Mitiga ataques de ransomware con Google Cloud

Last reviewed 2021-11-15 UTC

El código que crea un tercero para infiltrar tus sistemas a fin de usurpar, encriptar y robar datos se denomina ransomware. Para ayudarte a mitigar los ataques de ransomware, Google Cloud te proporciona controles a fin de identificar, proteger, detectar, responder y recuperarse de los ataques. Estos controles te ayudan a lograr lo siguiente:

  • Evaluar los riesgos.
  • Proteger tu empresa de las amenazas.
  • Mantener operaciones continuas
  • Habilitar la respuesta y la recuperación rápidas.

Este documento es parte de una serie destinada a arquitectos y administradores de seguridad. Se describe cómo Google Cloud puede ayudar a tu organización a mitigar los efectos de los ataques de ransomware. También se describe la secuencia de ataques de ransomware y los controles de seguridad integrados en los productos de Google que te ayudan a prevenir ataques de ransomware.

La serie tiene las siguientes partes:

Secuencia de ataque de ransomware

Los ataques de ransomware pueden comenzar como campañas masivas en busca de posibles vulnerabilidades, o como campañas dirigidas. Una campaña dirigida comienza con la identificación y el reconocimiento, en los que un atacante determina qué organizaciones son vulnerables y qué vector de ataque usar.

Existen muchos vectores de ataque de ransomware. Los más comunes son los correos electrónicos de suplantación de identidad con URL maliciosas o la explotación de una vulnerabilidad de software expuesta. Esta vulnerabilidad de software puede estar en el software que utiliza tu organización o en una vulnerabilidad que exista en la cadena de suministro de software. Los atacantes de ransomware se orientan a las organizaciones, su cadena de suministro y sus clientes.

Cuando el ataque inicial tiene éxito, el ransomware se instala y se comunica con el comando y el servidor de control para recuperar las claves de encriptación. A medida que el ransomware se extiende por toda la red, puede infectar recursos, encriptar datos mediante las claves que recuperó y robarlos. Los atacantes exigen un robo, por lo general, en criptomonedas, de la organización para que puedan obtener la clave de desencriptación.

En el siguiente diagrama, se resume la secuencia de ataques de ransomware típica que se explica en los párrafos anteriores, desde la identificación y el reconocimiento hasta el robo de datos y la demanda de robo.

La secuencia de ataques de ransomware.

El ransomware suele ser difícil de detectar. Según Sophos, una organización tarda alrededor de 11 días en descubrir un ataque de ransomware, mientras que Fireojo informa un tiempo promedio de 24 días. Por lo tanto, es fundamental implementar capacidades de prevención, supervisión y detección, y que la organización esté lista para responder de forma rápida cuando alguien descubra un ataque.

Controles de seguridad y resiliencia en Google Cloud

En Google Cloud, se incluyen controles integrados de seguridad y resiliencia para ayudar a proteger a los clientes contra ataques de ransomware. Estos controles incluyen las siguientes opciones:

  • Infraestructura global diseñada con seguridad durante todo el ciclo de vida del procesamiento de la información.
  • Funciones de seguridad integradas para los productos y servicios de Google Cloud, como la supervisión, la detección de amenazas, la prevención de pérdida de datos y los controles de acceso
  • Alta disponibilidad con clústeres regionales y balanceadores de cargas globales.
  • Copia de seguridad integrada, con servicios fácilmente escalables.
  • Capacidades de automatización que usan la infraestructura como código y las barreras de configuración.

Google Cloud Threat Intelligence para Chronicle y VirusTotal hacen un seguimiento de muchos tipos de software malicioso, incluido un ransomware, en la infraestructura y los productos de Google. Google Cloud Threat Intelligence para Chronicle es un equipo de investigadores de amenazas que desarrolla inteligencia de amenazas de Chronicle. VirusTotal es una solución de visualización y base de datos de software malicioso que proporciona una mejor comprensión de cómo funciona el software malicioso en tu empresa.

Para obtener más información sobre los controles de seguridad integrados, consulta el informe de seguridad de Google y la Descripción general del diseño de seguridad de la infraestructura de Google.

Controles de seguridad y resiliencia en Google Workspace, el navegador Chrome y Chromebooks

Además de los controles dentro de Google Cloud, otros productos de Google, como Google Workspace, el navegador Google Chrome y las Chromebooks, incluyen controles de seguridad que pueden ayudar a proteger tu organización contra ataques de ransomware. Por ejemplo, los productos de Google proporcionan controles de seguridad que permiten a los trabajadores remotos acceder a los recursos desde cualquier lugar, según su identidad y contexto (como ubicación o dirección IP).

Como se describe en la sección Secuencia de ataques de ransomware, el correo electrónico es un vector clave para muchos ataques de ransomware. Se puede aprovechar para robar credenciales del acceso a la red fraudulenta y distribuir directamente los objetos binarios de ransomware. La protección avanzada contra suplantación de identidad (phishing) y software malicioso de Gmail proporciona controles para correos electrónicos en cuarentena, protege contra los tipos de archivos adjuntos dañinos y ayuda a proteger a los usuarios de los correos electrónicos de falsificación de identidad entrantes. La zona pruebas de seguridad está diseñada para detectar la presencia de software malicioso anteriores en los archivos adjuntos.

El navegador Chrome incluye Navegación segura de Google, que está diseñada para proporcionar advertencias a los usuarios cuando intentan acceder a un sitio infectado o malicioso. Las zonas de pruebas y el aislamiento de sitios ayudan a proteger contra la expansión de códigos maliciosos dentro de los diferentes procesos en la misma pestaña. La protección por contraseña está diseñada para proporcionar alertas cuando se usa una contraseña corporativa en una cuenta personal y verifica si alguna de las contraseñas guardadas del usuario se vio comprometida en una vulneración en línea. En este caso, el navegador solicita al usuario que cambie su contraseña.

Las siguientes funciones de Chromebook ayudan a ofrecer protección contra ataques de suplantación de identidad (phishing) y ransomware:

  • Sistema operativo de solo lectura (Chrome OS). Este sistema está diseñado para actualizarse de forma invisible y constante. Chrome OS ayuda a proteger contra las vulnerabilidades más recientes y, además, incluye controles que garantizan que las aplicaciones y extensiones no puedan modificarla.
  • Zona de pruebas Cada aplicación se ejecuta en un entorno aislado, por lo que una aplicación dañina no puede infectar con facilidad otras aplicaciones.
  • Inicio verificado. Mientras se inicia la Chromebook, se diseñó para comprobar que no se haya modificado el sistema.
  • Navegación segura Chrome descarga de forma periódica la lista más reciente de sitios no seguros de la Navegación segura. Está diseñado para verificar las URL de cada sitio que un usuario visite y comprobar cada archivo que descarga un usuario en esta lista.
  • Chips de seguridad Titan C. Estos chips ayudan a proteger a los usuarios contra ataques de suplantación de identidad (phishing), ya que habilitan la autenticación de dos factores y protegen el sistema operativo de la manipulación maliciosa.

A fin de reducir la superficie de ataque de tu organización, considera usar Chromebooks para los usuarios que trabajan principalmente en un navegador.

¿Qué sigue?