Inicio > Blog de copias de seguridad y recuperación > Estrategias y mejores prácticas para las copias de seguridad contra el ransomware. ¿Cómo proteger las copias de seguridad del ransomware?

Estrategias y mejores prácticas para las copias de seguridad contra el ransomware. ¿Cómo proteger las copias de seguridad del ransomware?

Actualizado 8th abril 2024, Rob Morrison

Contents

El ransomware y su importancia en el panorama moderno de la ciberseguridad

Los ataques de ransomware llevan causando estragos en numerosas organizaciones desde hace más de una década, provocando la pérdida de datos críticos y sensibles, entre otras desafortunadas consecuencias, como el pago de enormes cantidades de monex a las organizaciones criminales. Es difícil encontrar una industria moderna que no se haya visto afectada por el ransomware de un modo u otro. Se dice que el número de ataques de ransomware en el último trimestre de 2022 fue de 154,93 millones, y esta cifra sigue creciendo de forma regular.

Aunque las medidas preventivas siguen siendo una parte clave de la defensa contra el ransomware, mantener copias de seguridad periódicas de los datos es el medio más eficaz para recuperarlos tras un ataque. La protección de los datos es primordial: dado que muchas formas de ransomware también tienen como objetivo los datos de los que se ha hecho una copia de seguridad, es absolutamente necesario tomar medidas para salvaguardar las copias de seguridad del ransomware.

El ransomware es un tipo de malware que se infiltra en el ordenador o servidor(es) de la víctima, cifra sus datos y los hace inaccesibles. A continuación, los agresores exigen el pago de un rescate -normalmente en forma de criptomoneda- a cambio de la clave de descifrado. Los ataques de ransomware pueden tener consecuencias devastadoras, causando importantes pérdidas financieras, interrumpiendo la productividad e incluso provocando la quiebra.

Una vez cifrados con éxito los archivos objetivo, los atacantes suelen exigir un rescate. Esta demanda informa a la víctima de la encriptación y exige el pago de un rescate para recuperar el acceso a sus datos. El pago del rescate suele solicitarse en bitcoins u otras criptodivisas, lo que dificulta su rastreo por parte de las fuerzas de seguridad.

Si la víctima no accede a las peticiones de rescate, los atacantes pueden recurrir a otras amenazas, como publicar los archivos cifrados en Internet o borrarlos definitivamente. En algunos casos, tras el pago del rescate, los atacantes pueden incluso liberar una herramienta de descifrado, pero su eficacia puede ser limitada o no descifrar todos los archivos afectados.

Objetivos comunes del ransomware

Aunque la afirmación de que prácticamente cualquier dispositivo es un objetivo potencial del ransomware, existen algunas categorías de información y grupos de usuarios a los que los creadores de ransomware tienden a dirigirse con mayor frecuencia:

  • Organismos gubernamentales – objetivos principales de la mayoría de las variantes de ransomware debido a la gran cantidad de datos sensibles que poseen; también es una suposición común que el gobierno prefiere pagar el rescate antes que dejar que los datos sensibles de importancia política se hagan públicos o se vendan a terceros.
  • Organizaciones sanitarias – un objetivo relativamente fácil para el ransomware debido al gran número de infraestructuras sanitarias que dependen de software y hardware obsoletos, lo que reduce drásticamente la cantidad de esfuerzo necesario para romper todas sus medidas de protección; los datos sanitarios también son extremadamente importantes debido a su conexión directa con el sustento de cientos o miles de pacientes, lo que los hace aún más valiosos.
  • Dispositivos móviles – un objetivo habitual debido a la naturaleza de los smartphones modernos y a la cantidad de datos que suele albergar un solo smartphone (ya sean vídeos y fotos personales, información financiera, etc.).
  • Instituciones académicas – uno de los mayores objetivos del ransomware, debido a la combinación de trabajar con grandes volúmenes de datos sensibles y tener grupos de TI más pequeños, limitaciones presupuestarias y otros factores que contribuyen a la menor eficacia general de sus sistemas de seguridad.
  • Departamentos de recursos humanos – puede que no dispongan de mucha información valiosa por sí mismos, pero les compensa tener acceso a los registros tanto financieros como personales de otros empleados; también son un objetivo común debido a la propia naturaleza del trabajo (abrir cientos de correos electrónicos al día hace que sea mucho más probable que un empleado medio de recursos humanos abra un correo electrónico con malware en su interior)

