InicioSeguridadPrevén Ransomware con SRP en Windows 10/11
SeguridadSO WindowsSolución de Problemas de Windows

Prevén Ransomware con SRP en Windows 10/11

by Bardimin

Nota: Este artículo trata sobre una función de seguridad avanzada (Políticas de Restricción de Software) dirigida a profesionales, técnicos de TI y usuarios avanzados. Una configuración incorrecta puede restringir el funcionamiento del sistema. Se recomienda probar primero en un entorno de laboratorio.

Como línea de defensa proactiva, las Políticas de Restricción de Software (SRP) en Windows proporcionan un control granular sobre qué aplicaciones pueden ejecutarse. Esta función de Directiva de Grupo es un arma poderosa, especialmente en una estrategia para prevenir ransomware y otro malware que intente ejecutarse sin autorización.

En un ecosistema digital cada vez más complejo, amenazas como el ransomware no solo provienen de correos de phishing, sino también de anuncios infectados (malvertising), sitios web maliciosos o explotación de vulnerabilidades. Las Políticas de Restricción de Software actúan como un guardián que aplica reglas de ejecución basadas en ruta, hash, certificado o zona de red. Así, se construye una capa de seguridad más allá de la protección antivirus tradicional.

Lee también: Restringir acceso a archivos compartidos por IP en Windows

¿Qué son las Políticas de Restricción de Software (SRP) y sus beneficios?

Las Políticas de Restricción de Software son un componente integrado de Windows (disponible en las ediciones Pro, Enterprise y Education) que permite a los administradores controlar el comportamiento de ejecución de los archivos. Esta función es crucial dentro de un marco de Confianza Cero, donde ninguna aplicación es confiable por defecto.

Los beneficios de implementar SRP incluyen:

  • Prevención de Ejecución de Malware: Bloquea virus, ransomware, spyware o troyanos aún no detectados por un antivirus basado en firmas.
  • Control del Uso del Equipo: Restringe aplicaciones o juegos específicos en equipos compartidos o para niños.
  • Mejora del Cumplimiento: Asegura que solo las aplicaciones aprobadas (en lista blanca) puedan ejecutarse en entornos corporativos.

Lista Blanca vs. Lista Negra: ¿Cuál es más efectiva?

SRP ofrece dos enfoques fundamentales:

  1. Lista Blanca (Permitir): Todas las aplicaciones están bloqueadas por defecto. Solo las aplicaciones explícitamente en la lista tienen permiso para ejecutarse.
  2. Lista Negra (Denegar): Todas las aplicaciones están permitidas por defecto. Solo las aplicaciones específicas en la lista están bloqueadas.

Con el objetivo de prevenir ransomware y amenazas de día cero, el enfoque de Lista Blanca es muy superior y recomendado por profesionales de ciberseguridad. La razón es simple: es más fácil definir lo que es «bueno» (aplicaciones legales) que perseguir constantemente lo que es «malo» (nuevas variantes de malware).

Lee también: Cómo recuperar archivos perdidos o eliminados por ataque de virus

Guía paso a paso para configurar SRP y prevenir ransomware

A continuación, se muestra una configuración básica de SRP utilizando el método de Lista Blanca. Asegúrese de haber iniciado sesión como administrador.

Paso 1: Abrir el Editor de Directivas de Grupo Local

  1. Presione las teclas Windows + R para abrir Ejecutar.
  2. Escriba gpedit.msc y presione Enter.
Abriendo la ventana Ejecutar y escribiendo gpedit.msc para acceder al Editor de Directivas de Grupo
Figura 1: Acceda al Editor de Directivas de Grupo mediante el comando `gpedit.msc`.

Paso 2: Navegar a Políticas de Restricción de Software

En la ventana del Editor, navegue a:
Configuración del equipo > Configuración de Windows > Configuración de seguridad > Políticas de restricción de software.

Estructura de carpetas de Políticas de Restricción de Software en el Editor de Directivas de Grupo
Figura 2: Ubicación de la configuración de Políticas de Restricción de Software.

