El año pasado, el 85% de las organizaciones se vieron afectadas por al menos un ataque de ransomware, según el Informe Data Protection Trends de Veeam 2023. Con casi todas las organizaciones sufriendo estos ataques, está claro que el problema no solo es frecuente, sino que actualmente es casi inevitable. Aunque esto puede sonar desalentador, al reconocer este hecho podemos manejar una amenaza siempre presente. Por lo tanto, veamos qué soluciones pueden utilizar las organizaciones para poder vivir junto con el ransomware.
El ciberseguro solo llega hasta cierto punto
Está claro que los ataques de ransomware son una amenaza muy real y presente: lo vemos todos los días, bien sea en las noticias o sentados en una sala de reuniones. Teniendo en cuenta la ubicuidad de estos ataques, las organizaciones deben ser conscientes de que un ataque de ransomware ya no es un caso de «si» este será el objetivo de un ataque o no, sino de «con qué frecuencia». Mientras que un gran número de organizaciones experimentaron al menos un ataque el año pasado, el Informe Data Protection Trends de Veeam mostró a su vez que poco menos de la mitad (48%) sufrió dos o tres ataques. Esto puede parecer una perspectiva abrumadora para una organización de cualquier tamaño, y la consecuencia es que muchos recurren al seguro cibernético en busca de su tranquilidad.
Un ciberseguro puede pagar por el daño causado por un ataque de ransomware, pero es importante recordar que nunca puede prevenir o deshacer este daño o el efecto dominó que desencadena, como la pérdida de clientes y su confianza. Sin embargo, la educación y la transparencia pueden ayudar a prevenir el daño provocado por ransomware, que a veces se ve restringido por las pólizas de estos ciberseguros.
A medida que las amenazas de ransomware han aumentado, también lo han hecho las estipulaciones de los proveedores de este tipo de seguros. El reciente Veeam Ransomware Trends Report también muestra cómo más del 20% de las organizaciones indicaron que los ataques de ransomware no estaban cubiertos por su proveedor de seguros, e incluso cuando lo estaban, algunos proveedores estipulaban que las empresas no podían hablar públicamente sobre la brecha de seguridad. La desafortunada consecuencia de esto es que mantiene la realidad de los ataques de ransomware, algo tan común, oculta como si de un secreto se tratara. Con suerte, esto cambiará en los próximos años, ya que es a través de la educación y divulgación de los errores y aprendizajes, la única forma de fortalecer la defensa contra los ataques de ransomware.
Hablar de ataques de ransomware ayuda a disipar el misterio que los rodea. A pesar de la frecuencia de las conversaciones de ransomware en los medios de comunicación, muchas personas no saben cómo se desarrollan: puede parecer un truco de magia, pero la realidad es mucho más complicada que eso. Teniendo en cuenta que casi todas las organizaciones se verán afectadas por un ataque de ransomware (muchas probablemente ya lo han sido), el conocimiento de todo el proceso es esencial para la preparación y una recuperación exitosa.
El ransomware es la bestia visible
Las conversaciones sobre ransomware rara vez reconocen que un ataque de ransomware es la culminación de una serie de eventos orquestados por malos actores. El ransomware no sólo aparece, sino que sigue a días, semanas, meses o incluso años de sentar las bases. Repasemos lo que sucede detrás de este suceso.
Los actores maliciosos comenzarán primero con una etapa conocida como observación. Durante este tiempo, únicamente observarán a su objetivo para recopilar información sobre personas, procesos y tecnología, y de esta manera, identificar oportunidades. Como un ladrón, se familiarizaría por primera vez sobre dónde están las entradas y salidas de un edificio, y quién vive allí, a los ciberdelincuentes también les gusta saber con qué están tratando. Después, es hora de entrar en el edificio. Para los ciberdelincuentes, esto se logra mediante el envío de enlaces de phishing o similares, para permitir la entrada y la creación de una base de operaciones dentro de la infraestructura del objetivo. En este punto, permanecen fuera de la vista, pero les permite hacer un daño significativo. Los atacantes filtrarán datos en esta etapa y también destruirán copias de seguridad completamente sin ser detectados, hasta que den a conocer su presencia al empezar la etapa final, el ataque de ransomware y la demanda.
Descubrir este proceso completo es, naturalmente, abrumador. Los equipos de seguridad no solo tienen que lidiar con las amenazas visibles, sino que también están luchando con algunos enemigos desconocidos e invisibles que podrían estar escondidos en segundo plano en cualquier momento. Sin embargo, el dicho de que «el conocimiento es poder» se demuestra una vez más cierto. Las organizaciones pueden utilizar esta información para desarrollar la estrategia de copia de seguridad y recuperación de ransomware más sólida posible.
No lo dejes en manos de la suerte
Si bien los ataques de ransomware son inevitables, la pérdida de datos no tiene por qué serlo. De hecho, es posible una resiliencia del 100% si se toman las precauciones adecuadas. Esto puede sonar demasiado bueno para ser verdad, pero con algunos elementos clave, cualquier organización puede desarrollar una estrategia de protección de datos férrea.
Esta estrategia consta de tres partes. En primer lugar, los equipos de seguridad deben asegurarse de tener una copia inmutable de sus datos para que los hackers no puedan alterarlos o cifrarlos de ninguna manera. En segundo lugar, necesitarán cifrar sus datos para que, si fuesen robados o filtrados, los hackers informáticos no puedan acceder o hacer uso de ellos.
Pero la etapa más importante para sellar realmente la fortaleza es lo que llamamos la regla de respaldo 3-2-1-1-0. Esto significa mantener un mínimo de tres copias de sus datos para que incluso si dos dispositivos se ven comprometidos o fallan de alguna manera, aún se cuente con una copia adicional; puesto que es mucho más improbable que tres dispositivos fallen. Las organizaciones también deben almacenar estas copias de seguridad en dos tipos diferentes de medios, por ejemplo, una copia en un disco duro interno y otra en la nube. Después, uno de estos siempre debe mantenerse en una ubicación segura fuera del sitio, y uno debe mantenerse fuera de línea (con espacio de aire) sin absolutamente ninguna conexión a la infraestructura de TI principal. La etapa 0 es quizás la más importante de todas: no debe haber errores en sus copias de seguridad. Esto se puede garantizar a través de pruebas regulares, monitoreo y restauración constantes.
Si se siguen estos pasos, las organizaciones pueden mantener la calma cuando un ataque de ransomware tenga lugar inevitablemente, porque estarán seguros sabiendo que han cerrado las puertas a los atacantes.
Las organizaciones se enfrentarán en algún momento a un ataque de ransomware: esa es la realidad del mundo en el que vivimos hoy, pero con el aumento de la conciencia viene una mayor preparación. Si bien un ataque cibernético siempre traerá caos, con la estrategia correcta puede hacer que sea un caos controlable, y al final, esto marca la diferencia.
Veeam
Field CTO EMEA y Lead Cybersecurity Technologist
