Pueden borrar tu negocio por completo: 5 reglas de los expertos de Mandiant para no perderlo todo
El margen entre la estabilidad y el colapso total se ha vuelto peligrosamente estrecho.
El equipo de Mandiant Threat Intelligence publicó una guía actualizada para proteger la infraestructura frente a ciberataques destructivos. El documento describe escenarios en los que los atacantes destruyen datos, borran las huellas de la intrusión o dejan los sistemas fuera de servicio, y propone un conjunto de medidas prácticas para preparar a las organizaciones ante incidentes de este tipo.
Los ataques destructivos siguen siendo una herramienta relativamente poco frecuente; sin embargo, en periodos de tensión geopolítica se emplean con mayor frecuencia. Los autores del informe destacan que los programas de borrado (wipers), el ransomware modificado y otras herramientas similares permiten paralizar rápidamente la infraestructura y dificultar la investigación. Estas operaciones suelen ir acompañadas de reconocimiento de la red, escalada de privilegios y movimiento lateral entre sistemas.
Los especialistas recomiendan que las organizaciones presten atención a la resiliencia de la infraestructura y a la preparación ante situaciones de crisis. Un canal de comunicación de respaldo, independiente de la infraestructura corporativa, desempeña un papel importante. Ese canal permitirá coordinar las acciones de los equipos de respuesta si los servicios principales dejan de funcionar. También es necesario preparar de antemano planes de recuperación de los servicios clave, definir prioridades para el arranque de las aplicaciones y formalizar acuerdos con proveedores externos que puedan participar en la respuesta y en la recuperación de los sistemas.
Un bloque independiente de recomendaciones se refiere a la protección de los servicios externos. Las aplicaciones accesibles desde internet y los servicios en la nube a menudo son el punto de entrada inicial mediante vulnerabilidades o el uso de credenciales. Los autores aconsejan realizar escaneos de vulnerabilidades y pruebas de penetración de forma periódica, así como vigilar las actualizaciones del software. Al detectar una vulnerabilidad no solo es necesario corregirla, sino también verificar el sistema en busca de señales de compromiso.
Para el acceso a esos servicios se recomienda implementar ampliamente la autenticación multifactor. Las opciones más resistentes, según los especialistas, son las claves de hardware conforme al estándar FIDO2 o los mecanismos Passkey. Métodos más débiles, como la verificación por SMS y las llamadas telefónicas, siguen siendo vulnerables a la interceptación o a ataques de suplantación de SIM.
El informe dedica gran atención al respaldo y a la recuperación de la infraestructura. Los sistemas críticos, incluidos los controladores de dominio, deben contar con copias de seguridad protegidas, aisladas de la red principal. Se recomienda comprobar regularmente los procedimientos de recuperación y mantener parte de las copias de seguridad en un entorno fuera de línea. Este enfoque reduce el riesgo de eliminación total de datos durante un ataque.
Los especialistas también aconsejan segmentar rigurosamente las redes de tecnologías de la información y la infraestructura industrial. La compromisión del entorno corporativo no debe otorgar al atacante acceso directo a los sistemas de control de procesos. Para esos segmentos conviene utilizar dominios de autenticación separados y reglas estrictas de acceso a la red.
Unas recomendaciones específicas se dedican a las plataformas en la nube y a la infraestructura virtualizada. La guía señala la necesidad de aislar las interfaces de administración de los hipervisores, limitar el acceso a ellas solo desde estaciones de trabajo administrativas protegidas y supervisar acciones anómalas, como el apagado masivo de máquinas virtuales o la modificación de configuraciones. También se recomienda cifrar los discos virtuales y las copias de seguridad para evitar el robo de datos en caso de acceso a los almacenes de archivos.
Los autores del informe subrayan que la protección frente a ataques destructivos exige un enfoque integral. Además de las medidas técnicas, las organizaciones deben realizar periódicamente ejercicios de recuperación de la infraestructura y comprobar la preparación de los equipos de respuesta. Ese enfoque permite reducir el tiempo de inactividad y mantener la operatividad de los servicios críticos incluso después de un incidente grave.