Guía de higiene de la resiliencia cibernética

Tiempo de lectura

13 min

ESCRITO POR

Inteligencia contra amenazas Microsoft

31/08/2023

En la era digital actual, las empresas dependen cada vez más de la tecnología y los sistemas en línea para llevar a cabo sus actividades. Por ello, cumplir las normas mínimas de ciberhigiene es esencial para protegerse contra las ciberamenazas, minimizar los riesgos y garantizar la viabilidad permanente de la empresa.

La higiene de seguridad básica sigue protegiendo contra el 98 % de los ataques.¹

Gráfico de la curva de campana de la ciberhigiene extraída del Informe de protección digital de Microsoft 2022 (MDDR)

Las normas mínimas que toda organización debe adoptar son:

Requerir autenticación multifactor (MFA) resistente a la suplantación de identidad
Aplicar los principios de la Confianza cero
Utilizar un antimalware moderno
Mantener los sistemas actualizados
Proteger datos

¿Quiere reducir los ataques a tus cuentas? Activa la MFA. La autenticación multifactor, como su nombre indica, requiere dos o más factores de verificación. Comprometer más de un factor de autenticación supone un reto importante para los atacantes, ya que conocer (o descifrar) una contraseña no será suficiente para acceder a un sistema. Con la MFA activada, puedes evitar el 99,9 % de los ataques a tus cuentas..²

Simplifica el uso de la MFA

Aunque la autenticación multifactor, por su nombre, implica pasos adicionales, debes intentar elegir la opción MFA más sencilla posible (como el uso de biometría en dispositivos o factores compatibles con FIDO2, como las claves de seguridad Feitian o Yubico) para tus empleados.

Evita que la MFA sea onerosa.

Elige la MFA cuando la autenticación extra pueda ayudar a proteger datos confidenciales y sistemas críticos en lugar de aplicarla a cada interacción.

La MFA no tiene por qué ser un reto para el usuario final. Usa directivas de acceso condicional, que permiten activar la verificación en dos pasos en función de la detección de riesgos, así como la autenticación transferida y el inicio de sesión único (SSO). De este modo, los usuarios finales no tienen que soportar múltiples secuencias de inicio de sesión para acceder a archivos compartidos o calendarios no críticos de la red corporativa cuando sus dispositivos cuentan con las últimas actualizaciones de software. Los usuarios tampoco tendrán que restablecer sus contraseñas cada 90 días, lo que mejorará significativamente su experiencia.

Ataques habituales de phishing

En un ataque de suplantación de identidad, los delincuentes utilizan tácticas de ingeniería social para engañar a los usuarios y conseguir que faciliten credenciales de acceso o revelen información confidencial. Los ataques de suplantación de identidad más comunes son:

Imagen que describe los ataques de suplantación de identidad más comunes (correo electrónico, inyección de contenido, manipulación de vínculos, phishing de objetivo definido e intermediario)

Si quieres saber más sobre el tema de las contraseñas y la identidad, echa un vistazo a los siguientes recursos de Microsoft.

La serie de CISO: Protege tus cuentas administrativas privilegiadas con un plan de desarrollo por fases entrada de blog de Mark Simos de Microsoft
Las tácticas de desplazamiento impulsan un aumento en el compromiso de correo empresarial, número 4 de Cyber Signals: El juego de la confianza

La Confianza cero es la piedra angular de cualquier plan de resistencia para limitar el impacto sobre una organización. Un modelo de Confianza Cero es un enfoque proactivo e integrado de la seguridad en todas las capas de la infraestructura digital que verifica explícita y continuamente cada transacción, asegura el acceso con los mínimos privilegios y se basa en la inteligencia, la detección anticipada y la respuesta en tiempo real a las amenazas.

