Cuando a nivel organizacional se trata, las responsabilidades sobre el cuidado de la información son absolutamente masivas, ya que no solo se trata de proteger los datos propios, sino también los de los clientes.
El ransomware no es solo una palabra de moda, es uno de los desafíos más temidos que enfrentan las empresas en este mundo cada vez más digitalizado. Los ataques de ransomware no solo aumentan en frecuencia, sino también en sofisticación, con nuevos grupos de ransomware que surgen constantemente.
Sus métodos de ataque están evolucionando rápidamente, volviéndose más peligrosos y dañinos que nunca. Casi todo el mundo del plano informático está preocupado por el riesgo de que la información de identidad, las cookies de sesión y otros datos se extraigan de dispositivos infectados con malware, actividades altamente correlacionadas con un futuro ataque de ransomware.
La dura realidad es que las amenazas de ransomware no desaparecerán pronto. A pesar de los mejores esfuerzos de las organizaciones para prevenir estos ataques, las infecciones aún ocurren. Como tal, el respaldo y la recuperación ante desastres se convierten en su última línea de defensa crítica contra estas crecientes amenazas. Sin embargo, muchas organizaciones pasan por alto las prácticas esenciales de recuperación de desastres (DR), dejándolas vulnerables a ataques cibernéticos y desastres de datos.
Para combatir las amenazas cibernéticas de manera efectiva, una compañía debe desarrollar un plan integral de DR y probarlo regularmente para garantizar su eficacia y confiabilidad. La capacidad de su organización para responder a incidentes cibernéticos depende rápidamente de la preparación proactiva.
Además la continuidad del negocio es un aspecto absolutamente clave para las organizaciones, ya que un ataque ransomware puede dejar inoperativa las instalaciones durante un extenso período de tiempo. Esto se traduce en pérdida monetarias que pueden llegar a ser significativas.
Combinando la continuidad del negocio y la recuperación de desastres obtenemos el BCDR (Business Continuity and Disaster Recovery), diseñado específicamente para el plano organizacional y que tiene como finalidad encontrar estrategias para evitar un período extenso de inoperatividad en caso de un ataque, a la par de que se busca recuperarse del incidente.
Esta modalidad sugiere tres estrategias clave, que incluyen:
- Auditar los datos: Esto garantiza que los datos dispersos en múltiples lugares estén protegidos, confirma la integridad de la copia de seguridad y reduce los puntos ciegos.
- Crear resiliencia: Es importante crear sistemas robustos que soporten interrupciones a través de controles de acceso locales, cifrado, inmutabilidad y aislamiento de respaldo.
- Recuperar con perspicacia: Permite una restauración informada y eficiente con un impacto empresarial minimizado a través de pruebas regulares de recuperación de desastres, medición de la efectividad de la recuperación y detección de anomalías en las copias de seguridad.
En base a eso, observaremos cinco señales dentro de una organización que suelen cometer las empresas y que pueden resultar en infracciones catastróficas e interrupciones comerciales en caso tal que un incidente de seguridad de ransomware atente contra la compañía.
Pensar que la inmutabilidad local es lo suficientemente seguro
Aunque la inmutabilidad local agrega una capa de defensa, garantizar que los datos no se puedan alterar o confiar únicamente en la inmutabilidad local puede presentar riesgos significativos. Las amenazas internas, como credenciales comprometidas, controles mal configurados o acciones internas de los mismos empleados, pueden permitir a los actores de amenazas desactivar la configuración de inmutabilidad. Después de eso, pueden permanecer inactivos, esperando que caduquen las banderas de inmutabilidad antes de cifrar o eliminar datos.
En entornos más pequeños con espacio físico o presupuesto limitado, no realizar múltiples tareas de copia de seguridad y recuperación en un servidor aumenta la vulnerabilidad, exponiendo los datos a posibles errores del sistema o violaciones de seguridad.
Además, el acceso físico por parte de una persona privilegiada puede evitar directamente la inmutabilidad al arrancar desde un CD o USB en vivo, lo que permite que las copias de seguridad sean robadas, eliminadas o encriptadas.
Para solucionar este inconveniente, existen múltiples alternativas en la nube, con proveedores que ofrecen soluciones de respaldo y copia de seguridad en varios destino de la nube, donde los datos se almacenan de un modo que un ataque de ransomware no alcance a corromperlos.
Confiar en el software de copia de seguridad básico que brinda Windows
Windows es sin dudas el sistemas operativo más utilizado en el mundo, con un 67% de uso entre todos los sistemas.
Sin embargo, y debido a su uso y popularidad generalizados, Windows también es un objetivo principal entre los grupos de ransomware.
Aunque el panorama de amenazas de Windows está fragmentado debido a numerosas versiones y versiones, ciertos puntos en común plantean riesgos. Muchos servicios de Windows están configurados para ejecutarse de forma predeterminada, lo que los convierte en objetivos frecuentes para los ciberdelincuentes que buscan vectores de acceso dentro del ecosistema de Windows.
