SIN CLASIFICAR

Buenas Prcticas
CCN-CERT BP-04/16

Ransomware

Marzo de 2017

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

CENTRO CRIPTOLOGICO NACIONAL

2.5.4.13=Qualified Certificate: AAPP-SEP-M-SW-KPSC,
ou=sello electrnico, serialNumber=S2800155J,
o=CENTRO CRIPTOLOGICO NACIONAL, cn=CENTRO
CRIPTOLOGICO NACIONAL, c=ES
2017.03.23 20:19:50 +01'00'

LIMITACIN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los trminos en l recogidos,
rechazando expresamente cualquier tipo de garanta implcita que se pueda encontrar
relacionada. En ningn caso, el Centro Criptolgico Nacional puede ser considerado
responsable del dao directo, indirecto, fortuito o extraordinario derivado de la utilizacin de la
informacin y software que se indican, incluso cuando se advierta de tal posibilidad.

AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorizacin escrita del Centro Criptolgico Nacional,
bajo las sanciones establecidas en las leyes, la reproduccin parcial o total de este documento
por cualquier medio o procedimiento, comprendidos la reprografa y el tratamiento informtico,
y la distribucin de ejemplares del mismo mediante alquiler o prstamo pblicos.

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

NDICE
1. SOBRE CCN-CERT .........................................................................................................................4
2. INTRODUCCIN ............................................................................................................................4
3. VECTORES DE INFECCIN ..........................................................................................................6
3.1 Phishing mediante correo electrnico ............................................................................6
3.1.1 Mediante enlace web ..................................................................................................6
3.1.2 Mediante fichero adjunto ............................................................................................7
3.2 Navegacin web.................................................................................................................7

4. DESINFECCIN..............................................................................................................................8
4.1 Identificar el Ransomware .................................................................................................8

4.2 Pasos a seguir despus de la infeccin ..........................................................................8

4.3 Aspectos a tener en cuenta .............................................................................................9

4.3.1 El tiempo...........................................................................................................................9
4.3.2 Eliminacin del cdigo daino ...................................................................................9
4.3.3 Recuperacin de ficheros ......................................................................................... 10
4.4 Mitigar los efectos de la infeccin ................................................................................ 10

5. BUENAS PRCTICAS .................................................................................................................. 11

5.1 Concienciacin ................................................................................................................ 12

5.2 Shadow copies .................................................................................................................. 12

5.2.1 Sistemas Operativos Windows anteriores a Windows 8 ....................................... 12
5.2.2 Sistemas Operativos Windows 8 o posteriores ....................................................... 13
5.3 Backup Genrico ............................................................................................................. 13

5.4 Bloqueo de macros .......................................................................................................... 14

5.5 Correcta configuracin de cuentas de usuario y sus permisos. ............................. 16

5.6 Honeypots o Sistemas Trampa. ...................................................................................... 16

5.7 Navegacin segura ......................................................................................................... 17

5.8 Extensiones conocidas de los archivos ........................................................................ 18

5.9 EMET ..................................................................................................................................... 19

5.9.1 Manual de instalacin................................................................................................ 19
5.10 AppLocker .......................................................................................................................... 20

5.11 Recuperacin de los ficheros mediante el almacenamiento en la nube ........... 20

5.12 Cuando todo parece perdido. ..................................................................................... 21

6. CONCLUSIN ............................................................................................................................. 22
7. DECLOGO................................................................................................................................ 22

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

1. SOBRE CCN-CERT
El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de
Seguridad de la Informacin del Centro Criptolgico Nacional, CCN (www.ccn.cni.es).
Este servicio se cre en el ao 2006 como el CERT Gubernamental/Nacional espaol y
sus funciones quedan recogidas en la Ley 11/2002 reguladora del Centro Nacional de
Inteligencia, el RD 421/2004 regulador del CCN y en el RD 3/2010, de 8 de enero,
regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015
de 23 de octubre.

De acuerdo a todas ellas, es competencia del CCN-CERT la gestin de ciberincidentes

que afecten a sistemas del Sector Pblico, a empresas y organizaciones de inters
estratgico para el pas y a cualquier sistema clasificado. Su misin, por tanto, es
contribuir a la mejora de la ciberseguridad espaola, siendo el centro de alerta y
respuesta nacional que coopere y ayude a responder de forma rpida y eficiente a los
ciberataques y a afrontar de forma activa las ciberamenazas.

2. INTRODUCCIN
Hoy en da, una de cada catorce descargas en Internet contiene una muestra de
cdigo daino y dentro del amplio mundo de estos cdigos dainos o malware, el
ransomware es una de las variantes ms frecuentes, tanto en entornos corporativos
como en entornos domsticos.

Figura 1.- Infecciones de Ransomware ms significativas por pases (2015-2016).

El objetivo de este tipo de cdigo daino es cifrar el mayor nmero posible de ficheros
almacenados en la mquina de la vctima hacindolo de tal manera que el usuario
no se percate de lo que est sucediendo hasta que el sistema se encuentre
comprometido. Una vez que ha terminado el proceso del secuestro de la informacin,

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

se informa de ello al usuario dndole instrucciones para el pago de un rescate

(ransom, del ingls) a cambio de la recuperacin de sus ficheros.

El comprometimiento del sistema se plasma generalmente en un nuevo fichero de

texto que aparece en cada uno de los directorios cifrados, bien en forma de un
llamativo fondo de escritorio con una nota de rescate o en una ventana persistente en
la que se dan las instrucciones y los enlaces a seguir para realizar el correspondiente
pago.

Figura 2.- Ejemplo de sistema infectado.

En casi todos los casos de ransomware, es comn solicitar un pago no trazable para la
recuperacin de los ficheros. Este pago suele hacerse en criptomonedas 1
(cryptocurrency) como es el caso de Bitcoin 2.

Para evitar ser identificado, el secuestrador recibe el dinero del rescate a travs de
redes con un alto grado de anonimato, como puede ser el caso de la red Tor 3 (The
Onion Routing). De esta forma, los cibercriminales consiguen no dejar rastro resultando
casi imposible su localizacin.

