NAKIVO > Blog > Microsoft 365

Estrategias para proteger OneDrive contra el ransomware

Actualizado: mayo 6, 2024

Escrito por: Equipo NAKIVO

Muchos usuarios piensan en OneDrive como un almacenamiento en la nube para hacer backups. Tienden a pensar que los archivos almacenados en OneDrive son invulnerables a pérdidas y corrupción. En otras palabras, algunos creen que los archivos almacenados en una nube pública no pueden ser dañados por el ransomware, a diferencia de los archivos almacenados en unidades de disco de ordenadores y servidores locales. Eso no es del todo cierto. Los archivos almacenados en OneDrive pueden ser atacados por ransomware, cifrados y, como resultado, perdidos.

La popularidad de los ataques de ransomware crece cada año. Sin embargo, si sigues las recomendaciones y observas las políticas de seguridad, puedes mantener tus datos a salvo incluso cuando los almacenes en OneDrive. Esta entrada del blog trata de las estrategias para proteger los datos en OneDrive y explica cómo protegerse contra los ataques de ransomware.

Backup for Microsoft 365 Data

Backup for Microsoft 365 Data

Use the NAKIVO solution to back up Microsoft 365 data in Exchange Online, Teams, OneDrive and SharePoint Online for uninterrupted workflows and zero downtime.

DISCOVER SOLUTION

Acerca de OneDrive y el ransomware

¿Puede el ransomware infectar OneDrive? Sí, los archivos almacenados en OneDrive pueden infectarse y cifrarse con ransomware en estos casos:

  • OneDrive se monta en una carpeta local en un ordenador local, y los archivos almacenados en OneDrive se sincronizan con la carpeta local asociada. Si un ordenador local se infecta con el ransomware, éste cifra todos los archivos accesibles, incluidos los almacenados en la carpeta sincronizada con OneDrive. Como resultado, si accedes a OneDrive en una interfaz web, verás archivos cifrados (en otras palabras, dañados). El ransomware puede empezar a cifrar One Drive y, a continuación, cifrar otras unidades y todas las ubicaciones de almacenamiento accesibles.
  • Si un atacante consigue sus credenciales, los archivos accesibles desde su cuenta de usuario pueden ser cifrados con ransomware.
  • Hacer clic en enlaces de phishing provoca la descarga y ejecución de virus, malware y ransomware en el ordenador de la víctima. El ransomware corrompe los archivos a los que consigue acceder.
  • Los complementos y extensiones maliciosos que te piden permisos para acceder a OneDrive son peligrosos y pueden ser puntos de entrada para una infección de ransomware. Lea atentamente la descripción de los complementos y extensiones, y compruebe el proveedor antes de instalarlos.

¿Es seguro OneDrive? ¿Es seguro OneDrive? ¿Es seguro OneDrive? Estas preguntas son populares entre los nuevos usuarios de Microsoft 365. OneDrive es lo suficientemente seguro. Sin embargo, debes saber cómo protegerte contra los ataques de ransomware, seguir las recomendaciones de seguridad y saber qué hacer si ves que OneDrive ha sido pirateado. Microsoft presentó una nueva función integrada de detección de ransomware, que detecta actividades sospechosas como borrados masivos o cifrado de archivos almacenados en OneDrive. Se notifica al usuario con un mensaje de alerta en su dispositivo y por correo electrónico. También se muestra una lista de recomendaciones. Pero lo que quieres es evitar que el ransomware de OneDrive corrompa tus archivos. Lea cómo proteger las carpetas del ransomware en la siguiente sección de esta entrada del blog.

Cómo proteger OneDrive contra un ataque de ransomware

En esta sección, explico cómo protegerse contra el ransomware y defino estrategias de protección contra el ransomware para OneDrive. Seguir estas recomendaciones reduce el riesgo de infectarse con ransomware y perder datos.

Proteger credenciales

Proteja las credenciales de la cuenta de administrador de Microsoft 365. Al robar las credenciales de un administrador, un atacante puede robar y dañar todos los datos de una organización almacenados en OneDrive (incluidos todos los datos de todos los usuarios de la organización).