El número de ataques de ransomware parece crecer a un ritmo alarmante, alcanzando los 155 millones de casos sólo en el cuarto trimestre de 2022. También se están desarrollando regularmente nuevos tipos y variaciones de ransomware. Ahora existe un modelo de negocio totalmente nuevo llamado RaaS, o Ransomware-as-a-Service, que ofrece acceso constante a los ejemplos más recientes de software malicioso por una cuota mensual, lo que simplifica enormemente el proceso general de ataque de ransomware.

La información más reciente de Statista confirma las afirmaciones anteriores en cuanto a los mayores objetivos del ransomware en su conjunto: organizaciones gubernamentales, sanidad, finanzas, fabricación, etc. Las organizaciones financieras también parecen estar creciendo constantemente como uno de los mayores objetivos del ransomware hasta el momento.

Existen formas de proteger su empresa contra los distintos ataques de ransomware, y la primera y fundamental es asegurarse de que dispone de copias de seguridad a prueba de ransomware.

Tipos de ransomware

Veamos primero los diferentes tipos de amenazas. El ransomware relacionado con el cifrado (cryptoware) es uno de los tipos de ransomware más extendidos en la actualidad. Algunos ejemplos menos comunes de tipos de ransomware son:

  • Bloqueo de pantallas (interrupción con la petición de rescate, pero sin cifrado),
  • Ransomware para dispositivos móviles (infección del teléfono móvil),
  • Ransomware de cifrado MBR (infecta una parte del sistema de archivos de Microsoft que se utiliza para arrancar el ordenador, impidiendo al usuario acceder al sistema operativo en primer lugar),
  • Extortionware/leakware (tiene como objetivo datos sensibles y comprometedores, y luego exige un rescate a cambio de no publicar los datos objetivo), etc.

Se prevé que la frecuencia de los ataques de ransomware aumente drásticamente a partir de 2022, y cada vez con mayor sofisticación. Una investigación de Palo Alto Networks muestra que sólo en la primera mitad de 2021 el importe medio del pago del rescate suele superar el medio millón de dólares (más de 570.000 dólares, para ser exactos).

Aunque las medidas preventivas son la forma preferida de hacer frente al ransomware, no suelen ser eficaces al 100%. Para los ataques que penetran con éxito, las copias de seguridad son el último bastión de defensa que puede utilizar un departamento informático. Las copias de seguridad y la recuperación de datos han demostrado ser un elemento de protección eficaz y fundamental contra la amenaza del ransomware. Sin embargo, poder recuperar los datos de forma eficaz implica mantener un estricto programa de copias de seguridad y tomar diversas medidas para evitar que éstas también sean capturadas y cifradas por el ransomware.

Para que una empresa proteja suficientemente las copias de seguridad del ransomware, es necesario prepararse y reflexionar con antelación. La tecnología de protección de datos, las mejores prácticas de copia de seguridad y la formación del personal son fundamentales para mitigar la interrupción que los ataques de ransomware pueden infligir a los servidores de copia de seguridad de una organización.

Los ataques de ransomware a los sistemas de copia de seguridad suelen ser oportunistas, no necesariamente dirigidos. El proceso exacto variará en función del programa, pero el ransomware normalmente rastreará un sistema en busca de tipos de archivo específicos y, si encuentra una extensión de archivo de copia de seguridad, lo cifrará. A continuación, intentará propagarse e infectar tantos otros sistemas como pueda. El movimiento de estos programas maliciosos es lateral y no deliberado.