En cuanto a los vectores de infeccin utilizados por este tipo de cdigo daino para
comprometer los equipos de sus vctimas, hay que prestar especial atencin a la
navegacin web y al empleo de correos electrnicos. De hecho, el Phishing 4
representa ms de una cuarta parte del total de las infecciones por ransomware.

La razn de ser de esta gua de buenas prcticas es facilitar informacin, herramientas

y procedimientos que permitan, en la medida de lo posible, evitar la infeccin por
ransomware, recuperar los ficheros si hubiera fallado lo anterior y, en cualquier caso,

1 Ver https://es.wikipedia.org/wiki/Criptomoneda
2 Ver https://es.wikipedia.org/wiki/Bitcoin
3 Ver https://es.wikipedia.org/wiki/Tor_(red_de_anonimato)
4 El Phishing consiste en engaar al usuario hacindole creer que se encuentra ante una pgina web o
mensaje de correo electrnico legtimo con el objetivo de que, a travs de l, entregue sus datos o se
descargue algn tipo de software que, al final, resulta ser malicioso. Ver https://es.wikipedia.org/wiki/Phishing

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

crear un entorno suficientemente seguro para evitar futuras infecciones o minimizar los
daos ocasionados por las mismas.

Frente a los ataques informticos es necesario actuar, al menos, en cuatro (4) fases
distintas: la prevencin, la deteccin, la respuesta y la remediacin del ataque. En
esta gua se expondrn medidas que son aplicables a dichas fases.

3. VECTORES DE INFECCIN
Para prevenir las infecciones, lo ms conveniente es conocer el medio de entrada del
malware, as como sus mecanismos de propagacin. Sin embargo, en el mundo del
cdigo daino, tras una infeccin no siempre es posible determinar con exactitud cual
ha sido el origen o las causas de la infeccin.

Los mecanismos y posibilidades para que la infeccin se produzca son variados siendo
importante conocer los vectores de infeccin ms comunes. En algunos casos, el
malware puede permanecer latente en el sistema durante cierto tiempo y
manifestarse a raz de una accin concreta o determinacin de una fecha especfica,
lo cual hace difcil esclarecer con exactitud el momento de la infeccin.

3.1 Phishing mediante correo electrnico

Uno de los mecanismos de infeccin ms frecuentes entre los distintos tipos de
ransomware ha sido el correo electrnico, utilizando un mensaje aparentemente
inocuo y legtimo.

Figura 3.- Correo fraudulento empleado por TeslaCrypt.

Dentro del Phishing se pueden distinguir dos (2) formas de infeccin tpicas, ya sea
mediante el enlace a una pgina fraudulenta que oculta el cdigo daino en una
aparente aplicacin legtima o mediante un fichero especialmente manipulado que
aparece adjunto al mensaje de correo.

3.1.1 Mediante enlace web

Este tipo de infeccin consiste en dirigir a la vctima hacia un sitio web que puede ser
legtimo pero que los cibercriminales han alterado previamente troyanizado o que

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

puede ser una copia prcticamente idntica, que resulta indistinguible de la versin
legtima.
En ambos casos, la vctima invoca consciente o inconscientemente la descarga de
una aplicacin ejecutable, en principio no sospechosa, tras la cual se oculta el cdigo
daino.

3.1.2 Mediante fichero adjunto

En este caso, el propio mensaje de correo electrnico lleva consigo un fichero

semnticamente relacionado con el texto del mensaje y que bajo alguna excusa
(falso informe bancario, formularios, imgenes, curriculum vitae, etc.) invita y consigue
que la vctima lo abra, operacin que desencadena la ejecucin del cdigo daino.
Para obtener ms informacin de como prevenir estas formas de infeccin, se
aconseja consultar el informe BP-02-16 Buenas Prcticas en Correo Electrnico.

3.2 Navegacin web

Este es el mtodo de infeccin cuya popularidad est ms en alza en los ltimos
tiempos. Consiste en aprovechar las vulnerabilidades de algunos componentes del
navegador y los servidores que ofrecen las pginas web.
Los responsables de las campaas de ransomware, se encargan previamente de
hacerse con el control de esos servidores y comprometer las pginas que ofrecen,
incluyendo en ellas contenido daino que explota las debilidades del navegador. De
este modo, provocan que el navegador del usuario termine descargndose cdigo
binario que inmediatamente se ejecuta, iniciando el proceso de infeccin.
Para evitar este tipo de infecciones lo nico que se puede hacer es utilizar la versin
ms actualizada del navegador y de sus extensiones. En principio, es recomendable
tener bloqueados todos aquellos componentes que no sean estrictamente necesarios.
Algunos de los plugins ms utilizados son Flash Player, Java y Silverlight.
Uno de los principales problemas de los plugins es que aumentan significativamente la
exposicin a determinado tipo de ataques durante la navegacin web. Algunos de
estos plugins contienen un gran nmero de vulnerabilidades crticas que permiten a los
atacantes ejecutar cdigo en el equipo de la vctima.
Tan slo hace falta que el usuario haga clic o navegue hasta una pgina daina para
que su equipo sea comprometido (sin necesidad siquiera de descargar o interactuar
con la pgina en cuestin). La mayor parte de los navegadores permiten habilitar o
deshabilitar los componentes instalados. Puede ser una buena opcin, la de activar
plugins de forma temporal como Flash y Java de manera controlada por el usuario.
As mismo, conviene recurrir a complementos especficos para bloquear la apertura de
pop-ups 5, iframes, ejecucin de cdigo JavaScript y anuncios (Ads). Todos esos
mecanismos pueden ser utilizados para obligar al navegador a cargar pginas que
pueden estar comprometidas o sirven para ejecutar cdigo daino.
Para obtener ms informacin sobre como prevenir estas formas de infeccin, se
aconseja consultar el informe BP-06-16 Buenas Prcticas en Navegadores Web.

