? <\/span><a href=\"https:\/\/www.crn.com\/news\/security\/colonial-pipeline-hacked-via-inactive-account-without-mfa\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Hackeado a trav\u00e9s de una cuenta inactiva sin MFA.<\/span><\/a><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a0<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">\u00bfEl sistema sanitario de Irlanda? <\/span><a href=\"https:\/\/www.hse.ie\/eng\/services\/publications\/conti-cyber-attack-on-the-hse-full-report.pdf\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Un documento de Excel malicioso.<\/span><\/a><span style=\"font-weight: 400;\">\u00a0<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">\u00bfLa banda de ransomware LockBit accedi\u00f3 durante 5 meses a una agencia gubernamental estadounidense? <\/span><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/lockbit-ransomware-gang-lurked-in-a-us-gov-network-for-months\/\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Un RDP expuesto.<\/span><\/a><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\">\u00bfEl ataque de ransomware de 50 millones de d\u00f3lares al gigante del PC Acer? <a href=\"https:\/\/www.crn.com\/news\/security\/revil-ransomware-targets-acer-s-microsoft-exchange-server-source\" target=\"_blank\" rel=\"noopener\">Una vulnerabilidad de Microsoft Exchange sin parchear.<\/a><\/li>\n<\/ul>\n<p>S\u00ed, la prevenci\u00f3n es dif\u00edcil para las organizaciones de hoy en d\u00eda, pero siempre lo ha sido, y no estoy del todo convencido de que hoy sea <em>exponencialmente<\/em> m\u00e1s dif\u00edcil que hace ocho a\u00f1os. La verdad es que unos fundamentos s\u00f3lidos y un endurecimiento b\u00e1sico de endpoints pueden llevar a las PYMES muy lejos.<\/p>\n<p>Pero este post es sobre la detecci\u00f3n, \u00bfverdad? Bueno, lo mismo aplica. La mayor\u00eda de las organizaciones seguir\u00e1n necesitando recursos dedicados (internos o subcontratados) para desplegar y supervisar activamente las oportunidades de detecci\u00f3n que vamos a cubrir aqu\u00ed, pero la barrera de entrada no es necesariamente tan alta como algunos proveedores de seguridad pueden hacerte creer.<\/p>\n<p>Un ejemplo: A continuaci\u00f3n se presentan 12 buenas ideas b\u00e1sicas de detecci\u00f3n de ransomware que pueden darte resultados sin que te cueste una fortuna.<\/p>\n<p>Vamos a verlas.<\/p>\n<p>Si prefieres un resumen visual, tambi\u00e9n hay una versi\u00f3n en v\u00eddeo: <a href=\"https:\/\/www.ninjaone.com\/videos\/security\/how-to-detect-ransomware-monitoring-and-alerting\/\">C\u00f3mo detectar el ransomware: supervisi\u00f3n y alertas.<\/a><\/p>\n<h2>C\u00f3mo detectar el ransomware<\/h2>\n<p>Para empezar, convengamos en que andar tratando de detectar la actividad del ransomware despu\u00e9s de su ejecuci\u00f3n (los ejecutables del ransomware que se ejecutan activamente y cifran los datos) es una carrera perdida. Algunas de las variantes de ransomware m\u00e1s prol\u00edficas pueden <a href=\"https:\/\/www.zdnet.com\/article\/this-is-how-fast-a-ransomware-attack-encrypts-all-your-files\/\" target=\"_blank\" rel=\"noopener\">cifrar 100.000 archivos en menos de cinco minutos<\/a>.<\/p>\n<p>Los intentos de detectar y reaccionar ante cambios masivos y repentinos en los nombres de los archivos, etc., suelen ser demasiado peque\u00f1os y tard\u00edos.