Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Protección contra Ransomware de Office 365

Protección contra Ransomware de Office 365

Jan 23, 2024

Office 365 ransomware protection requires addressing risks in both Microsoft 365 and Entra ID, including phishing, file sharing, mismanaged permissions, and compromised accounts. Native defenses such as Microsoft Defender, Conditional Access, Purview DLP, and Secure Score help block and detect threats, while recovery options like OneDrive and SharePoint restore mitigate damage. Strengthening identity and access management with tools like Netwrix Directory Manager further reduces ransomware exposure and improves compliance.

La mayoría de las organizaciones hoy en día dependen de Entra ID (anteriormente Azure AD) y Microsoft 365 (anteriormente Office 365) para las operaciones principales del negocio. Pero, ¿qué tan seguras están estas plataformas vitales contra el ransomware?

Este artículo explora las principales preocupaciones en Entra ID y Microsoft 365 y detalla los controles de seguridad clave que ofrecen para bloquear, detectar y recuperarse del ransomware. Luego ofrece una solución robusta que puede proteger aún más sus datos y sistemas informáticos.

Contenido relacionado seleccionado:

Preocupaciones de seguridad en Entra ID

El Active Directory local es un principal objetivo de los ciberdelincuentes porque sigue siendo el servicio de Identity Management primario para la mayoría de las organizaciones. Sin embargo, Entra ID también puede verse comprometido y se está convirtiendo en un objetivo más común. Estos son los principales factores que lo hacen vulnerable a los ataques de ransomware:

  • No hay unidades organizativas (OUs) — En AD local, los administradores suelen utilizar las OUs para agrupar usuarios y dispositivos para una provisión y monitoreo más precisos y eficientes. Por ejemplo, colocar todas las cuentas con privilegios altos en una única OU facilita la aplicación de controles de seguridad más estrictos sobre ellas. Sin embargo, Entra ID no admite unidades organizativas. La carga administrativa aumentada resultante en los equipos de TI puede llevar a errores que permiten infecciones de ransomware.
  • No Group Policy — En AD local, los administradores también tienden a depender mucho de Group Policy para hacer cumplir la seguridad. Group Policy no es compatible con Entra ID, lo que dificulta mucho más la gestión de la configuración de dispositivos, lo que puede permitir que se instale y ejecute ransomware.
  • Protocolo defectuoso para inicio de sesión único (SSO) — SSO permite a los usuarios iniciar sesión en Entra ID sin introducir su contraseña. Sin embargo, el protocolo SAML utilizado para SSO tiene fallos, lo que permite a los hackers realizar ataques de fuerza bruta para comprometer cuentas de usuarios. Aunque la autenticación multifactor (MFA) puede bloquear estos ataques, requerir MFA para todas las cuentas no es práctico ya que interfiere con tareas como proporcionar soporte mediante Remote PowerShell. Los hackers buscan frecuentemente comprometer cuentas administrativas sin MFA activado. Ejemplos de alto perfil incluyen la violación de seguridad en Deloitte, en la que los hackers comprometieron el servidor de correo electrónico global de la empresa, y la brecha de Optus en la que la falta de autenticación para su API pública condujo a la exposición de unos 10 millones de registros que contenían información personal sensible de los usuarios.
  • Puntos ciegos en entornos híbridos — La mayoría de las organizaciones tienen un entorno híbrido que combina AD local y Entra ID. La complejidad resultante en la gestión de identidades y accesos y en Endpoint Management puede llevar a puntos ciegos que brindan oportunidades para que los hackers desplieguen ransomware.

Cómo se comportan las cuentas de Azure AD comprometidas

Entra ID ofrece control de acceso basado en roles (RBAC), por lo que el rol o roles asignados a un usuario influyen en lo que un hacker puede hacer si comprometen la cuenta. Aquí están los roles integrados clave que debe conocer:

  • Lector — Un hacker que comprometa una cuenta con este rol puede acceder a información sensible. Pueden leer Runbooks y otros recursos que pueden tener credenciales codificadas o información adicional útil. Los actores de amenazas también rastrean nuevos objetivos y espacios de direcciones a través de redes virtuales.
  • Propietario— El rol de Propietario puede editar recursos y otorgar permisos a cualquier recurso. Por lo tanto, este rol es de gran interés para los actores de amenazas.
  • Colaborador— Los usuarios con este rol pueden subir nuevas carpetas y archivos, pero no pueden eliminar, mover o copiar archivos. Como resultado, este rol es menos útil para los hackers.
  • Administrador de acceso de usuario — Mediante este rol, los actores de amenazas pueden otorgar derechos de acceso a otros recursos. Por lo tanto, este es también un rol poderoso que debe otorgarse con cuidado.

Preocupaciones de seguridad en Microsoft 365

Los adversarios pueden explotar Microsoft 365 como un punto de entrada para el ransomware. Las preocupaciones clave para defenderse incluyen:

  • Phishing — Los adversarios envían correos electrónicos a través de Exchange Online con el fin de engañar a los usuarios para que abran archivos adjuntos maliciosos o visiten sitios maliciosos con el objetivo de lanzar ransomware.
  • Compartir archivos— SharePoint y Teams son herramientas de colaboración potentes que facilitan mucho a los usuarios compartir información tanto con colegas internos como con partes externas. Sin los controles adecuados y supervisión, esto puede permitir a los atacantes subir archivos maliciosos o recopilar información útil para ataques de ransomware.
  • Permisos mal gestionados — Microsoft 365 es una plataforma muy compleja de administrar, por lo que los usuarios pueden terminar con muchos más derechos de acceso de los que necesitan. Cualquier ransomware que se ejecute bajo sus credenciales hereda esos derechos, lo que le permite hacer más daño del que podría hacer si el principio de mínimo privilegio se aplicara estrictamente.

