Por Edwin Weijdema, Tecnólogo en Jefe de Ciberseguridad de Veeam

El año pasado, el 85% de las organizaciones padecieron al menos un ataque de ransomware, según el Reporte de Tendencias de Protección de Datos 2023 de Veeam. Casi todas las organizaciones sufren estos ataques, por lo que está claro que el problema no sólo está totalmente extendido, sino que hoy en día es casi inevitable que sucedan. Aunque esto pueda sonar desalentador, el primer paso para gestionar la amenaza es reconocer que siempre estará presente. Veamos qué soluciones pueden utilizar las organizaciones para convivir con el ransomware.

El seguro sólo llega hasta cierto punto

Está claro que los ataques de ransomware son una amenaza muy real y presente: lo vemos todos los días, tanto si miramos las noticias nacionales como al reunirnos entre colegas a hablar de negocios. Teniendo en cuenta la ubicuidad de estos ataques, las organizaciones deben ser conscientes de que un ataque de ransomware ya no es un problema que “posiblemente” suceda, sino que debemos preguntarnos “con qué frecuencia” ocurrirá. Mientras que un gran número de negocios experimentaron al menos un ataque el año pasado, el Reporte de Tendencias de Protección de Datos de Veeam también mostró que algo menos de la mitad (48%) sufrieron dos o tres ataques. Esto puede parecer una perspectiva abrumadora para una organización, sea cual sea su tamaño, y la consecuencia natural es que muchos recurren a los seguros cibernéticos en busca de un poco de tranquilidad.

El seguro cibernético puede pagar por los daños causados tras un ataque de ransomware, pero es importante recordar que nunca puede prevenir o deshacer este daño o el efecto dominó que crea, como la pérdida de clientes y su confianza. Sin embargo, pueden ayudar a prevenir los daños causados por el ransomware, aunque esto a veces se ve limitado por las pólizas de seguro cibernético.

A medida que aumentan las amenazas de ransomware, también lo hacen las especulaciones de los proveedores de ciberseguros. El reciente Reporte de Tendencias de Ransomware de Veeam también descubrió que más del 20% de las empresas indicaron que los ataques de ransomware no estaban cubiertos por su proveedor de seguro cibernético e, incluso cuando lo están, algunos proveedores estipulan que las compañías no pueden hablar públicamente sobre la brecha de protección. La desafortunada consecuencia de esto es que la realidad sobre los ataques de ransomware –algo tan común– se mantiene oculta como un secreto. Esperemos que esto cambie en los próximos años, ya que es a través de la educación, de compartir nuestros aprendizajes y errores, como podemos hacernos más fuertes en nuestra defensa contra los ataques de ransomware.

Y es que hablar de los ataques de ransomware ayuda a disipar el misterio que los rodea. A pesar de la frecuencia de las conversaciones sobre ransomware en los medios de comunicación, muchas personas no saben cómo se desarrollan: puede parecer el clic de un interruptor o un truco de magia, pero la realidad es mucho más complicada que eso. Teniendo en cuenta que casi todas las organizaciones se verán afectadas por un ataque de ransomware (muchas probablemente ya lo han sufrido), el conocimiento de todo el proceso es esencial para la preparación y el éxito de la recuperación.

El ransomware es la bestia visible

En las charlas sobre ransomware rara vez se reconoce que un ataque es la culminación de una serie de acontecimientos orquestados por delincuentes. El ransomware no aparece de la noche a la mañana, sino después de días, semanas, meses o incluso años de preparar el terreno. Veamos qué ocurre detrás de escena.

Los atacantes comenzarán primero con una fase de observación. Durante ese tiempo, se limitan a vigilar a su objetivo para recopilar información sobre las personas, procesos y tecnologías, con el fin de identificar oportunidades. Al igual que un ladrón primero se debe familiarizar con las entradas y salidas de un edificio y con quienes viven en él, a los ciberdelincuentes también les gusta saber a qué se están enfrentando.

Después de esto, es el momento de entrar en el edificio. Para los ciberdelincuentes, esto se consigue enviando enlaces de phishing o similares, para permitir la entrada y la creación de una base de operaciones dentro de la infraestructura del objetivo. En este punto, permanecen fuera de la vista, pero les permite hacer un daño significativo. Los atacantes filtrarán datos en esta fase y también pueden destruir respaldos sin ser detectados, hasta que se hagan notar al lanzar la fase final, el ataque y la petición de rescate.

Descubrir este proceso por completo es, naturalmente, abrumador: los equipos de seguridad no sólo tienen que lidiar con las amenazas visibles, sino que también se enfrentan a algunos enemigos desconocidos e invisibles que podrían esconderse en segundo plano en cualquier momento. Con todo, una vez más se cumple el dicho de que “saber es poder”. Las empresas pueden utilizar esta información para desarrollar la estrategia de respaldos y recuperación de ransomware más sólida posible.

No lo deje en manos de la suerte

Aunque los ataques de ransomware son inevitables, la pérdida de datos no tiene por qué serlo. De hecho, el 100% de la resiliencia frente al ransomware es posible si se toman las precauciones adecuadas. Esto puede sonar demasiado bueno para ser verdad, pero con unos pocos elementos clave, cualquier organización puede desarrollar una estrategia de protección de datos sólida.

En primer lugar, los equipos de seguridad deben asegurarse de que disponen de una copia inmutable de sus datos para que los hackers no puedan alterarlos ni cifrarlos de ninguna manera. Luego, deben cifrar sus datos para que, en caso de robo o violación, dichos piratas informáticos no puedan acceder a ellos ni utilizarlos.

La etapa más importante para sellar realmente la fortaleza es lo que llamamos la Regla 3-2-1-1-0. Esto significa mantener un mínimo de 3 copias de los datos, de modo que incluso si dos dispositivos se ven comprometidos o fallan de algún modo, sigas teniendo una copia adicional, y es mucho más improbable que fallen tres dispositivos. Las organizaciones también deberían almacenar estos respaldos en 2 tipos diferentes de soportes: por ejemplo, una copia en un disco duro interno y otra en la nube. Además, 1 de ellas debe guardarse siempre en un lugar seguro fuera de las instalaciones, y 1 más debe mantenerse sin conexión a la infraestructura informática principal. La fase 0 es quizá la más importante de todas: no debe haber ningún error en los respaldos. Esto puede garantizarse mediante pruebas periódicas y una supervisión y restauración constantes.

Si se siguen estos pasos, las empresas podrán mantener la calma cuando inevitablemente se produzca un ataque de ransomware, porque estarán seguras de haber cerrado las puertas a los ciberdelincuentes.

En resumen:

Las organizaciones se enfrentarán en algún momento a un ataque de ransomware: es la realidad del mundo en el que vivimos hoy en día, pero una mayor concientización conlleva una mayor preparación. Aunque un ciberataque siempre traerá consigo caos, con la estrategia adecuada pueden convertirlo en un caos controlable y, al final, esto marca la diferencia.