<\/p>\n<p>El AV \/ EDR est\u00e1 obviamente dise\u00f1ado para bloquear los ejecutables de ransomware, pero las tasas de detecci\u00f3n\/bloqueo no son perfectas. Incluso si consiguen bloquear un ejecutable, eso no soluciona el problema de que los atacantes hayan conseguido acceder a \u00e9l. Si fallan una vez, lo volver\u00e1n a intentar.<\/p>\n<p>Los atacantes tambi\u00e9n emplean de manera rutinaria herramientas y playbooks dise\u00f1ados para obtener privilegios elevados con el fin de \u00a0deshabilitar las herramientas de seguridad (y las copias de seguridad).<\/p>\n<p>Por ese motivo, el mejor momento para detectar y desbaratar los ataques es en las primeras etapas, idealmente cuando a\u00fan se trata de intentos, a menudo automatizados, de infiltrarse y establecer puntos de apoyo iniciales en tus sistemas. Cortar los ataques de ra\u00edz es mucho m\u00e1s sencillo que enfrentar la siguiente etapa, cuando ya se trata de un hacker humano que opera con un playbook probado y con numerosas herramientas dise\u00f1adas para ayudarle a mapear r\u00e1pidamente tu red y tomar control total de ella.<\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><strong>As\u00ed que cuando hablamos de detectar el ransomware, la mejor pregunta podr\u00eda ser: \u00ab\u00bfC\u00f3mo detectamos los <em>primeros signos de alerta de un compromiso<\/em> que podr\u00eda <em>llevar<\/em> r\u00e1pidamente al ransomware?\u00bb<\/strong><\/p><\/blockquote>\n<p>&nbsp;<\/p>\n<p>Y se hace mucho hincapi\u00e9 en \u00abr\u00e1pidamente\u00bb. Los informes muestran que, desde el acceso inicial, el ransomware puede desplegarse en cualquier lugar desde d\u00edas hasta incluso solo horas despu\u00e9s.<\/p>\n<p>Por ejemplo, grupos como Black Basta y Clop son conocidos por desplegar cargas \u00fatiles en menos de 4 horas.<\/p>\n<p>Consulta los an\u00e1lisis de <a href=\"https:\/\/thedfirreport.com\/2021\/10\/18\/icedid-to-xinglocker-ransomware-in-24-hours\/\" target=\"_blank\" rel=\"noopener\">The DFIR Report sobre \u201cIcedID to XingLocker ransomware in 24 hours<\/a>\u201d y \u201c<a href=\"https:\/\/thedfirreport.com\/2020\/08\/31\/netwalker-ransomware-in-1-hour\/\" target=\"_blank\" rel=\"noopener\">Netwalker Ransomware in 1 Hour<\/a>\u201d.<\/p>\n<p>Con tan poco tiempo para identificar la amenaza y reaccionar, es fundamental contar con herramientas y profesionales experimentados que supervisen activamente los sistemas y est\u00e9n preparados para responder (idealmente aprovechando la automatizaci\u00f3n).<\/p>\n<h2>\u00bfCu\u00e1les son los indicios de ransomware y las buenas oportunidades de detecci\u00f3n?<\/h2>\n<p>La buena noticia es que, aunque existen muchos grupos de ataque y variantes, la mayor\u00eda sigue bas\u00e1ndose en manuales y herramientas comunes. Gracias al trabajo de investigadores como los de <a href=\"https:\/\/thedfirreport.com\/\" target=\"_blank\" rel=\"noopener\">The DFIR Report<\/a> y otros, los defensores pueden aprender las TTP m\u00e1s comunes y crear mecanismos de detecci\u00f3n en consecuencia.<\/p>\n<p>Lo siguiente es una lista de oportunidades de detecci\u00f3n mapeadas a patrones comunes de ataques de ransomware (un gran reconocimiento al informe <a href=\"https:\/\/thedfirreport.com\/2022\/03\/07\/2021-year-in-review\/\" target=\"_blank\" rel=\"noopener\">2021 Year in Review de The DFIR Report<\/a>). No se trata en absoluto de una lista exhaustiva, pero deber\u00eda ser una buen punto de partida.