Paso 3: Crear nuevas políticas

Haga clic con el botón derecho en Políticas de restricción de software, luego seleccione Nuevas políticas de restricción de software. Se creará una estructura predeterminada.

Creando nuevas Políticas de Restricción de Software
Figura 3: Inicializando nuevas políticas SRP.

Paso 4: Eliminar la extensión LNK de la lista de tipos de archivo designados

Este paso es crucial para evitar que el malware se disfrace de accesos directos. Abra Tipos de archivo designados. Busque la extensión .LNK en la lista, luego haga clic en Quitar. Haga clic en Aceptar.

Lee también: Cómo reparar Disk Unknown Not Initialized en Windows

Eliminando la extensión LNK de los tipos de archivo reconocidos por SRP
Figura 4: Configurando tipos de archivo para ignorar accesos directos (.LNK).

Paso 5: Revisar y agregar reglas de ruta (Lista blanca)

Abra la carpeta Reglas adicionales. Por defecto, hay dos reglas de ruta «Sin restricciones»:
1. %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% (Carpeta de Windows)
2. %ProgramFiles%

Para sistemas de 64 bits, debe agregar una regla para la carpeta Archivos de programa (x86):
1. Haga clic con el botón derecho en un área vacía, seleccione Nueva regla de ruta.
2. En el campo Ruta, escriba o busque: C:\Archivos de programa (x86)
3. Asegúrese de que el Nivel de seguridad esté establecido en: Sin restricciones.
4. Haga clic en Aceptar.

Agregando una nueva regla de ruta para Archivos de programa (x86) en Políticas de Restricción de Software
Figura 5: Agregando una regla de lista blanca para aplicaciones de 32 bits.

Nota importante: Algunas aplicaciones (como Zoom, algunos juegos) se instalan en ubicaciones personalizadas (por ejemplo, C:\Zoom o C:\Juegos). Debe crear una nueva Regla de ruta para cada carpeta de instalación personalizada con el nivel «Sin restricciones.

Paso 6 (Final): Cambiar el nivel de seguridad predeterminado a «No permitido»

Este es el núcleo de la estrategia de Lista Blanca. Abra la carpeta Niveles de seguridad. Haga clic con el botón derecho en el nivel No permitido, luego seleccione Establecer como predeterminado. Confirme cualquier advertencia que aparezca.

Estableciendo el Nivel de Seguridad predeterminado en No permitido en Políticas de Restricción de Software
Figura 6 (Configuración clave): Habilitando el modo de lista blanca cambiando el valor predeterminado a «No permitido».

Después de este paso, la política entra en vigor. Solo las aplicaciones instaladas en ubicaciones con una regla «Sin restricciones» (como Archivos de programa) se ejecutarán. Las aplicaciones de otras carpetas (como Descargas, Escritorio) o medios externos serán bloqueadas, lo que ayuda efectivamente a prevenir ransomware.

Mejores prácticas y consideraciones adicionales

La implementación de Políticas de Restricción de Software requiere planificación. Aquí hay algunos consejos:

  • Probar primero en un laboratorio: Aplique la política en una máquina de prueba para asegurarse de que todas las aplicaciones críticas se ejecuten.
  • Usar reglas de Hash o Certificado para mayor flexibilidad: Además de las Reglas de ruta, puede crear reglas basadas en hash de archivo (adecuado para aplicaciones portables) o certificado del editor (más seguro).
  • Monitorear el Visor de eventos: Revise los registros en Visor de eventos > Registros de aplicaciones y servicios > Microsoft > Windows > AppLocker (o CodeIntegrity) para ver las aplicaciones bloqueadas.
  • SRP vs. AppLocker: Para Windows 10/11 Enterprise/Education, considere AppLocker que ofrece una gestión más fácil de usar y potente.

Al configurar las Políticas de Restricción de Software con un principio de lista blanca, ha construido una capa de defensa proactiva significativa. Esta capa cierra efectivamente la puerta de ejecución a programas desconocidos, incluyendo nuevas variantes de ransomware, protegiendo así sus datos y la integridad del sistema.

Table of contents [hide]

Artículos Recientes

Artículos Relacionados