El ransomware no es principalmente un problema de malware. Es un problema de acceso a infraestructura. El malware es el paso final en una cadena de ataque que comienza mucho antes — con un puerto expuesto, un servicio sin actualizar, una credencial débil o una red plana que no ofrece resistencia al movimiento lateral. Corrige la infraestructura, y el ransomware o no logra entrar o no logra propagarse lo suficiente como para importar.
En Solvanta, una parte significativa del trabajo de seguridad que realizamos es con organizaciones que nos contactaron después de un incidente de ransomware, o con organizaciones que decidieron que preferían no descubrir cómo se siente esa experiencia. Los patrones son lo suficientemente consistentes como para ser predecibles — y prevenibles.
Cómo entra realmente el ransomware
Los tres puntos de entrada más comunes que vemos son: acceso remoto expuesto, credenciales obtenidas mediante phishing, y servicios públicos sin actualizar. Cada uno de estos es una falla de infraestructura antes de ser cualquier otra cosa.
RDP y servicios de acceso remoto expuestos. El Protocolo de Escritorio Remoto en el puerto 3389 es uno de los puertos más escaneados en internet. Las herramientas de fuerza bruta funcionan continuamente contra cualquier servicio RDP expuesto, y los ataques de relleno de credenciales utilizan bases de datos de contraseñas filtradas previamente. Una organización que expone RDP a internet público sin MFA, lista de IPs permitidas y políticas de bloqueo de cuentas está operando un punto de entrada permanentemente disputado. Lo mismo aplica a SSH sin protección, VNC y paneles de administración web.
Phishing y robo de credenciales. La mayoría de las campañas de ransomware empresarial comienzan con un correo de phishing que entrega malware o un recolector de credenciales. Una vez que un atacante tiene un conjunto válido de credenciales, se autentica legítimamente — lo que significa que no hay firma de malware que detectar ni exploit que bloquear. La defensa de infraestructura aquí es hacer que las credenciales robadas sean lo más inútiles posible: MFA en todos los accesos remotos, tiempos de sesión cortos y segmentación de red que limita lo que cualquier credencial puede alcanzar.
Servicios sin actualizar. Las campañas de ransomware de alto perfil han explotado repetidamente vulnerabilidades conocidas en appliances VPN, interfaces de gestión de firewall y aplicaciones web. Estos no son exploits de día cero — son vulnerabilidades con CVEs públicos y parches disponibles. Las organizaciones que fueron afectadas simplemente no los habían aplicado. Mantener una superficie de ataque mínima y actualizada es un trabajo sin glamour, pero elimina categorías enteras de ataques.
Por qué se propaga el ransomware: el problema de la red plana
Que el ransomware llegue a una máquina es grave. Que llegue a todas las máquinas de una organización es catastrófico. La diferencia está determinada casi en su totalidad por la arquitectura de red.
En una red plana — donde cada sistema puede alcanzar a cualquier otro sistema en la misma subred — el ransomware puede enumerar y cifrar recursos compartidos, servidores de bases de datos y sistemas de respaldo desde un único host comprometido. Esto no es un riesgo teórico; es exactamente lo que ocurre en la mayoría de los incidentes importantes.
La segmentación de red cambia esta ecuación. Cuando las estaciones de trabajo no pueden llegar directamente a los servidores de bases de datos, cuando la red de respaldos está aislada de la red de producción, cuando el acceso administrativo requiere pasar por un bastion host reforzado, un compromiso en un segmento permanece en ese segmento.
La arquitectura DMZ, la segmentación VLAN y las reglas estrictas de firewall entre segmentos no son medidas de seguridad exóticas. Son práctica estándar de infraestructura que la mayoría de las organizaciones simplemente no han implementado porque nadie lo priorizó hasta después de un incidente.
Los respaldos solo son un plan de recuperación si están aislados
Los grupos de ransomware que maximizan su ventaja hacen una cosa antes de detonar su carga: encuentran y destruyen los respaldos. Si tu sistema de respaldos es accesible desde la misma red que tus sistemas de producción — montado como un recurso compartido de red, accesible con las mismas credenciales — será cifrado junto con todo lo demás.
Una arquitectura de respaldos efectiva para la resiliencia ante ransomware requiere tres cosas:
- Aislamiento: El almacenamiento de respaldos debe estar en un segmento de red al que los sistemas de producción no puedan escribir ni eliminar. El sistema de respaldos extrae de producción; la producción no empuja hacia los respaldos.
- Inmutabilidad: Almacenamiento de objetos con bloqueo de objetos (compatible con S3 con política WORM) o destinos de respaldo de solo adición impiden la modificación o eliminación de los respaldos existentes.
- Restauraciones probadas: Un respaldo del que nunca se ha restaurado es una hipótesis sin probar. Las pruebas de restauración verificadas mensualmente confirman que tus respaldos realmente funcionan — antes de necesitarlos en un incidente.
Con respaldos aislados y verificados, un incidente de ransomware se convierte en un ejercicio de recuperación en lugar de un evento que acaba con el negocio.
La lista de verificación de hardening de infraestructura
- Sin RDP, SSH ni paneles de administración expuestos directamente a internet sin MFA y restricciones de IP
- Reglas de firewall con denegación predeterminada y reglas de permiso explícitas por servicio y origen
- Segmentación de red separando estaciones de trabajo, servidores, bases de datos e infraestructura de respaldos
- Gestión de parches con despliegue automatizado de actualizaciones de seguridad
- Acceso privilegiado limitado a cuentas de administrador dedicadas
- Infraestructura de respaldos aislada de producción con pruebas de restauración verificadas
- Registro centralizado y alertas sobre anomalías de autenticación e indicadores de movimiento lateral
Si quieres entender tu exposición actual antes de que ocurra un incidente, solicita una auditoría de seguridad. Mapearemos tu superficie de ataque real y te daremos un plan de remediación priorizado.