Cuando se adopta un enfoque de Confianza cero, es posible:

Facilitar el trabajo remoto e híbrido
Ayudar a prevenir o reducir los daños empresariales derivados de una vulneración
Identificar y ayudar a proteger datos e identidades empresariales confidenciales
Generar confianza en tu posición y programas de seguridad entre tu equipo directivo, empleados, asociados, partes interesadas y clientes

Los principios de la Confianza cero son:

Asumir la vulneración Asume que los atacantes pueden atacar y atacarán con éxito cualquier cosa (identidad, red, dispositivo, aplicación, infraestructura, etc.) y planifica en consecuencia. Esto implica una supervisión constante del entorno ante posibles ataques.
Verificar explícitamente Garantiza que los usuarios y dispositivos estén en buen estado antes de permitir el acceso a recursos. Proteger los recursos contra el control de los atacantes validando explícitamente que todas las decisiones de confianza y seguridad utilizan la información y telemetría pertinentes disponibles.
Usar el acceso con privilegios mínimos Limita el acceso a un recurso potencialmente comprometido con directivas de acceso Just-In-Time y Just-Enough-Access (JIT/JEA) y basadas en el riesgo, como el control de acceso adaptable. Debes permitir solo los privilegios que sean necesarios para el acceso a un recurso y ninguno más.

Capas de seguridad de Confianza cero

En aras de la seguridad, es posible sobrepasar los límites...

Un exceso de seguridad, es decir, una seguridad que resulte excesivamente restrictiva para el usuario cotidiano, puede conducir al mismo resultado que no tener suficiente seguridad en primer lugar: más riesgo.

Los estrictos procesos de seguridad pueden dificultar el trabajo de las personas. Y lo que es peor, pueden inspirar a las personas a encontrar soluciones creativas del estilo de las TI en la sombra, motivándoles a saltarse la seguridad por completo, a veces utilizando sus propios dispositivos, correo electrónico y almacenamiento, y utilizando sistemas que (irónicamente) son menos seguros y presentan un mayor riesgo para la empresa.

Si quieres saber más sobre el tema de la Confianza cero, echa un vistazo a los siguientes recursos.

¿Por qué Confianza cero?
Las 5 razones para adoptar una estrategia de seguridad de Confianza cero para tu empresa entrada de blog de Vasu Jakkal de Microsoft
Evaluación de la posición de seguridad de la Confianza cero

Utiliza antimalware de detección y respuesta extendidas. Implementa software que detecte ataques, los bloquee de forma automática y proporcione información sobre las operaciones de seguridad.

Supervisar la información obtenida de los sistemas de detección de amenazas es esencial a la hora de responder a amenazas de manera oportuna.

Procedimientos recomendados de automatización y orquestación de la seguridad

Traslada todo el trabajo posible a tus detectores

Selecciona e implementa sensores que automaticen, correlacionen e interrelacionen sus hallazgos antes de enviarlos a un analista.

Automatizar la colección de alertas

El analista de operaciones de seguridad debe tener todo lo que necesita para clasificar y responder a una alerta sin realizar ninguna recopilación de información adicional, como consultar sistemas que pueden o no estar sin conexión o recopilar información de fuentes adicionales como sistemas de administración de recursos o dispositivos de red.

Automatizar la priorización de alertas

Deben aprovecharse los análisis en tiempo real para priorizar los eventos en función de la información sobre amenazas, la información sobre recursos y los indicadores de ataque. Los analistas y el personal de respuesta a incidentes deben centrarse en las alertas de mayor gravedad.

Automatizar tareas y procesos

Centrarse primero en los procesos administrativos comunes, repetitivos y lentos y estandarizar los procedimientos de respuesta. Una vez estandarizada la respuesta, automatiza el flujo de trabajo de los analistas de operaciones de seguridad para eliminar cualquier intervención humana en la medida de lo posible, de modo que puedan centrarse en tareas más críticas.

Mejora continua

Supervisa las métricas clave y ajusta tus sensores y flujos de trabajo para impulsar cambios graduales.