<\/p>\n<p>Si utilizas una <a href=\"https:\/\/www.ninjaone.com\/es\/supervision-gestion-de-endpoints\/\">soluci\u00f3n de gesti\u00f3n de endpoints<\/a> o <a href=\"https:\/\/www.ninjaone.com\/es\/rmm\/\">RMM<\/a> como NinjaOne, puedes crear condiciones de supervisi\u00f3n y alerta para muchas de estas detecciones que luego puedes desplegar f\u00e1cilmente en los endpoints, ahorr\u00e1ndote trabajo manual a ti y a tu equipo. Tambi\u00e9n puedes crear acciones automatizadas que quieras que activen las alertas, como reinstalar\/reiniciar autom\u00e1ticamente los procesos AV\/EDR si se identifica que faltan\/est\u00e1n desactivados.<\/p>\n<p>Si quieres llevar todo esto un paso m\u00e1s all\u00e1, la gente de The DFIR Report tambi\u00e9n ha compartido <a href=\"https:\/\/thedfirreport.com\/2022\/06\/16\/sans-ransomware-summit-2022-can-you-detect-this\/\" target=\"_blank\" rel=\"noopener\">un mont\u00f3n de reglas Sigma extremadamente \u00fatiles<\/a> que puedes utilizar con <a href=\"https:\/\/labs.f-secure.com\/tools\/chainsaw\/\" target=\"_blank\" rel=\"noopener\">Chainsaw, una herramienta gratuita de c\u00f3digo abierto de F-Secure Labs<\/a> que ofrece una forma r\u00e1pida de analizar los registros de eventos y detectar signos sospechosos de un ataque.<\/p>\n<div class=\"in-context-cta\"><p><strong><a href=\"https:\/\/www.ninjaone.com\/es\/resource\/checklist-proteccion-endpoint\/\">\u2192 Descarga gratuita: Checklist para el fortalecimiento de los endpoints<\/a><\/strong><\/p>\n<\/div>\n<h2>Tipos de t\u00e1cticas de ransomware y c\u00f3mo detectarlas: oportunidades de detecci\u00f3n por etapa de ataque<\/h2>\n<h3>Acceso inicial<\/h3>\n<p><strong>1) Informes de correos electr\u00f3nicos sospechosos de usuarios finales:<\/strong> no ocupan los titulares que las vulnerabilidades de d\u00eda cero, pero los correos electr\u00f3nicos maliciosos corrientes dise\u00f1ados para enga\u00f1ar a los usuarios para que descarguen y ejecuten <a href=\"https:\/\/www.ninjaone.com\/blog\/what-is-malware-as-a-service\/\">malware<\/a> siguen siendo <a href=\"https:\/\/www.coveware.com\/blog\/2022\/5\/3\/ransomware-threat-actors-pivot-from-big-game-to-big-shame-hunting\" target=\"_blank\" rel=\"noopener\">uno de los vectores de ataque iniciales m\u00e1s comunes<\/a>. \u00bfPor qu\u00e9? Porque funcionan.<\/p>\n<ul>\n<li><strong>C\u00f3mo detectar correos electr\u00f3nicos sospechosos:<\/strong> las organizaciones deben proporcionar a los empleados formaci\u00f3n sobre seguridad y crear una cultura en la que se les anime activamente y se les recompense por informar de correos electr\u00f3nicos sospechosos y posibles errores sin temor a ser castigados.<\/li>\n<\/ul>\n<p><strong>2) Conexiones RDP sospechosas:<\/strong> <a href=\"https:\/\/www.ninjaone.com\/es\/blog\/que-es-el-protocolo-de-escritorio-remoto-rdp\/\">el RDP<\/a> expuesto es otro vector de ataque ante el que algunos inform\u00e1ticos y responsables de seguridad pueden poner los ojos en blanco, pero sigue siendo uno de los principales puntos de compromiso inicial para los incidentes de ransomware.