ransomware
3 artículos con esta etiqueta
¿Qué es el ransomware? Cómo funciona, cómo entra y cómo evitar pagar
El ransomware es malware que cifra tus archivos y exige un pago para devolvértelos. Los ataques modernos añaden la doble extorsión: roban datos primero y amenazan con filtrarlos, así que el descifrado por sí solo no detiene la brecha. Principales vías de entrada: phishing, VPN/RDP débil o sin MFA, y fallos expuestos a Internet sin parchear. La defensa más importante son las copias de seguridad sin conexión/inmutables más pruebas de restauración: poder recuperarse sin pagar. También cierra la entrada (MFA, parches) y limita el radio de impacto (privilegios mínimos, segmentación).
Fundamentos de copias de seguridad: la regla 3-2-1 y un plan de recuperación que sobrevive al ransomware
«Tengo una copia de seguridad» no basta — solo es real una copia que has verificado que puedes restaurar. Los fundamentos: la regla 3-2-1 (tres copias, dos tipos de medio, una fuera del sitio). Para el ransomware además necesitas al menos una copia «offline o inmutable» — una copia siempre conectada se cifra junto con el original. La sincronización en la nube no es una copia de seguridad (también replica borrados y cifrado). El versionado y una prueba de restauración periódica completan la práctica.
Filtración masiva de MOVEit (2023) — cómo un zero-day de inyección SQL alcanzó a más de 2.700 organizaciones, y cómo defenderse
La entrada fue un zero-day de inyección SQL (CVE-2023-34362) en MOVEit Transfer, expuesto a internet. Se plantó un web shell (LEMURLOOT) y se robaron datos en masa de la base de datos de respaldo, golpeando a más de 2.700 organizaciones y ~93,3M de personas. La mayoría de las víctimas fueron arrastradas indirectamente porque un proveedor usaba MOVEit. En tu entorno: parcheo rápido de KEV, minimizar la exposición, mínimo privilegio y segmentación web↔BD, inventario de proveedores y minimización de datos.