5 Ver http://es.ccm.net/faq/9996-bloquear-ventanas-emergentes-de-publicidad-pop-ups

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

4. DESINFECCIN

4.1 Identificar el Ransomware

Utilizando el servicio NoMoreRansom 6 se puede identificar a qu familia pertenece el
cdigo daino que ha infectado el equipo y ha cifrado sus ficheros. Una vez conocida
la identidad del malware, se puede intentar corregir el contratiempo que ha causado.
En este caso, la identificacin del atacante se puede hacer facilitando un fichero
cifrado por el mismo o enviando el fichero en el que se especifican las instrucciones de
rescate. Ambos elementos son suficientemente esclarecedores como para saber si se
trata de un atacante ya conocido.

4.2 Pasos a seguir despus de la infeccin

En el caso de que se logre detectar la infeccin, lo primero que hay que hacer es
desconectar el equipo de la red. La finalidad de este proceder es:
Evitar que la accin de cifrado alcance al contenido alojado en las unidades de
red accesibles desde el equipo infectado.
Que el cdigo daino pueda contactar con su servidor de mando y control.
Dado que el cifrado precisa de la capacidad de clculo del equipo infectado para su
accin, por lo general, tambin es recomendable apagar el equipo.
Analizar que procesos se estn ejecutando en el ordenador no suele ayudar en gran
medida a diagnosticar lo que est pasando ya que, en la mayora de los casos, el
ransomware suele estar camuflado bajo la apariencia de un proceso legtimo como,
por ejemplo, explorer.exe. En caso de identificar el proceso que est accediendo
masivamente al disco, hay que actuar sobre el mismo finalizndolo. 7
Para ayudar a identificar el proceso malicioso, se puede usar la herramienta Monitor
de Recursos de Windows. Para acceder a ella, basta con ejecutar resmon (tecla
Windows + r).

Figura 4.- Ventana del comando ejecutar.

Dado que la operacin de cifrado de los ficheros requiere tiempo de CPU y acceso a
disco, estas caractersticas pueden utilizarse para identificar el proceso o aplicacin
que est realizando el ataque. La forma de hacerlo es fijarse en lo siguiente:
1) Procesos de aplicaciones que realmente no se estn ejecutando: si se observa
que en la lista de procesos aparece uno con el nombre de una aplicacin
como, por ejemplo, notepad.exe o calc.exe, y dicha aplicacin realmente
no est abierta, es muy probable que se trate de un proceso daino disfrazado
de aplicacin inocua.

6 Ver https://www.nomoreransom.org/
7 Cerrar procesos con el Administrador de tareas, ver https://support.microsoft.com/es-es/kb/2499971

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

2) Identificar procesos repetidos con diferente PID 8: si aparecen varias veces

procesos con el mismo nombre, estos pueden ser identificados mediante su PID.
Todos esos procesos deben depender de un proceso original y ser parte de su
rbol de procesos. En el caso de que haya alguno fuera de ese rbol, proba-
blemente se trate de un proceso daino.
3) Procesos con una gran cantidad de ficheros abiertos o con un excesivo uso de la
CPU o del disco: el proceso de cifrado es costoso en cuanto al consumo de
recursos, por lo que el proceso atacante usar una gran cantidad de los mismos,
sobre todo CPU y acceso a disco.

Figura 5.- Imagen del monitor de recursos en Windows 7.

4.3 Aspectos a tener en cuenta

4.3.1 El tiempo

Algunas variedades de ransomware utilizan el tiempo transcurrido despus de la

infeccin como un factor de presin para forzar el pago del rescate por parte de la
vctima.
Lo ms recomendable es utilizar ese margen de tiempo para ponerse en contacto con
expertos y autoridades relacionadas con la ciberseguridad para obtener la mayor
cantidad posible de informacin sobre casos de infecciones similares y consejos sobre
como actuar en dichos casos.

4.3.2 Eliminacin del cdigo daino

Por lo general, el objetivo principal del ransomware no es conseguir su persistencia en

el equipo infectado, ya que la misma solicitud del rescate pone de manifiesto su
presencia.

8 PID, Process ID: es un numero identificativo que es nico y que representa a cada proceso en ejecucin.
Ver https://en.wikipedia.org/wiki/Process_identifier

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

Por esta razn, en la mayora de los casos, su eliminacin puede ser sencilla y suele
haber herramientas de desinfeccin especialmente desarrolladas para tal fin y a
disposicin de las vctimas para que puedan eliminar el cdigo daino del dispositivo
atacado.

4.3.3 Recuperacin de ficheros

Una vez identificado el espcimen de ransomware que ha infectado el equipo, se

pueden consultar sitios en Internet en los que se indica si, en ese momento, es posible o
no la recuperacin (descifrado) de los ficheros secuestrados.
Si tal recuperacin es posible es gracias a herramientas desarrolladas por organi-
zaciones tan variadas como Kaspersky 9, Intel Security, McAfee, Panda Security, Sophos,
HitMan, compaas anti-malware, distintos centros de respuesta conocidos como
CERT 10, equipos de investigacin como NoMoreRansom 11, Fuerzas y Cuerpos de
Seguridad del Estado nacionales e internacionales, foros especializados como
bleepingcomputer 12 e investigadores y analistas de seguridad que liberan las claves
maestras de forma pblica y altruista, entre otros muchos.
Existe una utilidad, frecuentemente actualizada, que recopila informacin sobre todas
las familias de ransomware conocidas (herramientas de recuperacin, fechas de
aparicin, etc.). Se recomienda consultarla si se ha sido vctima de una infeccin con
el fin de conocer toda la informacin disponible sobre el ataque y, si fuera necesario,
conseguir una herramienta de recuperacin. Esta herramienta se puede encontrar en
el siguiente enlace:
https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml

