OpiniónAlmacenamiento

Protegerse frente al ransomware con la recuperación rápida

Adela de Toledo, Country Manager Pure Storage Iberia.

Contar con una buena solución para protegerse frente a un ataque de ransomware puede ayudar a las organizaciones a recuperarse muy rápidamente y a minimizar el tiempo de interrupción perjudicial. El ransomware no es una amenaza nueva, pero sin duda está viviendo una época de eclosión. Durante todo el ejercicio 2020, el Instituto Nacional de Ciberseguridad (INCIBE) gestionó en España más de 130.000 ciberataques, de los cuales cerca del 80% se dirigieron a ciudadanos y empresas. Por ejemplo, el ataque al oleoducto Colonial, en los Estados Unidos, que cortó el suministro de petróleo durante varios días. En España, ni instituciones públicas ni empresas privadas se han librado de ser víctimas de este tipo de ciberataques.

Los motivos de esta explosión del ransomware son múltiples. Un factor que ha contribuido de manera importante ha sido la generalización del teletrabajo, que ha hecho que los empleados no se conecten de manera segura a las redes de sus empresas. Por ejemplo, los piratas informáticos que atacaron el oleoducto Colonial parece que usaron una red privada virtual (VPN) para lograr acceder al sistema. Este ataque fue costoso para la empresa y provocó escasez de combustible en la costa este de los Estados Unidos. Otra razón que justifica el incremento de estos ataques es que las campañas de ransomware son fáciles de llevar a cabo. En la dark web hay numerosos «proveedores» que venden o alquilan kits de software malicioso y servicios a cualquiera que quiera lanzar un ciberataque. El modelo de negocio del ransomware como servicio (RaaS) ofrece una eficiente plataforma de lanzamiento a cualquier cibercriminal con iniciativa que quiera poner en marcha una campaña de ransomware.

La última línea de defensa

Actualmente, muchas organizaciones, sobre todo las que tienen complejos entornos de TI llenos de componentes heredados, pueden decir con seguridad que tienen todo completamente blindado. Sobre todo, cuando se habla de sus datos. Muchas de las medidas esenciales, como actualizar y parchear los sistemas, segmentar las redes y crear y poner a prueba unos planes viables de respuesta a los incidentes, pueden ayudar a las organizaciones a evitar sufrir un ataque de ransomware. Pero todo esto no es una garantía. Así que las organizaciones, y en particular las organizaciones impulsadas por los datos, tienen que recurrir a tecnologías y servicios de backup como última línea de defensa frente a la pérdida de datos provocada por el cifrado del ransomware.

La protección moderna de los datos

Si una empresa se ve afectada, lo que busca es estar seguro al 100% de que cuenta con una protección completa de datos. Es decir, que no hay ninguna posibilidad de que sus copias de seguridad o sus métodos de protección de datos se hayan visto afectados o hayan sido borrados por los ciberdelincuentes. Este tipo de seguridad se consigue implementando un enfoque moderno de la protección de datos, que haga que mantener los datos seguros no sea complicado y que dé la tranquilidad de saber que los datos críticos están realmente protegidos. También resulta esencial la inmutabilidad de los datos y metadatos de backup. Con la inmutabilidad, los datos críticos siempre están preparados para la restauración. Para que los datos se encuentren en un estado inmutable hay que realizar copias de seguridad frecuentes de los archivos con snapshots o instantáneas que no puedan modificarse, cifrarse o borrarse. Una copia instantánea de datos inmutable es la mejor manera de recuperar los datos tras un ataque de ransomware. También hace posible que la organización restaure los datos de un modo rápido y eficaz, al introducir todos los datos sin que el funcionamiento se ralentice. Gracias a ello, la organización puede volver a operar y a centrarse de nuevo en la aceleración del negocio.

La limpieza puede llevar su tiempo

Si bien las copias de seguridad de los datos y la recuperabilidad son esenciales para recuperarse de un ataque de ransomware, las organizaciones siguen necesitando adoptar medidas proactivas para garantizar que la recuperación será rápida. Si no pueden actuar con rapidez después de verse afectadas por un ataque y no pueden permitirse tardar semanas o incluso más tiempo en recuperarse, es posible que se desesperen y acaben pagando el rescate. El Instituto Nacional de Ciberseguridad (INCIBE) recomienda expresamente no pagar nunca a estos ciberdelincuentes. Tras el pago se puede recibir una herramienta de descifrado que puede tardar días o semanas en ejecutarse y, además, no hay ninguna garantía de que los piratas informáticos vayan a liberar los datos una vez que se haya pagado, al fin y al cabo, se trata de delincuentes anónimos.

La importancia de las copias de seguridad

Lamentablemente, los ciberdelincuentes son conscientes de que las copias de seguridad son su última línea de defensa y de que, si la empresa puede recuperarse con éxito, no pagará el rescate. De hecho, los ciberdelincuentes dedican de promedio más de 200 días a una red antes de cifrar algo. Planifican cuidadosamente el golpe y tratan de acceder al máximo posible de sistemas antes de dar cualquier paso. El ataque inicial sirve para acceder a la red sin ser descubiertos. Una vez dentro, los piratas informáticos dedican mucho tiempo a intentar acceder a las credenciales comprometedoras. Esta es la clave de su ataque, y hay incluso herramientas de pirateo diseñadas específicamente para atacar los servicios de directorio con el fin de obtener las credenciales. En cuanto tienen las credenciales adecuadas, ya pueden hacer prácticamente cualquier cosa.

La velocidad es la clave

Aunque las organizaciones dispongan de copias instantáneas inmutables, estarán limitadas por la velocidad a la que puedan restaurar sus datos. Además, un ataque de ransomware no es un escenario típico de recuperación de datos, sino que puede ser necesario restaurar todos los archivos o varias bases de datos. Como un periodo de interrupción prolongado puede resultar aún más dañino que pagar el rescate, la velocidad a la que los sistemas vuelven a estar en funcionamiento adquiere una importancia aún mayor. No es extraño que la restauración de una base de datos tarde horas e incluso días. Esto hace necesarias soluciones de backup que hagan que los sistemas vuelvan a estar en funcionamiento en minutos u horas y no en días o semanas. De manera que, aunque el ataque de ransomware siga afectando y generando disrupciones en la empresa, la aceleración de la recuperación permita reducir los problemas organizativos, financieros y reputacionales que suelen producirse cuando uno se topa con esta amenaza de gran impacto.

Volver a operar con normalidad en un momento

En última instancia, las organizaciones necesitan tener una estrategia que combine unas medidas preventivas adecuadas, unas copias instantáneas de datos inmutables periódicas y una solución de restauración rápida que permita volver enseguida a un funcionamiento normal. Si las restauraciones de datos no son lo bastante rápidas para evitar un grave impacto organizativo, reputacional y financiero, todo el trabajo que haya realizado en materia de protección no habrá servido para nada. Independientemente de cuál sea la plataforma o tecnología subyacente, la organización necesita unas velocidades de restauración que no hagan que permanezca inactiva. Esta es la única manera de mantener alejados a los ciberdelincuentes y de proteger los datos para que no se vean afectados.

Computing 813