La infraestructura de respaldo basada en Windows es tan susceptible a los ataques de ransomware como cualquier otro componente basado en Windows dentro del centro de datos. Además, si el servidor de respaldo se encuentra en el mismo espacio físico que la infraestructura que protege, el riesgo se vuelve aún mayor.
Por tales motivos, resulta conveniente gestionar una copia de seguridad independiente del sistema operativo, como puede ser la nube o un disco duro externo, es vez de basarse únicamente en los servicios proporcionados por Microsoft.
Siempre es crucial estar atento a las últimas Vulnerabilidades y Exposiciones Comunes (CVE), los cuales son problemas de seguridad de la información divulgados públicamente. El seguimiento de CVE es esencial para identificar posibles vulnerabilidades en su pila de software y mantenerse actualizado sobre los avisos de los proveedores.
También se puede utilizar sistemas de copia de seguridad basados en Linux, los cuales suelen ser mucho más robustos y son útiles para aislar las copias de seguridad de la infraestructura virtual y mantenerlas fuera de la superficie de ataque de Windows.
No proteger los datos de servicio
Con las aplicaciones Software-as-a-Service (SaaS) convirtiéndose en una parte integral de las operaciones comerciales modernas, la protección de sus datos SaaS ahora no es negociable.
Hoy en día, las aplicaciones SaaS, como Google Workspace, Microsoft 365 y Salesforce, contienen grandes volúmenes de datos críticos para el negocio. A diferencia de los datos tradicionales almacenados detrás de los firewalls de la empresa, los datos SaaS residen en la nube, fuera del control directo de la organización.
Además, confiar únicamente en las opciones de recuperación de la nube nativa podría resultar fatal en caso de un ataque de ransomware, ya que carecen de las capacidades de restauración granular y robustas necesarias para una recuperación rápida.
Implementar soluciones de respaldo de terceros que estén diseñadas específicamente para este tipo de entornos resulta crucial. También podemos mencionar la regla de copia de seguridad 3-2-1, la cual indica que se deben tener 3 copias de seguridad en total en 2 medios diferentes, siendo 1 una copia externa y alejada de la oficina y organización, evitando así que el malware consiga encriptar esos datos.
Hacer pruebas de recuperación insuficientes
Las pruebas de recuperación insuficientes o parciales exponen a su organización a riesgos críticos al crear brechas en su preparación para DR. Cuando las pruebas de recuperación son poco frecuentes o carecen de profundidad, proporcionan solo una garantía limitada de que los sistemas pueden recuperarse por completo en caso de crisis.
Es posible que estas pruebas no revelen problemas, como datos dañados o aplicaciones mal configuradas, que solo pueden aparecer una vez que inicie sesión.
Esta falta de pruebas exhaustivas se vuelve especialmente arriesgada cuando el ransomware impacta en múltiples sistemas. Las interdependencias entre servidores, como Active Directory, bases de datos SQL, servicios web y otras aplicaciones. Esto indica que restaurar un sistema correctamente no garantiza que todos los demás funcionen como se esperaba.
Las pruebas de recuperación y auditorías deben realizarse de manera detallada para garantizar que todas las aplicaciones críticas y sus dependencias funcionen correctamente después de la restauración.
Por ejemplo, si tomamos las pruebas a nivel de aplicación, estas van más allá de verificar que los servidores son simplemente arrancables. Así que hay que confirmar que cada aplicación, junto con sus sistemas interconectados, funciona según lo previsto.
Confiar en los procesos de recuperación manual
Los procesos de recuperación manual requieren mucho tiempo y aumentan la posibilidad de error humano. Un administrador de TI puede pasar por alto un paso crítico, configurar mal un sistema o restaurar archivos en el orden incorrecto.
En un ataque de ransomware, donde múltiples sistemas pueden verse afectados, incluso pequeños errores en los procesos de recuperación pueden provocar grandes contratiempos, lo que podría dañar aún más los datos o provocar un tiempo de inactividad prolongado.
En un escenario de ransomware donde cada minuto importa, dependiendo de la recuperación manual, podría aumentar la exposición de datos y el daño causado por el ataque. Dado que el ransomware puede cifrar los datos rápidamente, el tiempo necesario para restaurar manualmente los sistemas a menudo no puede mantener el ritmo, lo que puede afectar la recuperación.
A veces resulta conveniente automatizar y orquestar flujos de trabajo de recuperación escalonados y organizacionales, lo que puede organizar la conmutación por error de aplicaciones y sistemas desde puntos de recuperación certificados hasta un objetivo de recuperación predefinido en caso de desastre.
Con esto en mente, las organizaciones estarán mejor preparadas para afrontar posibles ataques de ransomware, pues lo importante no es solo prevenir, sino también como enfrentar este tipo de incidentes una vez que ocurren, sabiendo que la seguridad total es casi una imposibilidad.