Proteger las credenciales de los usuarios. Robar las cuentas de los usuarios permite a los atacantes acceder a sus datos personales y compartidos, distribuir ransomware e infectar archivos. Cuando los archivos almacenados en el almacenamiento compartido de OneDrive se infectan, otros usuarios que acceden al almacenamiento compartido también pueden infectarse.

Active la autenticación de dos factores. Microsoft 365 es compatible con la autenticación multifactor. Este paso de seguridad adicional puede ayudar a los usuarios a proteger sus cuentas contra el riesgo de que sus credenciales sean robadas. Se recomienda utilizar la autenticación de varios factores o la verificación en dos pasos para proteger las cuentas de Microsoft 365 con permisos de administración. Aquí hay una entrada de blog sobre la autenticación de dos factores para Microsoft 365.

Proteger cada ordenador

Proteja los ordenadores de su organización. Instalar y configurar software antivirus y antimalware. Seguir esta recomendación reduce el riesgo de que el ransomware infecte los ordenadores de los usuarios y los archivos almacenados en las carpetas sincronizadas de OneDrive en estos ordenadores (almacenamiento de OneDrive asignado a carpetas locales). No te olvides de los servidores y las máquinas virtuales.

Bloquea la ejecución de archivos almacenados en %appdata%, %localappdata%. Por defecto, estos directorios son utilizados por las aplicaciones en Windows para almacenar datos. Los archivos temporales y los datos descargados pueden encontrarse allí. Cuando se descargan los archivos del ransomware, pueden enmascararse y ocultarse en estas carpetas, y luego ejecutarse.

Bloquear macros en documentos de Microsoft Office. Las macros rara vez se utilizan para tareas empresariales, pero son una fuente de graves problemas. Un método de infección muy utilizado es la distribución de documentos con macros maliciosas, que lanzan un ataque de ransomware para infectar un ordenador y luego se propagan por una red para infectar otros ordenadores.

Actualice el software e instale parches de seguridad para corregir las vulnerabilidades de software conocidas que pueden ser utilizadas por el ransomware para penetrar e infectar un sistema. Puede activar las actualizaciones automáticas de software para Windows y las aplicaciones. Si su configuración de seguridad es imperfecta, los atacantes pueden utilizar vulnerabilidades de software no parcheadas para iniciar un ataque de ransomware. Por eso es importante instalar parches.

Educar a los usuarios

Educar a los usuarios para que reconozcan los ataques de phishing. Los atacantes suelen suponer que los usuarios no tienen experiencia y que descargan todos los archivos adjuntos a los correos electrónicos, abren los archivos y hacen clic en todos los enlaces. Nuestra tarea consiste en informar a los usuarios sobre las amenazas y enseñarles a identificar los contenidos sospechosos.

El vector de ataque de ransomware más popular es el envío de correos electrónicos de phishing a los usuarios. Un enlace malicioso está diseñado para parecer un enlace legítimo, pero redirige al usuario para que descargue e instale un ransomware. Pase el ratón por encima del enlace y compruebe la ortografía de la dirección URL. Si un solo carácter es incorrecto, evite hacer clic en el enlace. La dirección de correo electrónico de un remitente, al igual que los enlaces, puede ser falsificada. Si no conoces a un remitente y no quieres recibir mensajes de ese remitente, es mejor que omitas o rechaces el correo electrónico de ese remitente. No descargues ni abras archivos adjuntos a mensajes de correo electrónico. Recuerda la amenaza de abrir documentos Word/Excel con macros.

Los enlaces dañinos en los mensajes de correo electrónico y las páginas web falsas son peligrosos. Los atacantes pueden crear páginas falsas y enviar enlaces en mensajes de correo electrónico a estas páginas falsas. Una página falsa se parece a la página original, pero hacer clic en elementos de la página o introducir credenciales puede conducir a la pérdida de una cuenta o a la infección con ransomware.

