Las empresas están perdiendo la batalla cuando se trata de defenderse contra los secuestros de datos (ransomware). De acuerdo con el Informe de Tendencias de Ransomware 2022, de Veeam Software, los atacantes logran encriptar, en promedio, el 47% de la producción de datos. Además, 72% de las organizaciones sufrieron ataques parciales o totales contra sus repositorios de respaldo y copias de seguridad. Ello afecta drásticamente la capacidad de recuperar datos sin pagar el rescate. Las víctimas sólo pueden recuperar el 69% de los datos afectados en los ataques. El 80% de los secuestros de datos tuvo como objetivo vulnerabilidades conocidas, lo cual refuerza la importancia de aplicar parches y actualizar el software.
El informe, uno de los más grandes en su tipo, fue comisionado por Veeam a la firma de investigación de mercado independiente Vanson Bourne. Se encuestó a 1,000 líderes de TIC cuyas organizaciones sufrieron un ataque exitoso al menos una vez en los últimos 12 meses. Se abordaron el impacto de los secuestros de datos en sus entornos y sus estrategias e iniciativas de protección de datos en el futuro. Los encuestados representaban a organizaciones de todos los tamaños en 16 países en Asia-Pacífico, EMEA y América. Se encuestó específicamente a cuatro perfiles de TIC: CISO, profesionales de seguridad, administradores de respaldo y personal de operaciones. El objetivo fue comprender la alineación de la preparación cibernética en todas las organizaciones.
La importancia de la higiene digital
«El ransomware ha democratizado el robo de datos. Requiere una duplicación colaborativa de las organizaciones de todas las industrias para maximizar su capacidad de remediar y recuperar sin pagar el rescate», dijo Danny Allan, CTO de Veeam. «Pagar a los ciberdelincuentes para restaurar datos no es una estrategia de protección de datos. Los riesgos de daños a la reputación y pérdida de confianza del cliente son altos y, lo que es más importante, esto alimenta una profecía autocumplida que recompensa la actividad delictiva».
De las organizaciones encuestadas, la mayoría (76%) de las víctimas pagó el rescate para finalizar un ataque y recuperar sus datos. Desafortunadamente, mientras que el 52% pagó el rescate y pudo recuperar los datos, el 24% pagó el rescate, pero no pudo recuperarlos. Ello da como resultado una probabilidad de una en tres de que, incluso pagando el rescate, no haya datos. Cabe destacar que el 19% de las organizaciones no pagaron el rescate porque pudieron recuperar sus datos. A eso debe aspirar el 81% restante de las víctimas: recuperar datos sin pagar el rescate.
«Uno de los sellos distintivos de una estrategia sólida de protección de datos moderna es el compromiso con una política clara de que la organización nunca pagará el rescate, sino que hará todo lo que esté a su alcance para prevenir, remediar y recuperarse de los ataques», agregó Allan. «A pesar de la amenaza omnipresente e inevitable del ransomware, la narrativa de que las empresas están indefensas frente a él no es precisa. Es necesario educar a los empleados y asegurarse de que practiquen una higiene digital impecable. Realizar regularmente pruebas rigurosas de sus soluciones y protocolos de protección de datos. Crear planes detallados de continuidad del negocio que preparen a las partes interesadas clave para los peores escenarios».
Vulnerabilidades y secuestros de datos
La superficie de ataque para los secuestros de datos es diversa. En la mayoría de los casos, los villanos cibernéticos obtienen acceso por primera vez a los entornos de producción a través de usuarios errantes. La irrupción se da cuando hacen clic en enlaces maliciosos, visitan sitios web no seguros o se involucran con correos electrónicos de phishing. Ello nuevamente expone la naturaleza evitable de muchos incidentes. Tras obtener acceso al entorno, hay muy poca diferencia en las tasas de infección entre los servidores del centro de datos, las plataformas de oficinas remotas y los servidores alojados en la nube.
En la mayoría de los casos, los intrusos aprovechan las vulnerabilidades conocidas. Estas incluyen los sistemas operativos e hipervisores comunes, así como las plataformas NAS y los servidores de bases de datos. Así, explotan cualquier software obsoleto o sin parches que puedan encontrar.
Cabe destacar que los profesionales de seguridad y los administradores de respaldo informaron tasas de infección significativamente más altas, en comparación con los de operaciones de TIC o los CISO. Eso implica que aquellos más cercanos al problema ven aún más problemas.
Los que respondieron a la encuesta confirmaron que el 94% de los atacantes intentaron destruir los repositorios de copias de seguridad. En el 72% de los casos dicha estrategia tuvo éxito parcialmente y aumentó la probabilidad de que las víctimas se vieran forzadas a pagar. La única forma de contrarrestar este escenario es tener al menos un nivel inmutable o físicamente aislado (air gapped) dentro del marco de protección. El 95% de los encuestados afirmaron que ahora lo tienen. De hecho, muchas organizaciones informaron tener algún nivel de inmutabilidad o medios de air gapping en más de un nivel de su estrategia de disco, nube y cinta.
Estrategias de protección
●La orquestación es importante para enfrentar los secuestros de datos: Para garantizar de manera proactiva la capacidad de recuperación de sus sistemas, uno de cada seis (16%) equipos de TIC automatizan la validación y la capacidad de recuperación de sus backups. Así garantizaran que sus servidores sean restaurables. Luego, durante la recuperación de un ataque de ransomware, el 46% de los encuestados usan una sandbox o área de preparación/prueba aislada. Así se aseguran de que sus datos restaurados estén limpios antes de poner los sistemas en producción.
●La alineación de la organización debe unificarse: El 81% cree que las estrategias cibernéticas y de continuidad del negocio y recuperación ante desastres de sus organizaciones están alineadas. Sin embargo, el 52% de los encuestados considera que las interacciones entre estos equipos requieren mejoras.
●Diversificar los repositorios es la clave: Casi todas las organizaciones (95%) tienen al menos un nivel de protección de datos inmutable o aislada (air gapped). El 74% usa repositorios en la nube que ofrecen inmutabilidad. El 67% emplea repositorios de disco locales con inmutabilidad o bloqueo y el 22% utilizan cinta aislada (air gapped). Inmutable o no, las organizaciones notaron que, aparte de utilizar discos, el 45% de los datos de producción aún se almacenan en cinta. Además, el 62% se almacena en la nube en algún momento del ciclo de vida de los datos.
