Por Edwin Weijdema, Field CTO EMEA y tecnólogo jefe de ciberseguridad, Veeam.
El año pasado, el 85% de las organizaciones sufrieron al menos un ataque de ransomware, según el Reporte de Tendencias de Protección de Datos 2023 de Veeam. Casi todas las organizaciones sufren estos ataques, por lo que está claro que el problema no solo está totalmente extendido, sino que hoy en día es casi inevitable que sucedan. Aunque esto pueda sonar desalentador, el primer paso para gestionar esta amenaza es reconocer que siempre estará presente. Veamos qué soluciones pueden utilizar las organizaciones para convivir con el ransomware.
El seguro sólo llega hasta cierto punto
Está claro que los ataques de ransomware son una amenaza muy real y presente: lo vemos todos los días, tanto si miramos las noticias nacionales como al reunirnos entre colegas a hablar de negocios. Teniendo en cuenta la ubicuidad de estos ataques, las organizaciones deben ser conscientes de que un ataque de ransomware ya no es un problema que “posiblemente” suceda, sino que debemos preguntarnos «con qué frecuencia» sucederá. Mientras que un gran número de organizaciones experimentaron al menos un ataque el año pasado, el Reporte de Tendencias de Protección de Datos de Veeam también mostró que algo menos de la mitad (48%) sufrió dos o tres ataques. Esto puede parecer una perspectiva abrumadora para una organización, sea cual sea su tamaño, y la consecuencia natural es que muchos recurren a los seguros cibernéticos en busca de un poco de tranquilidad.
El seguro cibernético puede pagar por los daños causados tras un ataque de ransomware, pero es importante recordar que nunca puede prevenir o deshacer este daño o el efecto dominó que crea como la pérdida de clientes y la confianza de los mismos. Sin embargo, pueden ayudar a prevenir los daños causados por el ransomware, pero esto a veces se ve limitado por las pólizas de seguro cibernético.
A medida que aumentan las amenazas de ransomware, también lo hacen las especulaciones de los proveedores de ciberseguros. El reciente Reporte de Tendencias de Ransomware de Veeam también descubrió que más del 20% de las organizaciones indicaron que los ataques de ransomware no estaban cubiertos por su proveedor de seguro cibernético, e incluso cuando están cubiertos, algunos proveedores estipulan que las empresas no pueden hablar públicamente sobre la brecha de protección. La desafortunada consecuencia de esto es que mantiene la realidad sobre los ataques de ransomware -algo tan común- oculta como un secreto. Esperemos que esto cambie en los próximos años, ya que es a través de la educación, de compartir nuestros aprendizajes y errores, como podemos hacernos más fuertes en nuestra defensa contra los ataques de ransomware.
Y es que hablar de los ataques de ransomware ayuda a disipar el misterio que los rodea. A pesar de la frecuencia de las conversaciones sobre ransomware en los medios de comunicación, muchas personas no saben cómo se desarrollan: puede parecer el click de un interruptor o un truco de magia, pero la realidad es mucho más complicada que eso. Teniendo en cuenta que casi todas las organizaciones se verán afectadas por un ataque de ransomware (muchas probablemente ya lo han sufrido), el conocimiento de todo el proceso es esencial para la preparación y el éxito de la recuperación.
El ransomware es la bestia visible
En las charlas sobre ransomware rara vez se reconoce que un ataque es la culminación de una serie de acontecimientos orquestados por delincuentes. El ransomware no aparece de la noche a la mañana, sino después de días, semanas, meses o incluso años de preparar el terreno. Veamos qué ocurre detrás de escena.
Los atacantes comenzarán primero con una fase de observación. Durante ese tiempo, se limitan a vigilar a su objetivo para recopilar información sobre las personas, los procesos y la tecnología con el fin de identificar oportunidades. Al igual que un ladrón primero se debe familiarizar con las entradas y salidas de un edificio y con quienes viven en él, a los ciberdelincuentes también les gusta saber a qué se están enfrentando.
Después de esto, es el momento de entrar en el edificio. Para los ciberdelincuentes, esto se consigue enviando enlaces de phishing o similares, para permitir la entrada y la creación de una base de operaciones dentro de la infraestructura del objetivo. En este punto, permanecen fuera de la vista, pero les permite hacer un daño significativo. Los atacantes filtrarán datos en esta fase y también pueden destruir backups sin ser detectados, hasta que se hagan notar al lanzar la fase final, el ataque y la petición de rescate.
Descubrir este proceso por completo es, naturalmente, abrumador: los equipos de seguridad no sólo tienen que lidiar con las amenazas visibles, sino que también se enfrentan a algunos enemigos desconocidos e invisibles que podrían esconderse en segundo plano en cualquier momento. Sin embargo, una vez más se cumple el dicho de que «saber es poder». Las organizaciones pueden utilizar esta información para desarrollar la estrategia de backup y recuperación de ransomware más sólida posible.
No lo dejes en manos de la suerte
Aunque los ataques de ransomware son inevitables, la pérdida de datos no tiene por qué serlo. De hecho, el 100% de la resiliencia frente al ransomware es posible si se toman las precauciones adecuadas. Esto puede sonar demasiado bueno para ser cierto, pero con unos pocos elementos clave, cualquier organización puede desarrollar una estrategia de protección de datos sólida.
En primer lugar, los equipos de seguridad deben asegurarse de que disponen de una copia inmutable de sus datos para que los piratas informáticos no puedan alterarlos ni cifrarlos de ninguna manera. Luego, deben cifrar sus datos para que, en caso de robo o violación, los piratas informáticos no puedan acceder a ellos ni utilizarlos.
La etapa más importante para sellar realmente la fortaleza es lo que llamamos la regla del backup 3-2-1-1-0. Esto significa mantener un mínimo de 3 copias de los datos, de modo que incluso si dos dispositivos se ven comprometidos o fallan de algún modo, sigas teniendo una copia adicional, y es mucho más improbable que fallen tres dispositivos. Las organizaciones también deberían almacenar estos backups en dos tipos diferentes de soportes: por ejemplo, una copia en un disco duro interno y otra en la nube. Además, una de ellas debe guardarse siempre en un lugar seguro fuera de las instalaciones, y la otra debe mantenerse sin conexión a la infraestructura informática principal. La fase 0 es quizá la más importante de todas: no debe haber ningún error en los backups. Esto puede garantizarse mediante pruebas periódicas y una supervisión y restauración constantes.
Si se siguen estos pasos, las organizaciones podrán mantener la calma cuando inevitablemente se produzca un ataque de ransomware, porque estarán seguras de haber cerrado las puertas a los piratas informáticos.