<\/p>\n<ul>\n<li><strong>C\u00f3mo detectar conexiones RDP sospechosas:<\/strong> esta publicaci\u00f3n de NCCGroup explica <a href=\"https:\/\/research.nccgroup.com\/2021\/10\/21\/detecting-and-protecting-when-remote-desktop-protocol-rdp-is-open-to-the-internet\/\" target=\"_blank\" rel=\"noopener\">c\u00f3mo capturar eventos de registro de bajo ruido<\/a> relacionados con sesiones RDP intentadas y exitosas. Adem\u00e1s, <a href=\"https:\/\/www.cyberdrain.com\/documenting-with-powershell-documenting-remote-access\/\" target=\"_blank\" rel=\"noopener\">este script del experto en PowerShell Kelvin Tegelaar<\/a> va m\u00e1s all\u00e1 al documentar si est\u00e1n instaladas varias herramientas de acceso remoto (Remote Desktop, Teamviewer, Connectwise ScreenConnect y otras) y registrar cu\u00e1ndo se ha producido una conexi\u00f3n correcta.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Persistencia<\/h3>\n<p><strong>1) Creaci\u00f3n sospechosa de tareas programadas<\/strong>: uno de los m\u00e9todos m\u00e1s comunes que emplean los atacantes para obtener persistencia en un sistema.<\/p>\n<ul>\n<li><strong>C\u00f3mo detectar la creaci\u00f3n de tareas programadas sospechosas:<\/strong> supervisa y genera alertas sobre esto mediante el seguimiento de los ID de evento de Windows 4698 y 4700, o aprovechando<a href=\"https:\/\/www.cyberdrain.com\/monitoring-with-powershell-chapter-3-monitoring-creation-of-scheduled-tasks\/\" target=\"_blank\" rel=\"noopener\"> el script de PowerShell de Kelvin Tegelaar disponible aqu\u00ed<\/a>.<\/li>\n<\/ul>\n<p><strong>2) Software de acceso remoto inesperado:<\/strong> otra t\u00e1ctica que est\u00e1 ganando terreno es la de los atacantes que instalan software de terceros como AnyDesk (el m\u00e1s popular con diferencia), Atera, TeamViewer y Splashtop.<\/p>\n<ul>\n<li><strong>C\u00f3mo detectar software de acceso remoto inesperado:<\/strong> se trata de herramientas populares entre los MSP, pero si no usas ninguna de ellas, es una buena idea supervisarlas regularmente y marcar su presencia. De nuevo, el script de Kelvin puede usarse para esto (ver el comentario de Luke Whitlock\u00a0para una modificaci\u00f3n que monitoriza para AnyDesk).<\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Adem\u00e1s, tambi\u00e9n puedes supervisar el ID de evento de Windows 7045.\u00a0 <\/span><\/p>\n<p>&nbsp;<\/p>\n<h3>Escalada de privilegios \/ acceso a credenciales<\/h3>\n<p><strong>1) Extracci\u00f3n de credenciales del subsistema de autoridad de seguridad local de Windows (LSASS):<\/strong> aunque los atacantes pueden robar credenciales de otras formas, \u00e9sta es, con diferencia, una de las m\u00e1s comunes.<\/p>\n<ul>\n<li><strong>C\u00f3mo detectar el abuso de LSASS:<\/strong> una buena manera de supervisar o bloquear los intentos de robar credenciales de LSASS es aprovechar <a href=\"https:\/\/docs.microsoft.com\/en-us\/microsoft-365\/security\/defender-endpoint\/attack-surface-reduction-rules-reference?view=o365-worldwide#block-credential-stealing-from-the-windows-local-security-authority-subsystem\" target=\"_blank\" rel=\"noopener\">las reglas de Attack Surface Reduction (ASR) de Microsoft<\/a> (se requiere Windows 10 compilaci\u00f3n 1709 o Windows Server compilaci\u00f3n 1809 o superior). Otras reglas de ASR tambi\u00e9n son muy \u00fatiles para bloquear diversos intentos comunes de ejecutar c\u00f3digo malicioso y obtener acceso inicial (por ejemplo, bloquear que los programas de Office creen procesos secundarios, bloquear que JavaScript o VBScript ejecuten contenido ejecutable descargado, etc.). Consulta esta publicaci\u00f3n del equipo de seguridad de Palantir en la que comparten su <a href=\"https:\/\/blog.palantir.com\/microsoft-defender-attack-surface-reduction-recommendations-a5c7d41c3cf8\" target=\"_blank\" rel=\"noopener\">evaluaci\u00f3n del impacto de las reglas ASR y la configuraci\u00f3n recomendada<\/a>. Muchas herramientas EDR tambi\u00e9n ofrecen capacidades de bloqueo y detecci\u00f3n similares para proteger LSASS.