¿Cómo podemos protegernos frente al ransomware?
Con el incremento de los ataques tipo ransomware, así como su profesionalización incluso su comercialización en la darkweb (“RansomwareasaService”), las soluciones enfocadas a la protección, detección, reacción y remediación ante estas situaciones han adquirido una importancia vital en las organizaciones. Dentro de este conjunto de soluciones, las copias de seguridad se han hecho imprescindibles, ya que la restauración de un backup es lo único que nos asegura la recuperación de la información ante un ataque.
¿Qué ocurre si el ataque afecta al backup?
Una política de backup bien diseñada nos permite, en caso de ataque, poder recurrir a copias antiguas de la información que haya podido ser cifrada para recuperarla. Los ciberdelincuentes lo saben y, por ello, la localización de los ficheros que contienen los backups es el primer objetivo de los ransomware.
En este sentido, una medida clave es tener almacenados los backups en ubicaciones distintas a la principal. Sin embargo, incluso teniendo nuestras copias muy bien protegidas, siempre cabe la posibilidad de que el atacante consiga las claves de administrador y pueda eliminarlos. Por ello, otra medida de seguridad que están ofreciendo más recientemente algunas herramientas de backup es la funcionalidad del “almacenamiento inmutable” que garantiza que una copia de seguridad permanezca sin ser borrada ni alterada hasta su fecha de expiración. Ello impide que un ransonware, por ejemplo, consiga cifrarlos o borrarlos.
¿Qué nuevas tecnologías están integrando los backups?
La Inteligencia Artificial y el machine learning son dos tecnologías que están revolucionando el mundo del almacenamiento, ya que nos permiten localizar patrones anómalos. Las herramientas de backup más avanzadas son capaces de analizar, detectar y notificar desviaciones, por ejemplo, en el incremento excesivo del tiempo o de la cantidad de información que contiene un backup incremental con respecto al backup anterior, lo cual puede significar que nuestros datos han sido o están siendo cifrados.
¿Qué recomendarías a las compañías?
Ante todo, que inviertan en seguridad proactiva. Es imprescindible que cuenten con una estrategia que, además de proteger, permita una detección temprana para poder parar o minimizar las consecuencias de un ciberataque. Y, en el caso de que nos veamos afectados, disponer, por un lado, de plan predefinido de respuesta ante el incidente (apoyándose en socios externos si fuese necesario) y, por otro, un sistema de copias de seguridad capaz de entrar en acción en el mínimo tiempo posible para restablecer la información pérdida.