Ayudar a prevenir, detectar y responder a las amenazas

Defiéndete contra las amenazas en todas las cargas de trabajo aprovechando las completas funciones de prevención, detección y respuesta con funcionalidades integradas de detección y respuesta extendidas (XDR) y administración de eventos e información de seguridad (SIEM).

Acceso remoto

Los atacantes se dirigen con frecuencia a soluciones de acceso remoto (RDP, VDI, VPN, etc.) para entrar en un entorno y ejecutar operaciones continuas para dañar los recursos internos.

Para evitar que los atacantes entren, necesitarás:

Mantener al día las actualizaciones de software y dispositivos
Aplicar la validación de usuarios y dispositivos de Confianza cero
Configurar la seguridad para soluciones VPN de terceros
Publicar aplicaciones web locales

Software de correo electrónico y colaboración

Otra táctica habitual para introducirse en entornos es transferir contenido malicioso con herramientas de correo electrónico o de intercambio de archivos y luego convencer a los usuarios para que lo ejecuten.

Para evitar que los atacantes entren, necesitarás:

Implementar seguridad de correo electrónico avanzada
Habilitar reglas de reducción de la superficie de ataque para bloquear las técnicas de ataque más comunes
Analizar los archivos adjuntos en busca de amenazas basadas en macros

Puntos de conexión

Los puntos de conexión expuestos a Internet son vectores de entrada favoritos, ya que proporcionan a los atacantes acceso a los recursos de la organización.

Para evitar que los atacantes entren, necesitarás:

Bloquear las amenazas conocidas con reglas de reducción de la superficie expuesta a ataques dirigidas a determinados comportamientos del software, como el lanzamiento de archivos ejecutables y scripts que intentan descargar o ejecutar archivos, la ejecución de scripts ofuscados o sospechosos, o la realización de comportamientos que las aplicaciones no suelen iniciar durante el trabajo diario normal.
Mantener el software actualizado y compatible
Aislar, deshabilitar o retirar los sistemas y protocolos inseguros
Bloquear el tráfico inesperado con firewalls basados en host y defensas de red

Mantener una vigilancia constante

Usa la XDR y SIEM integradas para proporcionar alertas de alta calidad y minimizar la fricción y los pasos manuales durante la respuesta.

Acabar con los sistemas heredados

Los sistemas más antiguos que carecen de controles de seguridad como antivirus y soluciones de detección y respuesta de puntos de conexión (EDR) pueden permitir a los atacantes realizar toda la cadena de ataque de ransomware y exfiltración desde un único sistema.

Si no es posible configurar las herramientas de seguridad para el sistema heredado, hay que aislar el sistema física (mediante un firewall) o lógicamente (eliminando la superposición de credenciales con otros sistemas).

No ignorar el malware convencional

El ransomware automatizado clásico puede carecer de la sofisticación de los ataques con teclado, pero eso no lo hace menos peligroso.

Cuidado con los adversarios que deshabilitan la seguridad

Supervisa tu entorno para detectar la deshabilitación de la seguridad por parte de adversarios (a menudo parte de una cadena de ataque), como la limpieza de registros de eventos, especialmente el registro de eventos de seguridad y los registros operativos de PowerShell, y la deshabilitación de herramientas y controles de seguridad (asociados con algunos grupos).

Si quieres saber más sobre el uso de un antimalware moderno, consulta los recursos de Microsoft que encontrarás a continuación.

La Herramienta de autoevaluación de operaciones de seguridad
Los 4 principios de Microsoft para un centro de operaciones de seguridad eficaz entrada de blog de Jonathan Trull de Microsoft
Los 5 procedimientos recomendados para automatizar las operaciones de seguridad entrada de blog de Jonathan Trull de Microsoft

Los sistemas obsoletos o que carecen de sus últimas revisiones son una de las razones clave por las que muchas organizaciones son víctimas de ataques. Asegúrate de que todos los sistemas están actualizados, incluido su firmware, sistema operativo y aplicaciones.