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Evasi\u00f3n de la defensa<\/h3>\n<p><b>1) Desactivar \/ desinstalar antivirus y otras herramientas de seguridad: <\/b><span style=\"font-weight: 400;\">\u00bfpor qu\u00e9 molestarse en esquivar las herramientas de seguridad cuando simplemente puedes apagarlas?<\/span><\/p>\n<ul>\n<li><b>C\u00f3mo detectar la manipulaci\u00f3n del antivirus:<\/b><a href=\"https:\/\/www.cyberdrain.com\/monitoring-with-powershell-chapter-2-anti-virus-installation-status\/\" target=\"_blank\" rel=\"noopener\"> c<span style=\"font-weight: 400;\">onsulta este script de Kelvin Tegelaar os script from Kelvin Tegelaar<\/span><\/a><span style=\"font-weight: 400;\">, si cuentas con uno, <\/span><a href=\"https:\/\/www.ninjaone.com\/es\/blog\/que-deberia-supervisar-con-su-rmm-28-recomendaciones\/\"> <span style=\"font-weight: 400;\">aprovecha tu RMM<\/span><\/a> <span style=\"font-weight: 400;\">para generar alertas peri\u00f3dicas sobre si las herramientas de seguridad est\u00e1n instaladas y\/o en ejecuci\u00f3n.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Descubrimiento<\/h3>\n<p><b>1) Uso inesperado de herramientas de escaneo de puertos y <a href=\"https:\/\/www.ninjaone.com\/es\/blog\/que-es-deteccion-de-redes\/\">descubrimiento de redes<\/a>: <\/b>u<span style=\"font-weight: 400;\">na vez que se ha establecido un punto de apoyo inicial, los atacantes necesitan examinar el entorno para ver d\u00f3nde han aterrizado e identificar las mejores oportunidades para el movimiento lateral. Muchos aprovechar\u00e1n las utilidades incorporadas de Windows como nltest.exe, ipconfig, whoami, etc., as\u00ed como ADFind. Otros utilizar\u00e1n herramientas de escaneo de puertos como Advanced IP Scanner.<\/span><\/p>\n<ul>\n<li><strong>C\u00f3mo detectar esc\u00e1neres de puertos y herramientas de reconocimiento sospechosas:<\/strong> al igual que con las herramientas de acceso remoto, puedes probar a supervisarlas y crear alertas y reglas de automatizaci\u00f3n para bloquearlas de forma proactiva.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Movimiento lateral<\/h3>\n<p><b>1) Uso sospechoso de Cobalt Strike: <\/b><span style=\"font-weight: 400;\">Cobalt Strike es un \u00absoftware de simulaci\u00f3n de adversarios\u00bb que, por desgracia, se ha hecho tan popular entre los atacantes como entre su p\u00fablico objetivo, los testers de penetraci\u00f3n. Hace que una amplia gama de t\u00e1cticas post-explotaci\u00f3n sean incre\u00edblemente f\u00e1ciles de ejecutar, y rutinariamente aparece como una herramienta abusada en incidentes de ransomware.<\/span><\/p>\n<ul>\n<li><strong>C\u00f3mo detectar Cobalt Strike:<\/strong> muchas herramientas EDR e investigadores de seguridad tienen la vista puesta en la detecci\u00f3n del uso de Cobalt Strike. <a href=\"https:\/\/github.com\/MichaelKoczwara\/Awesome-CobaltStrike-Defence\" target=\"_blank\" rel=\"noopener\">Aqu\u00ed tienes una fant\u00e1stica colecci\u00f3n de recursos para ayudarte a hacer lo mismo<\/a>.<\/li>\n<\/ul>\n<p><b>2) Software de acceso remoto inesperado: <\/b><span style=\"font-weight: 400;\">mira la secci\u00f3n de acceso remoto en \u00abPersistencia\u00bb m\u00e1s arriba.