4.4 Mitigar los efectos de la infeccin

Mitigar los efectos de la infeccin debe entenderse como aquellas acciones que le
permitan a la vctima reducir los efectos de la infeccin, en este caso en el nmero de
ficheros cifrados o que le permitan recuperarse de forma total o parcial de la
infeccin.
Una vez se ha sufrido una infeccin y los ficheros han sido cifrados, stos se pueden
recuperar por distintos medios:
Obtener una herramienta especifica de descifrado (enlace Apartado 4.3.3).
Restaurar el sistema y recuperar los ficheros cifrados.
Para dicha restauracin, existen varias soluciones:
En el caso de que en el equipo infectado se est utilizando el sistema operativo
Windows 7, o anteriores, se dispone de la opcin preventiva de activar y utilizar
las denominadas Shadow Copies. 13
En los sistemas Windows posteriores a la versin 7, existe la posibilidad de utilizar la
opcin File History. 14

9 Ver http://www.kaspersky.es/
10 Ver https://en.wikipedia.org/wiki/CERT_Coordination_Center
11 Ver https://www.nomoreransom.org/index.html
12 Ver http://www.bleepingcomputer.com/
13 Ver https://en.wikipedia.org/wiki/Shadow_Copy
14 Ver https://support.microsoft.com/en-us/help/17128/windows-8-file-history

10

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

Para cualquier tipo de sistema operativo e infraestructura, siempre es posible

utilizar herramientas de backup.

5. BUENAS PRCTICAS
A continuacin, se sealan las principales medidas para prevenir, detectar y/o mitigar
parcialmente la accin de un ransomware:
1. Mantener copias de seguridad peridicas de todos los datos importantes. Es
necesario mantener dichas copias aisladas y sin conectividad con otros sistemas,
evitando as el acceso desde equipos infectados.
2. Mantener el sistema actualizado con los ltimos parches de seguridad, tanto
para el sistema operativo como para el software que hubiere instalado.
3. Mantener una primera lnea de defensa con las ltimas firmas de cdigo daino
(antivirus), adems de disponer de una correcta configuracin de los
cortafuegos a nivel de aplicacin (basado en listas blancas de aplicaciones
permitidas).
4. Disponer de sistemas antispam a nivel de correo electrnico y establecer un nivel
de filtrado alto, de esta manera se reduce las posibilidades de infeccin a travs
de campaas masivas de ransomware por correo electrnico.
5. Establecer polticas seguridad en el sistema para impedir la ejecucin de
ficheros desde directorios comnmente utilizados por el ransomware (App Data,
Local App Data, etc.). Herramientas como AppLocker, Cryptoprevent o
CryptoLocker Prevention Kit permiten crear fcilmente dichas polticas.
6. Bloquear el trfico relacionado con dominios y servidores C2 mediante un
IDS/IPS, evitando as la comunicacin entre el cdigo daino y el servidor de
mando y control.
7. Establecer una defensa en profundidad empleando herramientas como EMET,
una solucin que permite mitigar exploits (incluidos 0-days).
8. No utilizar cuentas con privilegios de administrador, reduciendo el potencial
impacto de la accin de un ransomware.
9. Mantener listas de control de acceso para las unidades mapeadas en red. En
caso de infeccin, el cifrado se producir en todas las unidades de red
mapeadas en el equipo vctima. Restringiendo los privilegios de escritura en red
se mitigar parcialmente el impacto
10. Se recomienda el empleo de bloqueadores de Javascript para el navegador,
como por ejemplo "Privacy Manager", que impide la ejecucin de todos aquellos
scripts que puedan suponer un dao para nuestro equipo. De este modo
reduciremos las opciones de infeccin desde la web (Web Exploit Kits).
11. Mostrar extensiones para tipos de fichero conocidos, con el fin de identificar
posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de
fichero.
12. Adicionalmente, se recomienda la instalacin de la herramienta "Anti Ransom",
que tratar de bloquear el proceso de cifrado de un ransomware (monitorizando
"honey files"). Adems, esta aplicacin realizar un volcado de la memoria del
cdigo daino en el momento de su ejecucin, en el que con suerte se puede
hallar la clave de cifrado que estuviera emplendose.

11

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

13. Finalmente, el empleo de mquinas virtuales evitar en un alto porcentaje de

casos la infeccin por ransomware. Debido a las tcnicas anti-debug y anti-
virtualizacin comnmente presentes en este tipo de cdigo daino, se ha
demostrado que en un entorno virtualizado su accin no llega a materializarse.

5.1 Concienciacin
Uno de los factores crticos en las infecciones por ransomware es la dimensin humana.
En la mayora de los casos, los atacantes utilizan la denominada Ingeniera Social para
engaar a sus vctimas y llevar a cabo sus ataques. Un buen ejemplo de ello son los
casos de Phishing ya mencionados como principal vector de infeccin.
Por ello, un paso de vital importancia en la defensa de todos los sistemas frente a
infecciones y ataques es que todos los usuarios estn alerta y adecuadamente
informados sobre las tcnicas ms utilizadas por los cibercriminales y ofrecer un
conjunto de pautas para reducir la superficie de ataque de dichas acciones dainas.
Con la concienciacin del componente humano se puede reducir en gran medida el
riesgo asociado a la entrada de correos, documentos y cualquier otro tipo de
descargas dentro del sistema. Describir la facilidad con la que muchos de estos
ataques son realizados es uno de mejores mtodos para concienciar al usuario sobre
las consecuencias que puede acarrear hacer un mal uso de los recursos del sistema.

5.2 Shadow copies

5.2.1 Sistemas Operativos Windows anteriores a Windows 8

En los sistemas operativos que van desde Windows XP a Windows 7, ambos inclusive,
est disponible una tecnologa denominada Shadow Copies, que permite al usuario
realizar, manualmente o de forma automtica, copias de los ficheros almacenados en
el equipo incluso aunque estn en uso. Estas copias se hacen con el fin de poder
restaurarlos ms tarde si algn contratiempo lo hace necesario.
Se trata de una medida preventiva fcil de implementar y no necesita software
adicional para ello. Sin embargo, no es una solucin vlida frente a todos los tipos de
ransomware; por ejemplo, CryLocker y CryptoWall son dos ejemplos que
explcitamente eliminan estos ficheros de restauracin.
Pero puede ser de utilidad en el caso de una infeccin por un ransomware que no
altere las Shadow Copies. Las mismas, se activan del siguiente modo:
1) Desde Inicio, se abre el Panel de control.
2) Se accede a Sistema.
3) Dentro de Sistema, se accede a la seccin Proteccin del sistema.
4) En el apartado Configuracin de la proteccin, se seleccionan las unidades de
las que se desea hacer las Shadow Copies.
5) Por ltimo, se selecciona Crear.