Herramientas de Microsoft para la defensa contra el ransomware

Para reducir el riesgo de ransomware, Office 365 y Entra ID ofrecen una variedad de herramientas de seguridad, incluyendo las siguientes:

  • Microsoft Defender ofrece capacidades avanzadas de detección y protección contra amenazas. Ayuda a descubrir y mitigar vulnerabilidades para reducir la superficie de ataque, así como a detectar y detener amenazas de ransomware en progreso.
  • Microsoft Secure Score analiza su seguridad y la compara con la línea base de Microsoft, obteniendo una puntuación numérica que puede utilizar para evaluar la efectividad de su estrategia de mejora de seguridad.
  • Microsoft Purview Compliance Managerle ayuda a evaluar su cumplimiento con los requisitos regulatorios y a comprender qué acciones tomar para mejorar, lo que puede ayudarle a mantenerse al día tanto con nuevas regulaciones como con nuevas versiones de mandatos existentes.
  • Microsoft Purview Data Loss Prevention le ayuda a controlar y monitorear el acceso a los datos para prevenir el uso, compartición o transferencia no autorizados de información sensible. Por ejemplo, puede definir niveles de confidencialidad y determinar qué acciones están permitidas para la información sensible.
  • Microsoft Conditional Access le permite definir políticas que determinan dinámicamente si permitir, bloquear o limitar el acceso o requerir un paso de verificación adicional, basado en factores como el dispositivo, la ubicación o el riesgo de la sesión. Por ejemplo, Conditional Access podría bloquear a un adversario que intenta iniciar sesión con credenciales robadas desde una ubicación inusual agregando un paso de MFA, evitando así que instalen ransomware.
  • Microsoft Purview Information Protection le ayuda a descubrir, clasificar y proteger la información sensible dondequiera que resida o se mueva. Por ejemplo, puede asegurarse de que los correos electrónicos enviados a cualquier usuario estén cifrados para que solo los destinatarios autorizados puedan leerlos.
  • Microsoft Entra Identity Protection ayuda a las organizaciones a detectar, investigar y remediar riesgos basados en la identidad. En particular, puede ayudarte a identificar comportamientos inusuales de usuarios que podrían indicar a un actor de ransomware intentando usar credenciales robadas o una amenaza de ransomware en curso.
  • Recuperación de datos — Si un ataque de ransomware tiene éxito, Microsoft ofrece algunas opciones de recuperación de ransomware de Entra ID y Office 365. Estas incluyen la función “Restaura tu OneDrive”, la Papelera de reciclaje de OneDrive y la Papelera de reciclaje de la colección de sitios de SharePoint. Sin embargo, las organizaciones también necesitan implementar una estrategia de respaldo y recuperación de calidad empresarial.

Cómo Netwrix Directory Manager puede ayudar

Aunque estas soluciones de Microsoft son valiosas, gestionar adecuadamente tu entorno híbrido o en la nube es una tarea compleja, y cualquier error o mala configuración puede abrir la puerta a costosas infecciones de ransomware. Una solución de terceros puede ayudar.

Netwrix Directory Manager es una poderosa solución de identity and access management (IAM) que reduce la carga de trabajo de sus equipos de TI al mismo tiempo que mejora la seguridad y el cumplimiento. Le permite a usted:

  • Optimice la gestión de los grupos de seguridad y distribución
  • Identificar a los propietarios de grupos
  • Delegar tareas de gestión de grupos
  • Genere informes fáciles de usar para obtener mejores perspectivas y control

FAQ

¿Microsoft Office 365 tiene protección contra virus?

Sí, Office 365 está equipado con robustas capacidades antivirus y antimalware. Utiliza inteligencia de amenazas avanzada y tecnologías de escaneo para detectar y detener ataques de virus.

¿Está integrada la protección contra ransomware en Office 365?

Sí, Microsoft 365 incluye funciones integradas de protección contra ransomware. Utiliza medidas avanzadas de protección contra amenazas para detectar y mitigar las amenazas de ransomware en su conjunto de aplicaciones.

¿OneDrive tiene protección contra ransomware?

Sí. OneDrive es parte del conjunto de Microsoft 365. Utiliza el control de versiones de archivos y la detección inteligente de amenazas para ayudar a proteger tus archivos de ataques de ransomware, y ofrece algunas capacidades de respaldo y recuperación.

¿Protege Microsoft Defender contra el ransomware?

Sí, Microsoft Defender ofrece protección contra el ransomware. Utiliza mecanismos avanzados de protección contra amenazas para detectar, bloquear y responder a las amenazas de ransomware.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Jonathan Blackwell

Jefe de Desarrollo de Software

Desde 2012, Jonathan Blackwell, un ingeniero e innovador, ha proporcionado liderazgo en ingeniería que ha colocado a Netwrix GroupID a la vanguardia de la gestión de grupos y usuarios para entornos de Active Directory y Azure AD. Su experiencia en desarrollo, marketing y ventas permite a Jonathan comprender completamente el mercado de Identity Management y la forma de pensar de los compradores.

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Crear usuarios de AD en masa y enviar sus credenciales por correo electrónico usando PowerShell

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad