El daño que puede provocar el ransomware a las empresas es enorme. Las empresas que han pensado que su única opción era pagar a los ciberdelincuentes para recuperar sus archivos, no solo han puesto en riesgo su dinero, sino que además han permitido que se ponga en tela de juicio su reputación. De acuerdo con un informe de Cybersecurity Ventures, los costes globales por los daños provocados por ransomware superarán los 20.000 millones de dólares en 2021.
Si bien es cierto que la prevención es el mejor remedio ante unataque de ransomware, no siempre es posible en el panorama de amenazas actual.Ese mismo informe de Cybersecurity Ventures, se prevé que en 2021 se producirá unataque de ransomware cada 11 segundos. Por último, prácticamente ningún sistemainformático es infalible por completo. Por ese motivo las empresas deben estarpreparadas para la realidad de los ciberataques incesantes y contar con un planpara imprevistos en caso de que suceda lo peor.
Disponer de backups offsite y offline, así como de sólidasfunciones de recuperación en caso de desastre, puede ayudar a que la empresarestaure los datos cifrados por los atacantes. No obstante, los riesgos yposibilidades del ransomware son variados. Por esta razón las empresasnecesitan un plan de prevención y garantizar que no se pueden usar los datosdel backup en su contra.
El panorama de amenazas evoluciona
Hay una creciente fragmentación de los tipos de ataques deransomware existentes. Los directores generales de seguridad (CSOs) asocianprincipalmente el ransomware con el cifrado de datos. Esto sucede cuandoagentes maliciosos obtienen acceso a datos confidenciales o fundamentales parala misión de la empresa y los cifran. Lo que puede pasar después es que a laempresa se le pida un rescate (ransom) a cambio de que se descifren y devuelvanlos datos a su formato original para que pueda volver a usarlos. Pero esta noes ni de lejos la única amenaza que deben tener en cuenta los CSOs. En otroscasos, los ciberdelincuentes trasfieren datos en lugar de cifrarlos. Lo quesignifica que se pide el rescate para evitar que se produzca una filtraciónpública de datos potencialmente confidenciales.
Estos comportamientos y encubrimientos hacen que sea muycomplicado ofrecer una protección coherente ante este creciente panorama deamenazas. La regla de oro para las empresas es entender de forma clara lo quees un comportamiento normal dentro de su infraestructura TI. Esto es posible sise lleva a cabo una monitorización continua de los datos y del almacenamientocloud, además de aprovechar las analíticas sobre redes, sistemas operativos yaplicaciones. Esta mayor conciencia del aspecto que tiene una infraestructurasegura hará que resulte más fácil identificar actividad sospechosa o maliciosa,lo que acelerará de manera crucial el tiempo de respuesta.
Aprovechar el cifrado también es clave para las empresas. Si las amenazas maliciosas no pueden ‘ver’ los datos, les cuesta más poder usarlos en contra de la empresa. Tal y como indica el informe de Duo, Privacy in the Internet Trends, un 87 % del tráfico web está cifrado, un porcentaje que no deja de crecer. Sin embargo, no queda tan claro cuál es el porcentaje de datos de las empresas que están cifrados. El informe IoT in the Enterprise de Zscaler indica que el 91,5 % del tráfico en redes IoT de empresas no se encripta mediante SSL. Estas cifras contrapuestas nos sugieren que existe una importante brecha entre el modo en el que las empresas aprovechan en general el cifrado y la manera en la que lo hacen las principales plataformas web y los proveedores de servicios.
¿Son los backups un objetivo muy cotizado para los ciberdelincuentes?
Una de las áreas en las que el cifrado resulta vital para reforzar las defensas de las empresas frente a las amenazas internas y el ransomware es a la hora de implantar el cifrado ‘nearline’ en backups de datos. El Informe 2019 de Veeam sobre gestión de datos en cloud descubrió que más de dos tercios de las empresas producen backups de sus datos. Aunque esto es, lógicamente, algo bueno, imaginemos lo que supone acceder a un backup que contenga toda la infraestructura digital de una empresa para un ciberdelincuente que está dispuesto a chantajear a dicha empresa.
Puesto que los ciberdelincuentes que chantajean a las empresasmediante el ransomware buscan datos, en teoríapueden encontrar lo que necesitan en los archivos de backup de la empresa. Estosarchivos pueden crearse de diversas formas: desde usar discos de sistema yunidades extraíbles de disco duro, a dispositivos de cinta offline y backups encloud. Independientemente de la opción elegida por la empresa, el repositoriode backup debe contar con una protección ultraresiliente contra ataques. De locontrario, existe la posibilidad de que al intentar proteger la continuidad delas operaciones, las empresas estén creando un conjunto de datos pocoprotegidos que los ciberdelincuentes podrían usar en su contra.
Es posible mitigar algunos comportamientos que pueden suponer una amenaza al cifrar los backups en cada paso del proceso, desde el primer recurso en disco on-premises. Tradicionalmente, se considera que cifrar los backups es una buena idea si las cintas salen de las instalaciones TI o si se trasmiten los datos por internet. Dada la prevalencia de las ciberamenazas modernas, el cifrado debe realizarse a cada paso del proceso de backup. La técnica más eficaz es la resiliencia en los datos de backup.
Proteger los backups de datos
Lo que nos lleva a hablar sobre el almacenamientoultraresiliente del backup, la forma más eficaz de almacenamiento resilientecontra el ransomware. Las empresas pueden conseguir este nivel de protección dedistintas maneras para así asegurar que los backups de datos no se conviertenen una puerta trasera para los ciberdelincuentes.
La primera es utilizar cintas offline,que son un medio de backup muy eficaz y físicamente aislado de la red("air-gappped"). Es cierto que a menudo se considera que la cinta esuna tecnología de almacenamiento anticuada e ineficaz, pero no tiene competenciaa la hora de ofrecer backups fiables, seguros y con alta portabilidad a un bajocoste. Del mismo modo que pasa con las cintas, las unidades extraíbles cuentancon el elemento offline, dado que no están online excepto cuando las estánleyendo o cuando se escribe en ellas. Esto hace que sean una opción másconveniente si queremos reducir la visibilidad de los archivos de backup comomedida de protección contra agentes maliciosos.
Los backups inmutables en cloud, como el modo de cumplimiento para bloqueo de objetos del servicio de almacenamiento de AWS S3, compatible con Veeam, suponen que los datos de backup almacenados en cloud no pueden ser borrados por ransomware, administradores maliciosos ni tampoco por error. Está disponible en la oferta pública de AWS S3 así como en una serie de sistemas de almacenamiento compatibles con S3 (tanto on-premises como en su oferta pública). Es más, Veeam Cloud Connect ofrece protección a través de una función en la que se pueden mantener copias de los datos del backup completamente fuera del alcance de los clientes. Es un proveedor de servicios el que proporciona esta función, ayuda a los usuarios finales y protege contra el ransomware, las amenazas internas y los errores que pueden borrar datos de manera accidental.
Los directores generales de seguridad (CSOs) se enfrentan constantemente a la necesidad de encontrar un equilibrio entre comodidad y seguridad. Aunque las empresas que están en plena trasformación digital tienen múltiples áreas en las que necesitan invertir, la protección contra el ransomware es fundamental para garantizar la continuidad de las operaciones. Los backups offsite y offline pueden mitigar los efectos del ransomware. Combinado con las soluciones de seguridad adecuadas, el backup for Cloud Data Management ultraresiliente puede aportar a las empresas la tranquilidad de saber que cuentan con la máxima protección posible incluso ante un panorama de amenazas cambiante.
- Rick Vanover es director senior de estrategia de producto en Veeam