Inicio Educación Ciberseguridad Convivir con el ransomware, inevitable

Convivir con el ransomware, inevitable

Por Edwin Weijdema, tecnólogo en jefe de ciberseguridad de Veeam

Por

15 noviembre, 2023

191

El año pasado, 85% de las organizaciones padecieron al menos un ataque de ransomware. Son datos del Reporte de tendencias de protección de datos 2023 de Veeam. Casi todas las organizaciones sufren estos ataques. Está claro que el problema no sólo está totalmente extendido y es casi imposible evitarlos. Aunque esto pueda sonar desalentador, el primer paso para gestionar la amenaza es reconocer que siempre estará presente. Veamos qué soluciones pueden utilizar las organizaciones para convivir con el ransomware.

Está claro que los ataques de ransomware son una amenaza muy real y presente. Lo vemos todos los días, tanto si miramos las noticias nacionales como al reunirnos entre colegas a hablar de negocios. Teniendo en cuenta la ubicuidad de estos ataques, las organizaciones deben ser conscientes de que los ataques de ransomware ya no son un problema que posiblemente suceda. Más bien, debemos preguntarnos con qué frecuencia ocurrirán.

Un gran número de negocios experimentaron al menos un ataque el año pasado. Sin embargo, el reporte mencionado también mostró que algo menos de la mitad (48%) sufrieron dos o tres ataques. Esto puede parecer una perspectiva abrumadora para una organización, sea cual sea su tamaño. La consecuencia natural es que, forzados a convivir con el ransomware, muchos recurren a los seguros cibernéticos en busca de un poco de tranquilidad.

El seguro cibernético puede pagar por los daños causados tras un ataque de ransomware. Ahora bien, es importante recordar que nunca puede prevenir o deshacer este daño o el efecto dominó que crea, como la pérdida de clientes y su confianza. Sin embargo, ayuda a prevenir los daños causados por el ransomware, aunque esto a veces se ve limitado por las pólizas de seguro cibernético.

Ciberseguros para convivir con el ransomware

A medida que aumentan las amenazas de convivir con el ransomware, también lo hacen las especulaciones de los proveedores de ciberseguros. El reciente Reporte de tendencias de ransomware, de Veeam, arrojó que más del 20% de las empresas indicaron que los ataques de ransomware no estaban cubiertos por su proveedor de seguro cibernético. Incluso cuando lo están, algunos proveedores estipulan que las compañías no pueden hablar públicamente sobre la brecha de protección.

La desafortunada consecuencia de esto es que la realidad sobre los ataques de ransomware —algo tan común— se mantiene oculta como un secreto. Esperemos que esto cambie en los próximos años, ya que es a través de la educación, de compartir nuestros aprendizajes y errores, como podemos hacernos más fuertes en nuestra defensa al convivir con el ransomware.

Y es que hablar de los ataques de ransomware ayuda a disipar el misterio que los rodea. A pesar de la frecuencia de las conversaciones sobre ransomware en los medios de comunicación, muchas personas no saben cómo se desarrollan. Puede parecer el clic de un interruptor o un truco de magia, pero la realidad es mucho más complicada que eso. Teniendo en cuenta que casi todas las organizaciones se verán afectadas por un ataque de ransomware (muchas probablemente ya lo han sufrido), el conocimiento de todo el proceso es esencial para la preparación y el éxito de la recuperación.

**El ransomware es la bestia visible**

En las charlas sobre ransomware rara vez se reconoce que un ataque es la culminación de una serie de acontecimientos orquestados por delincuentes. El ransomware no aparece de la noche a la mañana, sino después de días, semanas, meses o incluso años de preparar el terreno. Veamos qué ocurre detrás de escena.

Los atacantes comienzan con una fase de observación. Durante ese tiempo se limitan a vigilar a su objetivo para recopilar información sobre las personas, procesos y tecnologías para identificar oportunidades. Al igual que un ladrón primero se debe familiarizar con las entradas y salidas de un edificio y con quienes viven en él, a los ciberdelincuentes también les gusta saber a qué se están enfrentando.

Después de esto, es momento de entrar al edificio. Para los ciberdelincuentes, esto se consigue enviando enlaces de phishing o similares. Así logran entrar y crear una base de operaciones dentro de la infraestructura del objetivo. En este punto, permanecen fuera de la vista, pero pueden hacer un daño significativo. Los atacantes filtrarán datos en esta fase y también pueden destruir respaldos sin ser detectados. Sólo se hacen notar al lanzar la fase final, el ataque y la petición de rescate.

Descubrir este proceso por completo es, naturalmente, abrumador. Los equipos de seguridad no sólo tienen que lidiar con las amenazas visibles; también se enfrentan a algunos enemigos desconocidos e invisibles que podrían esconderse en segundo plano en cualquier momento. Con todo, una vez más se cumple el dicho de que “saber es poder”. Las empresas pueden utilizar esta información para desarrollar la estrategia de respaldos y recuperación más sólida posible al convivir con el ransomware.

No lo deje en manos de la suerte

Aunque los ataques de ransomware son inevitables, la pérdida de datos no tiene por qué serlo. De hecho, el 100% de la resiliencia frente al ransomware es posible si se toman las precauciones adecuadas. Esto puede sonar demasiado bueno para ser verdad, pero con algunos elementos clave cualquier organización puede desarrollar una sólida estrategia de protección de datos.

En primer lugar, los equipos de seguridad deben asegurarse de que disponen de una copia inmutable de sus datos para que los hackers no puedan alterarlos ni cifrarlos de ninguna manera. Luego, deben cifrar sus datos para que, en caso de robo o violación, dichos piratas informáticos no puedan acceder a ellos ni utilizarlos.

La etapa más importante para sellar realmente la fortaleza es lo que llamamos la Regla 3-2-1-1-0. Esto significa mantener al menos 3 copias de los datos, de modo que incluso si dos dispositivos se ven comprometidos o fallan de algún modo, subsiste una copia adicional. Además, resulta mucho más improbable que fallen tres dispositivos.

Las organizaciones deberían almacenar estos respaldos en dos tipos diferentes de soportes. Por ejemplo, una copia en un disco duro interno y otra en la nube. Además, una de ellas debe guardarse siempre en un lugar seguro fuera de las instalaciones. Una más debe mantenerse sin conexión a la infraestructura informática principal.

La fase cero es quizá la más importante de todas: no debe haber ningún error en los respaldos. Esto puede garantizarse mediante pruebas periódicas y una supervisión y restauración constantes.

En resumen: las organizaciones se enfrentarán en algún momento a un ataque de ransomware. Aunque un ciberataque siempre traerá consigo caos, con la estrategia adecuada pueden convertirlo en un caos controlable y, al final, esto marca la diferencia.