Incluso si la dirección del sitio web es real y legítima, tenga en cuenta que los atacantes pueden piratear sitios web y realizar inyecciones maliciosas en ese sitio. Tras visitar un sitio web de este tipo, el usuario puede infectarse con ransomware. Un buen software antivirus actualizado puede evitar la infección en este caso.

Un atacante puede utilizar técnicas de ingeniería social y etiquetas como «urgente», «importante», etc. en los mensajes de correo electrónico para meter prisa a la víctima y desviar su atención de la comprobación del contenido. Ten cuidado cuando recibas mensajes de Skype y otros servicios. Ten en cuenta que un atacante puede piratear una cuenta de usuario y enviar mensajes desde ese usuario. Una cuenta de usuario es real en este caso, pero un enlace o archivo enviado desde la cuenta pirateada puede constituir una amenaza.

Cuando se forma a los usuarios para que reconozcan los contenidos sospechosos, los riesgos de un ataque de ransomware a través de correos electrónicos de phishing son significativamente menores. Siempre es mejor prevenir los ataques de ransomware de OneDrive que recuperar los archivos dañados.

Utilizar sistemas de protección del correo electrónico

Utilice Exchange Online Protection. Esta herramienta nativa de Microsoft 365 permite configurar filtros de protección adicionales, como el filtro de enlaces seguros y el filtro de adjuntos seguros.

Configurar políticas antiphishing. Exchange Online Protection puede determinar remitentes de confianza, remitentes sospechosos, archivos adjuntos que constituyen una amenaza y enlaces falsos y maliciosos a sitios infectados. Los remitentes falsos y el correo electrónico no deseado pueden bloquearse en los ajustes.

Bloquee el contenido activo de archivos adjuntos, como macros en documentos Word/Excel, VBScript y JavaScript. Lea la entrada del blog sobre Exchange Online Protection para obtener más información sobre esta función.

Utilizar sistemas de protección en la nube

Active Microsoft 365 Defender en su entorno de Microsoft 365. Microsoft 365 Defender es el nuevo nombre de Office 365 Advanced Threat Protection (Microsoft Defender para Office 365). Esta función le ayuda a reducir el riesgo de infección por ransomware para los usuarios de Microsoft 365 de su organización. Las principales funciones de Microsoft 365 Defender son la detección inteligente de amenazas, la investigación automatizada y la protección integrada contra ataques sofisticados de ransomware. Microsoft 365 Defender se puede configurar en el centro de seguridad de Microsoft 365. Cuando se educa a los usuarios y se habilita un software inteligente, el nivel de protección es mucho mayor.

Utilizar el control de versiones

Activa el control de versiones (historial de versiones) en los ajustes de OneDrive. Si el ransomware cifra objetos almacenados en OneDrive, sólo se cifrará la última versión de los archivos. Puede seleccionar una versión anterior del archivo y recuperar los archivos necesarios. No olvide que, antes de recuperar los archivos, debe eliminar el ransomware de los ordenadores infectados para evitar que se vuelvan a cifrar. Tenga en cuenta que recuperar miles de archivos mediante la recuperación de versiones anteriores de archivos lleva mucho tiempo, y tener una copia de seguridad adecuada de OneDrive le ahorrará tiempo y recursos en este caso. El historial de versiones de OneDrive permite recuperar los archivos almacenados en OneDrive a cualquier versión modificada en los últimos 30 días. Comprueba los ajustes de retención de archivos eliminados (archivos almacenados en la papelera de reciclaje) para OneDrive.

Configure las políticas de retención. Las políticas de retención de Microsoft 365 definen cuánto tiempo se conservan los datos después de ser eliminados antes de que se borren definitivamente. Tenga en cuenta que almacenar los datos retenidos en la nube consume espacio de almacenamiento, lo que puede acarrear costes adicionales.