<\/span><\/p>\n<p><b>3) Conexiones de acceso remoto sospechosas:<\/b><span style=\"font-weight: 400;\"> podr\u00eda incluir el uso de RDP, SMB, VNC y m\u00e1s. <\/span><\/p>\n<ul>\n<li><strong>C\u00f3mo detectar conexiones de acceso remoto sospechosas:<\/strong> consulta esta <a href=\"https:\/\/attack.mitre.org\/techniques\/T1021\/\" target=\"_blank\" rel=\"noopener\">lista de ideas de supervisi\u00f3n de MITRE<\/a> (por ejemplo: creaci\u00f3n de conexiones de red, acceso <a href=\"https:\/\/www.ninjaone.com\/es\/blog\/eliminar-un-recurso-compartido-de-red\/\">a recursos compartidos de red<\/a>, etc.) y profundiza en las subt\u00e9cnicas para obtener informaci\u00f3n espec\u00edfica sobre el uso indebido de RDP, SMB, VNC, SSH, etc.<\/li>\n<\/ul>\n<p><b>4) Uso sospechoso de PsExec: <\/b><span style=\"font-weight: 400;\">PsExec es otra herramienta incorporada de Microsoft de la que los atacantes han abusado. Permite ejecutar remotamente comandos o scripts como SYSTEM.<\/span><\/p>\n<ul>\n<li><strong>C\u00f3mo detectar el abuso de PsExec:<\/strong> nuestro amigo <a href=\"https:\/\/www.cyberdrain.com\/monitoring-with-powershell-monitoring-psexec-execution\/\" target=\"_blank\" rel=\"noopener\">Kelvin tambi\u00e9n tiene un script para esto<\/a> (faltar\u00eda menos). Tambi\u00e9n puedes encontrar <a href=\"https:\/\/www.praetorian.com\/blog\/threat-hunting-how-to-detect-psexec\/\" target=\"_blank\" rel=\"noopener\">m\u00e1s IDs de eventos de Windows y cambios en el registro para monitorear aqu\u00ed<\/a>.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Exfiltraci\u00f3n de datos<\/h3>\n<p><b>1) Conexiones salientes sospechosas y picos de tr\u00e1fico:<\/b><span style=\"font-weight: 400;\"> con el fin de ganar m\u00e1s ventaja sobre las v\u00edctimas, es cada vez m\u00e1s com\u00fan que los atacantes no solo cifren los datos, sino que los exfiltren primero. Eso les da la amenaza adicional de vender los datos o publicarlos en directo. <\/span><\/p>\n<ul>\n<li><strong>C\u00f3mo detectar la exfiltraci\u00f3n de datos:<\/strong> los indicadores de una posible exfiltraci\u00f3n de datos pueden incluir grandes picos de tr\u00e1fico saliente, conexiones inesperadas a direcciones IP p\u00fablicas, puertos utilizados de forma poco com\u00fan, altos vol\u00famenes de consultas DNS, extensiones de archivos de origen sospechosas (.rar, .7z, .zip, etc.) y m\u00e1s. La supervisi\u00f3n de la red y las reglas del firewall pueden resultar muy \u00fatiles aqu\u00ed. Para m\u00e1s ideas, consulta la <a href=\"https:\/\/attack.mitre.org\/tactics\/TA0010\/\" target=\"_blank\" rel=\"noopener\">secci\u00f3n \u00abExfiltraci\u00f3n\u00bb de MITRE ATT&amp;CK<\/a>.<\/li>\n<\/ul>\n<p><b>2) Abuso de herramientas de transferencia de archivos integradas y de c\u00f3digo abierto:<\/b><span style=\"font-weight: 400;\"> a los atacantes les encanta utilizar herramientas leg\u00edtimas que les ayuden a pasar desapercibidos. Para la exfiltraci\u00f3n de datos, esto incluye Microsoft BITS, curl.exe, Rclone, Mega (MegaSync y MegaCmd) y m\u00e1s.