12

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

Figura 6.- Shadow Copies en Windows 7.

En aquellos casos en los que la infeccin no haya afectado a las Shadow Copies, el
efecto de la infeccin se puede combatir restaurando esas copias en un equipo
previamente desinfectado y sin trazas del cdigo daino. Para ello, hay que seguir las
siguientes instrucciones:
1) Desde el men Proteccin del Sistema (siguiendo los pasos 1, 2 y 3 de su
creacin), se elige la opcin Restaurar Sistema.
2) A continuacin, se selecciona el punto de restauracin al cual se quiere volver.
3) Se confirma y se espera a la finalizacin del proceso de restauracin.
Para ms informacin sobre el uso de las Shadow Copies, se puede consultar el
artculo de Microsoft sobre este servicio:
https://technet.microsoft.com/en-us/library/ee923636(v=ws.10).aspx

5.2.2 Sistemas Operativos Windows 8 o posteriores

A partir de Windows 8, la funcionalidad que permite hacer distintas copias de los

ficheros se denomina File History y consiste en el almacenamiento de las copias de
seguridad en un medio extrable 15, lo que supone una gran diferencia con respecto a
esa misma funcionalidad en versiones previas de los sistemas operativos Windows.
Adems de ello, tambin es posible habilitar las Shadow Copies mencionadas
anteriormente.
Antes de utilizar File History es necesario elegir donde se van a hacer las copias de
seguridad. Para ello se puede seleccionar un medio extrable como puede ser un
disco externo o una memoria USB conectada al equipo, o incluso un disco accesible
en la misma red local a la que est conectado el equipo.
Es necesario tener en cuenta que File History solo copia los ficheros guardados en las
carpetas de Documentos, Msica, Imgenes, Videos y carpetas del escritorio, as
como los ficheros almacenados en OneDrive para su acceso off-line en el equipo.

5.3 Backup Genrico

La medida ms efectiva contra el ransomware es disponer siempre de varias copias de
respaldo de todos los ficheros importantes. De hecho, la extorsin slo se da cuando el
ransomware atacante ha conseguido cifrar ficheros que son nicos e irrecuperables y

15 Ver http://www.howtogeek.com/74623/how-to-use-the-new-file-history-feature-in-windows-8/

13

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

no queda ms remedio que pagar el rescate si se quieren recuperar. Es esencial

disponer de al menos una copia de seguridad de todos los ficheros importantes, de
modo que se pueda recurrir a esa copia de respaldo cuando haga falta recuperarlos.
Las polticas de respaldo recomiendan tener siempre tres (3) copias actualizadas,
completas, depositadas en tres (3) sitios diferentes y geogrficamente distantes,
adems de estar almacenadas en dos (2) tipos de soporte distintos y, sobre todo, estar
todos ellos fuera de la red. Por ejemplo, una posibilidad, aunque no sea la mejor, sera
utilizar simultneamente el propio equipo (1), un servicio de almacenamiento en la
nube (2) y un medio extrable (3).
En las copias de seguridad hay que proteger tanto la integridad como la
confidencialidad de las mismas, por lo que se recomienda cifrarlas y firmarlas
criptogrficamente, sobre todo si van a almacenarse en la nube.
A continuacin, se mencionan una serie de aplicaciones de cdigo libre que permiten
realizar copias de seguridad/respaldo de forma eficiente.
- Amanda 16. Es una herramienta multiplataforma (Windows, Linux, macOS) que
permite hacer copias en discos magnticos, cintas, dispositivos pticos (DVD) y
en sistemas de almacenamiento en la nube.
- BackupPC 17. Es una herramienta disponible para Windows y Linux que permite
hacer copias de seguridad de grandes cantidades de datos, empleando para
ello la compresin de ficheros para reducir el tamao de la informacin a
guardar, reduciendo costes.
- Bacula 18. Es una de las suites ms empleadas en el mbito empresarial para la
realizacin de copias de seguridad. Est disponible para entornos Windows, Linux
y macOS.
- FreeFileSync 19. Es una herramienta de sincronizacin de carpetas que permite la
realizacin de copias de seguridad tanto de equipos locales como de unidades
en red. Entre sus funcionalidades ms tiles hay que resaltar la automatizacin
de tareas, la confeccin de detallados informes de error y la posibilidad de
utilizar nombres de ruta largos. Est disponible para Linux, Windows y macOS.
- UrBackup 20. Esta herramienta permite la realizacin de copias de seguridad en
segundo plano, mientras se trabaja, de forma que no interfiere con la labor que
est desarrollando el usuario. Es una herramienta rpida y eficaz, a la vez que
permite realizar copias de seguridad por Internet. Disponible para Windows y
Linux.

5.4 Bloqueo de macros

Desde la llegada de la suite MS Office 2007, los documentos que terminan en .docx,
.xlsx y .pptx no contienen macros 21, slo lo hacen aquellos que terminan en .m. En las
versiones de MS Office 2016 22, las macros estn deshabilitadas por defecto siendo lo
ms recomendable trabajar en un entorno donde no sea necesario el uso de macros.