Hacer backup de datos almacenados en OneDrive

Hacer backup de los datos almacenados en OneDrive. Es posible que algunas de las opciones anteriores no estén disponibles para todos los planes de suscripción de Microsoft 365 y probablemente sólo lo estén para los planes de suscripción superiores. Microsoft permite solicitar compatibilidad con la restauración de todos los datos del almacenamiento en la nube de Office 365 en un plazo de dos semanas a partir de un incidente de pérdida de datos, pero no hay opción de recuperación granular y no se pueden seleccionar los objetos necesarios para restaurar.

Almacena los backups en la nube o en local en un lugar seguro. Un repositorio de backups debe estar bien protegido y no compartirse con otros usuarios (sólo deben poder acceder a él el software de backups y los administradores).

Hacer backup de datos con NAKIVO Backup & Replication

Utilice NAKIVO Backup & Replication para proteger OneDrive. NAKIVO Backup & Replication es compatible con hacer backup de los datos de Microsoft 365, incluidos los que residen en OneDrive, Exchange Online y SharePoint Online. Puedes hacer backup de los datos de OneDrive y crear hasta 4.000 puntos de recuperación, y más tarde restaurar las versiones necesarias de los archivos utilizando estos puntos de recuperación. La recuperación granular permite recuperar archivos y carpetas personalizados de los usuarios en la ubicación original o en una ubicación personalizada. Una instancia de NAKIVO Backup & Replication puede proteger miles de cuentas de usuario de Office 365. Se hacen backups de los datos de OneDrive en repositorios de backups locales almacenados en servidores locales. La configuración se realiza en la intuitiva interfaz web.

Lea más entradas del blog sobre recuperación de ransomware, ataques de ransomware a dispositivos NAS para obtener más información sobre el principio de funcionamiento y la protección contra el ransomware.

Cómo recuperar archivos de OneDrive

Si tus archivos han sido cifrados por un ransomware, nunca pagues un rescate. Pagar un rescate incentiva a los atacantes a lanzar más ataques para conseguir más dinero. Si pagas el rescate, no tienes ninguna garantía de que recuperarás tus archivos total o parcialmente. Si te das cuenta de que tus archivos de OneDrive han sido cifrados tras un ataque de ransomware, debes recuperar los datos utilizando herramientas nativas de Microsoft o a partir de una copia de seguridad utilizando software de protección de datos de terceros.

En primer lugar, elimine el ransomware instalado en todos los ordenadores de su organización. Si las funciones nativas de Microsoft 365 están habilitadas para las cuentas de usuario de tu organización, recupera archivos de OneDrive de versiones anteriores o de la papelera de reciclaje (incluida la papelera de reciclaje de segundo nivel). Si tienes una copia de seguridad, restaura los datos a partir de un backup.

Más información sobre la copia de seguridad y recuperación de OneDrive con NAKIVO Backup & Replication en esta entrada del blog.

Conclusión

Esta entrada de blog cubrió estrategias para proteger OneDrive contra ataques de ransomware y dio algunas recomendaciones de alto nivel que pueden ayudarte a prevenir ataques de ransomware en OneDrive. Debe proteger sus datos técnicamente: configure los ajustes de seguridad de todo el software utilizado en todos los equipos y configure las copias de seguridad de sus datos. Además de eso, debe educar a los usuarios sobre cómo reconocer posibles intentos de iniciar ataques de ransomware, ya que los atacantes suelen utilizar uno de varios métodos para iniciar ataques de ransomware de OneDrive a través de usuarios normales.

Hacer backups es el método más fiable para restaurar los datos si el ransomware corrompe tus archivos. Utilice NAKIVO Backup & Replication para proteger sus datos almacenados en OneDrive.

1 Year of Free Data Protection: NAKIVO Backup & Replication

1 Year of Free Data Protection: NAKIVO Backup & Replication

Deploy in 2 minutes and protect virtual, cloud, physical and SaaS data. Backup, replication, instant recovery options.

Get the Free Edition

Artículos recomendados

Picture
Cómo hacer backup de datos en Azure Blob Storage
Picture
Cómo replicar, restaurar y conmutar por error mediante la virtualización anidada de Hyper-V en Azure
Picture
Las diferencias entre VMFS 5 vs VMFS 6 y cómo migrar