<\/span><\/p>\n<ul>\n<li><strong>C\u00f3mo detectar el uso sospechoso de la transferencia de archivos:<\/strong> aunque los atacantes pueden tomarse la molestia de cambiar el nombre de estos programas, algunos simplemente no lo hacen, por lo que bloquear y\/o supervisar y alertar sobre su uso es un buen punto de partida. Para m\u00e1s ideas de detecci\u00f3n avanzada\/granular, consulta los siguientes recursos: <a href=\"https:\/\/research.nccgroup.com\/2021\/05\/27\/detecting-rclone-an-effective-tool-for-exfiltration\/\" target=\"_blank\" rel=\"noopener\">detecci\u00f3n de Rclone<\/a>, <a href=\"https:\/\/redcanary.com\/blog\/rclone-mega-extortion\/\" target=\"_blank\" rel=\"noopener\">detecci\u00f3n de Mega y Rclone<\/a>, y <a href=\"https:\/\/attack.mitre.org\/techniques\/T1197\/\" target=\"_blank\" rel=\"noopener\">MITRE ATT&amp;CK ID T1197<\/a>.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h2>A\u00f1ade una capa de detecci\u00f3n de ransomware que sea manejable y escalable<\/h2>\n<p><span style=\"font-weight: 400;\">Supervisar y alertar activamente sobre este tipo de actividades puede ser un reto para las organizaciones que no cuentan con un recurso especializado y capacitado. En muchos casos, colaborar con los expertos adecuados puede ser el camino a seguir. <\/span><\/p>\n<p><span style=\"font-weight: 400;\">Para ver m\u00e1s ejemplos de automatizaciones que los equipos de TI pueden aprovechar con NinjaOne, consulta <\/span><a href=\"https:\/\/www.ninjaone.com\/es\/blog\/que-deberia-supervisar-con-su-rmm-28-recomendaciones\/\"><span style=\"font-weight: 400;\">\u00ab\u00bfQu\u00e9 deber\u00edas supervisar con tu RMM? 28 recomendaciones\u00bb.<\/span><\/a><\/p>\n<p><span style=\"font-weight: 400;\">NinjaOne tambi\u00e9n colabora con Bitdefender para ofrecer una soluci\u00f3n antiransomware integrada como parte de su plataforma de gesti\u00f3n unificada de TI (UITO). Al incluir<\/span><span style=\"font-weight: 400;\"> NinjaOne + Bitdefender GravityZone + NinjaOne Data Protection, el paquete <a href=\"https:\/\/www.ninjaone.com\/es\/ransomware\/\">NinjaOne Protect<\/a> ayuda a prevenir, detectar y responder a los ataques de ransomware, mitigando potencialmente el impacto del ransomware en tu negocio <\/span>.<\/p>\n<p><span style=\"font-weight: 400;\">Ap\u00fantate a una <\/span><a href=\"https:\/\/www.ninjaone.com\/es\/prueba-gratuita-formulario\/\"><span style=\"font-weight: 400;\">prueba gratuita<\/span><\/a><span style=\"font-weight: 400;\"> de NinjaOne Protect hoy mismo.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Es una locura pensar que este mes de mayo se cumplieron cinco a\u00f1os desde que el brote de WannaCry ayud\u00f3 a hacer del ransomware un nombre familiar. En cierto modo, parece que fue hace toda una vida (o m\u00e1s). Por ejemplo: En comparaci\u00f3n con las asombrosas cifras citadas en los informes actuales, algunas de las [&hellip;]<\/p>\n","protected":false},"author":28,"featured_media":260709,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4366],"tags":[],"class_list":["post-148477","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad"],"acf":[],"modified_by":"Karina PicoCatala","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/posts\/148477","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/users\/28"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/comments?post=148477"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/posts\/148477\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/media\/260709"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/media?parent=148477"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/categories?post=148477"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/tags?post=148477"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}