16 Ver http://www.amanda.org/
17 Ver http://backuppc.sourceforge.net/
18 Ver http://blog.bacula.org/
19 Ver http://www.freefilesync.org/
20 Ver http://www.urbackup.org/
21 Ver https://es.wikipedia.org/wiki/Macro
22 Ver https://blogs.technet.microsoft.com/mmpc/2016/03/22/new-feature-in-office-2016-can-block-macros-

and-help-prevent-infection/

14

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

Para asegurarse de que las macros estn desactivadas 23, se puede proceder del
siguiente modo:
1) Seleccionar en la pestaa Archivo (MS Office 2013-2010) o en el botn de
Microsoft Office (MS Office 2007).
2) Seleccionar en Opciones (MS Office 2013-2010), Opciones de Excel/Word/ (MS
Office 2007).
3) Seleccionar en Centro de Confianza y a continuacin seleccionar Configuracin
del Centro de confianza.
4) Seleccionar Configuracin de macros.
5) Seleccionar "Deshabilitar todas las macros sin notificacin".
6) Aceptar.
7) Salir del programa y reiniciar para verificar la configuracin elegida.

Figura 7.- Bloqueo de Macros en Microsoft Office.

En el caso de que se requiera la ejecucin de cdigo VBA (macros), se recomienda

elegir la opcin "Deshabilitar todas las macros con notificacin" para poder examinar
su comportamiento a priori utilizando herramientas como OfficeMalScanner. Si es
preciso operar con macros, lo mejor opcin es "Deshabilitar todas las macros excepto
las firmadas digitalmente".
En Internet hay servicios que permiten analizar el contenido de cualquier fichero 24,
pero tambin existen otros que estn especializados en el anlisis de macros dainas
que pudieran venir con documentos de tipo PDF, Word, Excel y PowerPoint. En
cualquier caso, hay que tener en cuenta que al analizar el fichero se pierde el control
exclusivo del mismo por lo que deber tenerse en consideracin que se ha hecho
pblico.
Algunos de esos servicios son los siguientes:
- General (http://www.document-analyzer.net/).

23 Ver https://support.office.com/es-es/article/Habilitar-o-deshabilitar-macros-en-documentos-de-Office-
7b4fdd2e-174f-47e2-9611-9efe4f860b12
24 Por ejemplo ver https://www.virustotal.com/es/

15

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

- Doc (https://malwaretracker.com/doc.php).
- PDF (https://malwaretracker.com/pdf.php).

5.5 Correcta configuracin de cuentas de usuario y sus permisos.

Cualquier sistema operativo multiusuario, y Windows es uno de ellos, tiene que seguir
una poltica de permisos lo ms restrictiva posible, de forma que los usuarios tengan
acceso nica y exclusivamente a aquellos recursos y funcionalidades que les sean
necesarios para su trabajo.
A este proceder se le conoce como de mnimo privilegio y es el que debera
aplicarse en todos los escenarios. Una correcta implementacin de la poltica de
permisos puede evitar que un usuario sea capaz de infectar a toda una red si el
ransomware se propaga.
A continuacin, se muestra una serie de direcciones con instrucciones para poder
gestionar correctamente los permisos de usuario en mquinas con diferentes versiones
del sistema operativo Windows:
- Windows 7.
http://www.welivesecurity.com/la-es/2015/05/22/como-administrar-permisos-
usuarios-grupos-usuarios-windows-7/
- Windows 10.
https://channel9.msdn.com/Blogs/MVP-LATAM/Administra-tus-cuentas-de-
usuario-en-Windows-10

5.6 Honeypots 25 o Sistemas Trampa.

Una de las fases de todo proceso defensivo frente a un ataque es la deteccin del
mismo. En general, cuanto antes se sepa que el sistema est siendo atacado, antes se
podr reaccionar detenindolo o mitigando sus efectos.
Una de las formas de detectar las infecciones por ransomware es instalar en la
maquina un sistema trampa o honeypot, que acta como seuelo que delata la
presencia del cdigo daino.
La medida consiste en crear una carpeta con ficheros variados que resulten atractivos
al cdigo daino, pero que no sean los que utilizan los usuarios de esa mquina. Las
acciones sobre esa carpeta se monitorizan en tiempo real de tal forma que cuando el
ransomware acceda a ellos para cifrarlos, se detecta su presencia y es detenido.
Una limitacin de esta medida es que no detecta lo que pueda haber hecho el
cdigo daino hasta que acceda a los ficheros seuelo y cifrado parte del sistema.
Dado que el contenido de la carpeta no representar un porcentaje significativo de la
totalidad de los ficheros, su sensibilidad a la hora de detectar el ataque puede no ser
alta. Un ejemplo de herramienta de este tipo se puede encontrar en:
http://www.security-projects.com/?Anti_Ransom
Si se detecta una infeccin, el programa muestra una alerta indicando que proceso
est modificando alguno de los archivos cebo y ofrecer la opcin de terminar ese
proceso o dejar que contine.

25 Ver https://es.wikipedia.org/wiki/Honeypot

16

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

Figura 8.- Programa Anti-Ransom.

5.7 Navegacin segura

Uno de los mtodos de infeccin ms utilizados por el ransomware es la explotacin
de vulnerabilidades en los navegadores web. Para ello se recurre a los exploit kits 26,
que son programas diseados para explotar vulnerabilidades conocidas en las
aplicaciones con el fin de conseguir el control total sobre el sistema atacado.
Sin embargo, ste no es el nico mtodo de infeccin que est relacionado con los
navegadores web, tambin se puede emplear el Phishing o cualquier otro mtodo
que termine con la ejecucin de cdigo daino en el equipo vctima (memorias USB
de propaganda, regaladas o encontradas, Apps de moda, servicios web, etc.).
Para protegerse de este tipo de ataques, la recomendacin bsica es mantener
actualizado tanto el navegador web como las extensiones o complementos instalados
en el mismo. De ese modo, al navegador se le habrn aplicado todas las correcciones
conocidas y con ello se estar disminuyendo el nmero y extensin de los puntos
dbiles que puede emplear el atacante (superficie de exposicin).
Adems, se recomienda hacer uso de extensiones o complementos del navegador
web cuyo fin sea aumentar la seguridad de los mismos. Unas extensiones
recomendadas son las que bloquean la apertura de ventanas emergentes, como es el
caso de AdBlock 27 (Google Chrome y Mozilla Firefox) que evitara la carga de pginas
no solicitadas por el usuario o que son conocidas por ser dainas.
Tambin se recomienda utilizar extensiones para protegerse contra Phishing (que estn
incluidas en los navegadores principales) y otras amenazas, como puede ser la
extensin Avast Online Security para Google Chrome.
En caso de utilizar otros navegadores que no permitan este tipo de extensiones, como
es el caso de Internet Explorer, se pueden emplear herramientas como el filtro
SmartScreen, que indica si la pgina a la que se est accediendo es legtima o
pretende suplantar la identidad de otra. Para activar ese filtro se selecciona la pestaa
Seguridad Filtro SmartScreen Activar el filtro.