Una de las mejores protecciones contra este tipo de ataques es contar con una solución de copia de seguridad de datos y ransomware de arquitectura correcta, configurada adecuadamente, combinada con estrategias de copia de seguridad basadas en las mejores prácticas. Esto incluye asegurarse de que cualquier copia de seguridad en la nube está adecuadamente protegida y disponible, y de que dispone de una estrategia para asegurarse de que no está sincronizando archivos locales infectados con aquellos que deberían mantenerse a salvo en la nube. Eso también significa tener copias actualizadas de esos datos disponibles en otro lugar. Para cualquier empresa mediana o grande, contar con una solución de copia de seguridad de nivel empresarial es esencial porque una práctica correcta de copia de seguridad, almacenamiento y cumplimiento de los datos puede ser la principal diferencia entre la supervivencia o el fracaso de una empresa en caso de un ataque de ransomware.

Mitos comunes sobre el ransomware y las copias de seguridad

Si está investigando cómo proteger las copias de seguridad del ransomware, es posible que se encuentre con consejos erróneos o desfasados. La realidad es que la protección de las copias de seguridad contra el ransomware es un poco más compleja, así que echemos un vistazo a algunos de los mitos más populares que rodean el tema.

Mito 1 sobre las copias de seguridad contra el ransomware:El ransomware no infecta las copias de seguridad. Podría pensar que sus archivos están a salvo. Sin embargo, no todos los ransomware se activan al infectarle. Algunos esperan antes de activarse. Esto significa que sus copias de seguridad podrían tener ya una copia del ransomware en ellas.

Mito 2 sobre las copias de seguridad del ransomware: Las copias de seguridad cifradas están protegidas del ransomware. En realidad no importa si sus copias de seguridad están cifradas. En cuanto ejecute la recuperación de una copia de seguridad, la infección puede volver a ser ejecutable y activarse.

Mito 3 del ransomware de copia de seguridad: Sólo Windows se ve afectado. Muchas personas piensan que pueden ejecutar sus copias de seguridad en un sistema operativo diferente para eliminar la amenaza. Desgraciadamente, si los archivos infectados están alojados en la nube, el ransomware puede traspasarla.

Mito 4 de las copias de seguridad contra el ransomware: Pagar el dinero del rescate es más fácil y barato que invertir en sistemas de recuperación de datos. Hay dos argumentos de peso en contra de esto. Número uno – las empresas que pagan el rescate se muestran ante los intrusos como objetivos fáciles que no están dispuestos a luchar contra los ataques de ransomware. Número dos – pagar el dinero del rescate en su totalidad no es una forma garantizada de adquirir las claves de descifrado.

Mito 5 de las copias de seguridad contra el ransomware: Los ataques de ransomware se realizan principalmente por venganza contra las grandes empresas que maltratan a la gente normal. Se podría establecer una conexión entre las empresas con políticas de clientes cuestionables y los ataques por venganza, pero la gran mayoría de los ataques simplemente buscan a alguien de quien aprovecharse.

Mito 6 sobre el ransomware de copia de seguridad: El ransomware no ataca a las empresas más pequeñas y sólo se dirige a las corporaciones masivas. Aunque las empresas más grandes podrían ser objetivos más importantes debido al rescate potencialmente mayor que se podría obtener de ellas, las empresas más pequeñas están siendo atacadas por ransomware con la misma frecuencia que las más grandes – e incluso los usuarios privados reciben un número significativo de ataques de ransomware de forma regular. Un reciente informe de Sophos demuestra que este mito en particular no es cierto, ya que tanto las grandes como las pequeñas empresas tienen aproximadamente el mismo porcentaje de verse afectadas por ransomware en el plazo de un año (72% en el caso de las empresas con unos ingresos de 5.000 millones de dólares y 58% en el de los negocios con menos de 10 millones de dólares de ingresos).

Por supuesto, todavía hay muchas formas de proteger las copias de seguridad del ransomware. A continuación encontrará algunas estrategias importantes que debería tener en cuenta para su empresa.

