Cuarentena 🟢 Protección

El cuarentena es una medida de seguridad que consiste en aislar un elemento sospechoso (archivo o material infectado, correo electrónico de suplantación de identidadprograma o sistema potencialmente malicioso, etc.) en un zona aislada y segura del sistema para evitar que cause daños al resto del sistema o de la red.

Esta zona aislada está diseñada para evitar que el elemento en cuarentena se ejecute, se propague o interactúe con el resto del sistema o la red. Se trata de una medida de seguridad preventiva y reactiva.

©Alexandre SALQUE/ORSYS

🎯 Objetivo de cuarentena

• Contener la amenaza : el objetivo principal es prevenir software malicioso o un archivo infectado de causar más daños. Aislar la amenaza limita su capacidad de propagarse a otros archivos, sistemas o usuarios.
• Análisis de la amenaza : La cuarentena mantiene a salvo un elemento sospechoso para que pueda ser analizado con más detalle. Los expertos en seguridad pueden examinar el archivo en cuarentena para determinar si realmente es una amenaza, qué tipo de amenaza es y cómo neutralizarla por completo.
• Neutralizar la amenaza Si se confirma que un elemento es malicioso, puede eliminarse o neutralizarse de forma segura, sin riesgo de infectar otras partes del sistema.
• Reducir falsos positivos : A veces, el software de seguridad puede identificar erróneamente un archivo legítimo como malicioso (esto se conoce como "falso positivo"). La cuarentena permite poner en espera los archivos sospechosos sin eliminarlos inmediatamente. Si, tras el análisis, se considera que el archivo es seguro, puede restaurarse a su ubicación original. Si se trata de una amenaza real, puede eliminarse de forma segura.
• Prevenir futuras infecciones: Al comprender cómo se detectó y puso en cuarentena una amenaza, los equipos de seguridad pueden reforzar sus defensas y poner en marcha medidas para prevenir ataques similares en el futuro.

👉 Tipos de cuarentena

• Cuarentena de archivos aislamiento de archivos sospechosos (por ejemplo, archivos adjuntos, descargas)
• Procesos de cuarentena Algunos sistemas de detección de intrusos (IDS) o el sistema de prevención de intrusiones (IPS) pueden poner en cuarentena procesos que parezcan comportarse de forma anómala o maliciosa.
• Correo electrónico en cuarentena bloquear correos electrónicos dudosos o que contengan enlaces/phishing.
• Cuarentena de red Aislar un segmento de red infectado (por ejemplo, para limitar el número de ransomware).
• Cuarentena de aparatos bloquear un dispositivo comprometido hasta que haya sido desinfectado.

Cómo funciona

Cuando un elemento se pone en cuarentena, el sistema de seguridad puede tomar una serie de medidas:

• Mover el archivo : el archivo se suele mover a un directorio de cuarentena especialmente designado. Este directorio suele estar protegido y ser inaccesible para los procesos normales del sistema.
• Cifrado : En algunos casos, el archivo en cuarentena puede cifrarse para garantizar que no pueda ejecutarse accidentalmente.
• Cambio de permisos : se pueden modificar los permisos del fichero para impedir su ejecución.
• Eliminar el acceso a la red : si se pone en cuarentena un dispositivo o sistema completo, se puede desconectar de la red para impedir la comunicación con otros dispositivos.

📊 Estadísticas y cifras

• 95 % de las empresas utilizan mecanismos de cuarentena para contrarrestar el malware (Ponemon Institute, 2023).
• De media, en una empresa mediana se ponen en cuarentena 500 archivos al mes (Verizon DBIR, 2023).
• Los sistemas de cuarentena reducen el tiempo de respuesta a incidentes en un 60 % (Gartner, 2022).
• Un ataque de malware evitado gracias a la cuarentena ahorra hasta 2,6 millones de dólares en costes potenciales (IBM Cost of a Data Breach, 2023).