Ver https://en.wikipedia.org/wiki/Exploit_kit
26
27 Ver https://getadblock.com/

17

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

Figura 9.- Bloqueo de Macros en Microsoft Office.

Una medida ms drstica, pero muy eficaz, es la desactivacin de la ejecucin de

JavaScript 28, permitindose slo en sitios web de confianza. La ejecucin de este tipo
de cdigo es peligrosa porque puede permitir la ejecucin automtica de cdigo
malicioso que descargue y ejecute el ransomware en la mquina.
La desactivacin de JavaScript se puede conseguir en la configuracin del propio
navegador web o mediante el uso de extensiones como NoScript (FireFox) y ScriptSafe
(Chrome).
Esta medida, eficaz en la prevencin de ejecucin de cdigo malicioso, es la ms
intrusiva para el usuario y puede dar problemas con algunos de sus sitios web
habituales, haciendo que estos no se muestren como deberan o que no se incluyan
algunas funcionalidades.
Entre estas funcionalidades se encuentran algunos plugins, la visualizacin de datos,
presentaciones web, buscadores y elementos grficos en general. La desactivacin
de JavaScript, por tanto, da un aspecto mucho ms plano de la web.

5.8 Extensiones conocidas de los archivos

El camuflaje es una tcnica de engao muy utilizada por el malware en general y por
el Phishing en particular. La idea es ocultar un archivo ejecutable, bajo la apariencia
de otro no ejecutable y aparentemente inocuo.
Para comodidad del usuario, en los sistemas operativos actuales las extensiones de
archivo ms comunes son omitidas del nombre del fichero y su icono es elegido de
modo que sea el ms representativo para ese tipo de archivo.
Este comportamiento puede utilizarse para engaar al usuario hacindole creer que
un fichero es otra cosa distinta a la que realmente es; por ejemplo, un proceso
ejecutable podra simular ser una imagen al llevar un nombre terminado en .jpg, pero
realmente ser un fichero con la terminacin .jpg.exe que es algo completamente
distinto.
Al tener activada la opcin de ocultar las extensiones conocidas, el usuario no ver
que se trata de un ejecutable y no de una imagen.

28 Ver https://es.wikipedia.org/wiki/JavaScript

18

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

Para mostrar las extensiones ocultas hay que acceder a las opciones de carpeta del
explorador de Windows. La forma ms sencilla es desde la barra de herramientas de
cualquier ventana del explorador, eligiendo la opcin de Opciones de carpeta bajo el
men Vista. Una vez en las opciones de carpeta, en la seccin de Vista debe
desactivarse la opcin de Ocultar extensiones para archivos conocidos.

Figura 10.- Opcin de no ocultar extensiones conocidas.

Otra forma de abusar de este comportamiento es la creacin de accesos directos

cuyo icono es modificado para hacer creer al usuario que es un tipo de archivo
conocido. La forma de distinguir un fichero de un acceso directo es tan sencilla como
observar la esquina inferior izquierda del icono, que en caso de ser un acceso directo
mostrar un indicador en forma de flecha y no deber utilizarse a menos que se confe
en su procedencia.

5.9 EMET
Con el nimo de mitigar los efectos del malware en sus sistemas operativos, Microsoft
ha desarrollado Enhanced Mitigation Experience Toolkit, o EMET. Se trata de una
herramienta de seguridad puesta a libre disposicin de los usuarios.
EMET proporciona una interfaz de usuario que le ayuda a configurar las caractersticas
relacionadas con la seguridad del sistema operativo Windows. Se puede utilizar como
una capa extra de seguridad entre los cortafuegos personales y el software antivirus.

5.9.1 Manual de instalacin

Para poder instalar EMET, quizs haya que instalar en primer lugar .NET Framework. Si es
preciso y no se sabe cmo hacerlo, es recomendable consultar el siguiente enlace:
https://msdn.microsoft.com/es-es/library/5a4x27ek(v=vs.110).aspx
Una vez .NET Framework est descargado e instalado, se procede descargar la
herramienta EMET del siguiente enlace:
https://www.microsoft.com/en-us/download/details.aspx?id=53354

19

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

Figura 11.- Instalacin de la herramienta EMET.

Se recomienda elegir la opcin Use Recommended Settings para simplificar la

configuracin de EMET. Es preciso indicar que la instalacin de EMET puede provocar
ciertas interferencias con algunas aplicaciones, y que la velocidad del equipo puede
verse reducida si el nmero de programas a controlar por esa herramienta es excesivo.
Si se desea obtener ms informacin sobre cmo poder aadir o quitar programas
especficos de la lista de vigilancia de la aplicacin EMET, se recomienda entrar en la
pgina:
http://articulos.softonic.com/como-proteger-windows-con-emet
Usuarios ms avanzados pueden encontrar ms detalles en:
https://www.trustedsec.com/november-2014/emet-5-1-installation-guide/

5.10 AppLocker
Applocker 29 es una aplicacin introducida en Windows Server 2008 R2 y Windows 7
que ampla sus caractersticas de control de aplicaciones y las polticas de ejecucin
restringida.
Esta herramienta se utiliza para crear reglas basadas en los atributos de los archivos
(nombre, firma digital, etc.) a fin de controlar el acceso al software instalado en el
equipo. Ese control permite, entre muchas opciones, bloquear el acceso a un
programa o a un servicio determinado.
En el siguiente enlace se encuentra informacin detallada sobre Applocker:
https://technet.microsoft.com/es-es/library/mt431725(v=vs.85).aspx6