Procedimientos recomendados

Asegúrate de que los dispositivos son robustos aplicando parches, cambiando las contraseñas por defecto y los puertos SSH por defecto.
Reduce la superficie de ataque eliminando las conexiones a Internet innecesarias y los puertos abiertos, restringiendo el acceso remoto mediante el bloqueo de puertos, denegando el acceso remoto y utilizando servicios VPN.
Utiliza una solución de detección y respuesta de red (NDR) consciente del Internet de las cosas y la tecnología operativa (IoT/OT) y una solución de administración de eventos e información de seguridad (SIEM)/orquestación y respuesta de seguridad (SOAR) para supervisar los dispositivos en busca de comportamientos anómalos o no autorizados, como la comunicación con hosts desconocidos.
Segmenta las redes para limitar la capacidad de un atacante de moverse lateralmente y comprometer los recursos tras la intrusión inicial. Los dispositivos IoT y las redes OT deben aislarse de las redes informáticas corporativas mediante cortafuegos.
Asegúrate de que los protocolos ICS no están expuestos directamente a Internet
Obtén una visibilidad más profunda de los dispositivos IoT/OT en tu red y priorízalos por riesgo para la empresa si se ven comprometidos.
Utiliza herramientas de escaneado de firmware para conocer las posibles deficiencias de seguridad y colabora con los proveedores para determinar cómo mitigar los riesgos de los dispositivos de alto riesgo.
Influye positivamente en la seguridad de los dispositivos IoT/OT exigiendo a tus proveedores la adopción de las mejores prácticas del ciclo de vida de desarrollo seguro.
Evita transferir archivos que contengan definiciones del sistema a través de canales no seguros, o a personal no esencial.
Cuando sea inevitable transferir este tipo de archivos, asegúrate de supervisar la actividad en la red y garantizar la seguridad de los recursos.
Protege las estaciones de ingeniería mediante la supervisión con soluciones EDR.
Conduce respuesta a incidentes proactiva en redes OT.
Implementa la supervisión continua con soluciones como Microsoft Defender para IoT.

Si quieres obtener más información, consulta los siguientes recursos de Microsoft

Las 7 maneras de reforzar el entorno contra el compromiso entrada de blog de Alan Johnstone y Patrick Strijkers de Microsoft
Convertirse en resiliente mediante la comprensión de los riesgos de ciberseguridad: parte 4: explorar las amenazas actuales entrada de blog de Mark Simos y Sarah Armstrong-Smith de Microsoft

Estar al tanto de los datos más importantes, su ubicación y si están implementados los sistemas correctos es crucial para implementar la protección adecuada.

Entre los desafíos que plantea la seguridad de los datos figuran:

Reducir y administrar el riesgo de errores de los usuarios
La clasificación manual de usuarios es poco práctica a gran escala
Los datos deben protegerse fuera de la red
El cumplimiento y la seguridad exigen una estrategia completa
Cumplimiento de requisitos de cumplimiento cada vez más estrictos

5 pilares de un enfoque de defensa en profundidad de la seguridad de los datos

Las áreas de trabajo híbridas de hoy en día requieren que se acceda a los datos desde múltiples dispositivos, aplicaciones y servicios de todo el mundo. Con tantas plataformas y puntos de acceso, debes contar con sólidas protecciones contra el robo y la filtración de datos. Para el entorno actual, un enfoque de defensa en profundidad ofrece la mejor protección para fortificar la seguridad de tus datos. Esta estrategia consta de cinco componentes, que pueden aplicarse en el orden que mejor se adapte a las necesidades específicas de tu organización y a los posibles requisitos normativos.

