El ransomware se ha convertido en una de las amenazas a la ciberseguridad más importantes de nuestro tiempo. Cuando los ciberdelincuentes cifran datos valiosos y exigen cuantiosos rescates, paralizan las operaciones y causan graves daños financieros y de reputación. En el pasado hubo ataques que ocuparon grandes titulares , pero, la amenaza del ransomware se ha convertido en una lamentable realidad para prácticamente todas las organizaciones. Según el Veeam Data Protection Trends Report 2023, el 85% de las organizaciones sufrieron al menos un ataque de ransomware el año pasado, y algo menos de la mitad (48%) sufrieron incluso dos o tres ataques.
Así que, como los ciberdelincuentes evolucionan constantemente sus tácticas y encuentran nuevas formas de eludir las medidas de seguridad, el éxito de un ataque depende de cuándo se produce, no de si se produce. Los métodos de prevención tradicionales, como los cortafuegos y el software antivirus, siguen siendo cruciales, pero por sí solos no bastan para estar preparados ante ataques avanzados de ransomware.
Las organizaciones deben dar prioridad a estrategias de recuperación sólidas para minimizar el impacto en las operaciones, garantizar la continuidad del negocio y la reputación. Aunque muchos reconocen la importancia de este cambio, para crear una resistencia sustancial frente a los ataques de ransomware, hay que hacer más hincapié en reforzar el plan y el proceso de respuesta a incidentes y recuperación ante desastres.
Índice de temas
Rescate no equivale a recuperación
Pagar el rescate no es una estrategia de recuperación, y hacer simplemente una copia de seguridad de los datos tampoco lo es. El informe Veeam Ransomware Trends Report 2023 muestra que la mayoría (80%) de las organizaciones optaron por pagar el rescate para poner fin a un ataque y recuperar sus datos el año pasado, un 4% más que el año anterior. Esto se produce a pesar de que el 41% de las organizaciones tienen una política de “No pagar” en relación con el ransomware. Pero, de los que pagaron el rescate, sólo el 59% consiguió recuperar sus datos y el 21% que pagó los perdió. Del mismo modo, aunque pienses que tienes suficientes copias de seguridad y puedes evitar pagar un rescate, más del 93% de los atacantes atacan las copias de seguridad durante los ciberataques y consiguen debilitar la capacidad de recuperación de sus víctimas en el 75% de los casos.
Un proceso fiable de recuperación en caso de catástrofe consta de tres fases: preparación, respuesta y recuperación. La preparación incluye disponer de copias de seguridad (pero no todas las copias son iguales, más adelante hablaremos de ello) y, lo que es igual de importante, tener un lugar de recuperación preparado de antemano. Esto es algo en lo que muchas organizaciones no piensan hasta que es demasiado tarde. No se puede recuperar el entorno original, está comprometido y es una escena del delito activa. Pero tampoco querrás prepararte y familiarizarte con un nuevo entorno en la nube por primera vez durante un ataque de ransomware. Una respuesta eficaz ante un desastre incluye la notificación y contención del incidente, una respuesta operativa predefinida y análisis para saber qué se ha visto afectado y si los entornos (especialmente las copias de seguridad) se han visto comprometidos. Sólo entonces podrás recuperarte con confianza.
Empezar desde el lugar adecuado
Estar preparado para la recuperación en caso de catástrofe sólo es eficaz si las copias de seguridad que se planifican son a prueba de balas. Si sólo se dispone de una copia de seguridad de los datos y ésta se ve afectada durante el ataque, se vuelve al punto de partida. En su lugar, las organizaciones deben seguir unas cuantas reglas de oro para aumentar su ciber-resiliencia.
- Los equipos de seguridad deben asegurarse de que poseen una copia inmutable de sus datos de misión crítica, impidiendo que los piratas informáticos los alteren o cifren.
- El cifrado de datos es crucial para que los datos robados o violados resulten inaccesibles e inútiles para los piratas informáticos.
- El aspecto más crítico para reforzar la estrategia reside en seguir la regla de las copias de seguridad 3-2-1-1-0. Esta regla es esencial para garantizar una protección y recuperación fiables de los datos frente a amenazas potenciales como los ataques de ransomware. Consiste en mantener un mínimo de tres copias de los datos, garantizando que incluso si dos dispositivos se ven comprometidos o fallan, haya una copia adicional disponible, dado que la probabilidad de que tres dispositivos fallen simultáneamente es baja. Las organizaciones deben almacenar estas copias de seguridad en dos tipos de soportes diferentes, como una copia en un disco duro interno y otra en la nube. Una copia debe almacenarse siempre en una ubicación externa segura, mientras que la otra debe permanecer fuera de línea (air-gapped) sin conexión con la infraestructura de TI principal. Por último, la fase “0” es de vital importancia, debe haber cero errores en las copias de seguridad. Para lograrlo, es necesario realizar pruebas periódicas sin errores que, idealmente, deberían complementarse con una supervisión constante y formación sobre el proceso de restauración.
Cómo salir del ransomware
No hay duda de que los ataques de ransomware siguen evolucionando significativamente, creciendo en escala, sofisticación e impacto. Ya no es cuestión de si tu organización será objeto de un ciberataque, sino de con qué frecuencia. Este cambio ha significado que el camino para salir del ransomware está pasando de la prevención a la recuperación.
Aunque la seguridad y la prevención siguen siendo importantes, la recuperación es la nueva frontera en la lucha contra el ransomware y es fundamental asegurarse de que se dispone de un plan de recuperación ante desastres. Al dar prioridad a la copia de seguridad de los datos, invertir en tecnologías modernas de recuperación y establecer planes sólidos de recuperación ante desastres, las organizaciones pueden reforzar su resistencia, mejorar su capacidad para recuperarse de los ataques y navegar por el camino de salida del riesgo del ransomware.