5.11 Recuperacin de los ficheros mediante el almacenamiento en la nube

Desde hace algn tiempo, es muy comn el uso de servicios de sincronizacin de
ficheros 30 o de almacenamiento en la nube 31.
Cuando se tiene sincronizado el contenido de una carpeta local con otra en la nube,
ambas ubicaciones tienen los mismos ficheros. Si en un equipo local se sufre el ataque
de un agente de ransomware, las copias locales sern cifradas y, posteriormente, el

29 Ver https://msdn.microsoft.com/es-es/library/ee424367(v=ws.11).aspx
30 Ver https://en.wikipedia.org/wiki/File_synchronization
31 Ver https://en.wikipedia.org/wiki/Cloud_storage

20

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

sistema de sincronizacin copiara en la nube esos mismos ficheros borrando los

anteriores, de modo que las copias en la nube tambin terminarn cifradas.
Sin embargo, el borrado de ficheros es una accin aparente en muchos de estos
servicios de almacenamiento en la nube ya que realmente se trata de un sistema de
ficheros con control de versiones 32.
En estos sistemas, los ficheros borrados no se borran realmente, sino que quedan
almacenados como una versin anterior que sigue siendo accesible para el
administrador del servicio en la nube.

Figura 12.- Control de versiones en Dropbox.

En esos casos, y segn sea la poltica del proveedor de servicios, a veces es posible
eliminar de la nube las versiones cifradas (secuestradas) y recuperar versiones
anteriores de esos mismos archivos.

Tanto Dropbox 33 como Google Drive 34 ofrecen posibilidades en este sentido, por lo que
siempre hay que considerar la posibilidad de restaurar lo que se tena sincronizado en
la nube. Obviamente, la operacin de restauracin debe hacerse una vez se haya
limpiado completamente el equipo afectado.

5.12 Cuando todo parece perdido.

Una vez que el sistema ha sido infectado y que el ransomware haya conseguido cifrar
todo el sistema de ficheros accesible, puede darse el caso de que consultando foros
especializados no haya antdoto que permita recuperar la informacin. En ese caso,
no conviene proceder al borrado de los ficheros afectados.
El hecho de que en ese momento no exista una herramienta que permita el descifrado
de los ficheros secuestrados, no significa que no pueda existir en un futuro prximo. En
ese caso, es mejor no destruir la nica copia que hay de nuestros ficheros, aunque esta
copia est cifrada con una clave que, en ese momento, no est disponible.
Lo ms recomendable es:
1) Copiar todos los ficheros cifrados en una unidad externa vaca.

32 Ver https://en.wikipedia.org/wiki/Versioning_file_system
33 Ver https://www.dropbox.com/help/11
34 Ver https://support.google.com/docs/answer/190843?hl=es

21

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

2) Limpiar y desinfectar el equipo infectado.

3) Poner a buen recaudo una copia de seguridad de los ficheros cifrados hasta
que se conozca alguna forma de recuperar esos ficheros.

6. CONCLUSIN
A la hora de dotar de seguridad a un sistema informtico es necesario aplicar todas las
medidas disponibles y, a ser posible, organizadas en capas para dificultar el xito de
cualquier ataque.
As mismo, una rpida deteccin de la infeccin puede permitir detenerla, limitando el
nmero de ficheros afectados. En ese momento se procede a la completa limpieza
del equipo afectado y se intenta la recuperacin de los ficheros que han sido
afectados.
Dado que el verdadero riesgo del ransomware es que secuestren la nica copia
disponible de un fichero, toda la resiliencia del sistema depende de que se
mantengan copias de seguridad adecuadamente actualizadas, cifradas y firmadas,
fuera del alcance (off-line) de nuestro equipo.
Disponer de una adecuada copia de seguridad de los ficheros importantes convierte
el ataque de ransomware en una molestia en lugar de ser un desastre.
Por ltimo, para estar al da de las medidas de seguridad contra el ransomware, se
recomienda la lectura del Informe de Amenazas CCN-CERT IA-03/17.

7. DECLOGO
Informar y concienciar a todos los usuarios de los riesgos y amenazas que
1 supone el Ransomware, de modo que su estado de consciencia, alerta y
formacin disminuyan la posibilidad de infeccin.
Mantener un sistema de copias de seguridad/respaldo actualizado, tanto de
los sistemas locales como de las ubicaciones distantes. A ser posible deben
2
mantenerse al menos dos (2) copias de seguridad en diferentes loca-
lizaciones y desconectadas del Sistema.
Deshabilitar las macros en los documentos de Microsoft Office y otras
3
aplicaciones similares.
Deshabilitar Windows Script Host para evitar la ejecucin de scripts en el
Sistema. Para ello se pueden seguir los pasos descritos en el siguiente enlace
4 de Microsoft:
https://technet.microsoft.com/es-es/library/ee198684.aspx
Seguir las recomendaciones publicadas sobre proteccin del correo
5
electrnico. (Ver Gua CCN-CERT BP-02/16)
Complementar el antivirus y cortafuegos personal con programas como
6 AppLocker (bloqueo de ejecucin de programas) y EMET (deteccin y
bloqueo de tcnicas de exploit).
Mantener una conducta de navegacin segura, empleando herramientas y
extensiones de navegador web completamente actualizadas que ayuden a
7
prevenir ejecuciones no autorizadas de cdigo en el navegador web. (Ver
Gua CCN-CERT BP-06/16)

22

SIN CLASIFICAR
 SIN CLASIFICAR

CCN-CERT BP-04/16 Buenas Prcticas Ransomware

Activar la visualizacin de las extensiones de los ficheros para evitar eje-

8
cucin de cdigo daino camuflado como fichero legtimo no ejecutable.
Configurar el UAC (User Access Control) de Windows de la forma ms res-
9 trictiva posible, pidiendo siempre confirmacin para la ejecucin de aquellos
procesos que requieran altos privilegios.
Mantener el sistema operativo y todas las soluciones de seguridad actua-
10
lizadas, as como cortafuegos personal habilitado.

23

SIN CLASIFICAR