Identificar el panorama de los datos
Antes de proteger tus datos confidenciales, tienes que descubrir dónde se encuentran y cómo se accede a ellos. Esto requiere una visibilidad completa de todas tus infraestructuras de datos, ya sean locales, híbridas o multinube.
Proteger los datos confidenciales Además de crear un mapa holístico, tendrá que proteger los datos, tanto en reposo como en tránsito. Aquí es donde entran en juego el etiquetado y la clasificación precisos de los datos, para que puedas saber cómo se accede a ellos, cómo se almacenan y cómo se comparten. Un seguimiento preciso de los datos ayudará a evitar que sean objeto de filtraciones y violaciones.
Administrar riesgos Incluso cuando tus datos estén mapeados y etiquetados adecuadamente, tendrás que tener en cuenta el contexto del usuario en torno a los datos y las actividades que pueden dar lugar a posibles incidentes de seguridad de los datos, y eso incluye las amenazas internas. El mejor enfoque para abordar el riesgo interno reúne a las personas, los procesos, la formación y las herramientas adecuados.
Evitar la pérdida de datos No te olvides del uso no autorizado de los datos: eso también es una pérdida. Una solución eficaz de protección frente a la pérdida de datos debe equilibrar protección y productividad. Es fundamental asegurarse de que se aplican los controles de acceso adecuados y se establecen directivas para evitar acciones como guardar, almacenar o imprimir indebidamente datos confidenciales.
Gobernar el ciclo de vida de los datos A medida que el gobierno de datos evoluciona para que los equipos empresariales se conviertan en administradores de sus propios datos, es importante que las organizaciones creen un enfoque unificado en toda la empresa. Este tipo de administración proactiva del ciclo de vida conduce a una mejor seguridad de los datos y ayuda a garantizar que los datos se democratizan de forma responsable para el usuario, donde pueden generar valor empresarial.

Si quieres obtener más información sobre la protección de datos, consulta los siguientes recursos de Microsoft.

Las 3 estrategias para crear un programa de protección de la información entrada de blog del equipo de seguridad de Microsoft
Las 3 estrategias para lanzar un plan de gobierno de datos eficaz entrada de blog de Erica Toelle y Anna Chiang de Microsoft

Aunque los actores de las amenazas siguen evolucionando y volviéndose más sofisticados, hay un tópico de la ciberseguridad que conviene repetir: Una higiene básica de ciberseguridad, habilitar la MFA, aplicar los principios de Confianza cero, mantenerse al día, utilizar antimalware moderno y proteger los datos- evita el 98 % de los ataques.

Para ayudar a protegerse contra las ciberamenazas, minimizar los riesgos y garantizar la viabilidad permanente de tu organización, es esencial cumplir las normas mínimas de higiene en ciberseguridad.

Superficie expuesta a ataques Suplantación de identidad (phishing) Confianza cero

La ciberhigiene básica evita el 99 % de los ataques

Las normas mínimas que toda organización debe adoptar son:

Simplifica el uso de la MFA

Ataques habituales de phishing

Capas de seguridad de Confianza cero

En aras de la seguridad, es posible sobrepasar los límites...

Ayudar a prevenir, detectar y responder a las amenazas

Acceso remoto

Software de correo electrónico y colaboración

Puntos de conexión

Artículos relacionados

61 % de aumento de ataques de phishing. Conozca su superficie actual expuesta a ataques.

El ciberdelito como servicio (CaaS) provoca un aumento del 38 % del fraude en el correo electrónico empresarial

El compromiso de correo empresarial (BEC) está en alza, ya que los cibercriminales pueden ocultar el origen de los ataques para que sean aún más nefastos. Obtén información sobre CaaS y cómo ayudar a proteger tu organización.

Seguridad centrada en la nube: Cómo los principales CISO colman las lagunas en materia de cobertura

Los CISO comparten sus prioridades de seguridad cambiantes a medida que sus organizaciones adoptan modelos centrados en la nube y describen los desafíos que supone integrar todo su patrimonio digital.

Seguir a Microsoft