Las 17 mejores estrategias para proteger las copias de seguridad del ransomware

He aquí algunas consideraciones técnicas específicas para el entorno informático de su empresa, con el fin de proteger su servidor de copias de seguridad contra futuros ataques de ransomware:

1. Credenciales únicas y distintas

Se trata de una práctica recomendada básica para las copias de seguridad contra ransomware; y con la creciente cantidad de ataques de ransomware a servidores de copias de seguridad, es más necesaria que nunca. El contexto que alguien utiliza para acceder al almacenamiento de las copias de seguridad tiene que ser completamente confidencial y utilizarse únicamente para ese fin específico.

Para proteger las copias de seguridad del ransomware, debe evitar trabajar como root o administrador. Utilice cuentas de servicio restringidas al máximo, siempre que sea posible. Por defecto, Bacula incorpora la autenticación de dos factores en el diseño y permite al usuario aplicar la mayor separación posible cuando se trata de cargas de trabajo de producción, estableciendo una copia de seguridad más a prueba de ransomware. Por ejemplo, su instalación por defecto garantiza que sus demonios se ejecuten con cuentas de servicio dedicadas.

2. Almacenamiento fuera de línea

El almacenamiento sin conexión es una de las mejores defensas contra la propagación del cifrado del ransomware al almacenamiento de las copias de seguridad. Existen varias posibilidades de almacenamiento que se pueden utilizar:

Tipo de medio Lo importante
Copias de seguridad en la nube Estos utilizan un mecanismo de autenticación diferente. Sólo pueden conectarse parcialmente al sistema de copia de seguridad. El uso de copias de seguridad en la nube es una buena forma de proteger las copias de seguridad del ransomware, ya que sus datos se mantienen a salvo en la nube. En caso de ataque, puede restaurar su sistema desde ella, aunque eso puede resultar caro. También debe tener en cuenta que la sincronización con el almacenamiento local de datos puede cargar la infección a su copia de seguridad en la nube también.
Almacenamiento primario Instantáneas Las copias instantáneas tienen un marco de autenticación diferente y pueden utilizarse para la recuperación. Las copias instantáneas son copias de seguridad de sólo lectura, por lo que los nuevos ataques de ransomware no pueden infectarlas. Si identifica una amenaza, puede simplemente restaurarla a partir de una tomada antes de que se produjera el ataque.
Máquinas virtuales replicadas Es mejor cuando se controla mediante un marco de autenticación diferente, como el uso de dominios diferentes para, por ejemplo, los hosts vSphere e Hyper-V, y Powered off. Sólo tiene que asegurarse de que lleva un seguimiento cuidadoso de su programa de retención. Si se produce un ataque de ransomware y no se da cuenta antes de que se cifren sus copias de seguridad, es posible que no tenga ninguna copia de seguridad desde la que restaurar.
Discos duros/SSD Separadas, desmontadas o desconectadas a menos que se esté leyendo o escribiendo en ellas. Algunas unidades de estado sólido han sido descifradas con malware, pero esto va más allá del alcance de algunos ransomware de copia de seguridad tradicionales.
Cinta No se puede estar más desconectado que con las cintas que se han descargado de una biblioteca de cintas. También son convenientes para el almacenamiento fuera de las instalaciones. Dado que los datos suelen guardarse fuera de las instalaciones, las copias de seguridad en cinta suelen estar a salvo de ataques de ransomware y desastres naturales. Las cintas deben estar siempre encriptadas.
Electrodomésticos Los dispositivos, al ser cajas negras, deben estar debidamente protegidos contra el acceso no autorizado para protegerse de los ataques de ransomware. Se aconseja una seguridad de red más estricta que con los servidores de archivos normales, ya que los dispositivos pueden tener más vulnerabilidades inesperadas que los sistemas operativos normales.

3. Trabajos de copia de seguridad

Un trabajo de copia de seguridad copia los datos de copia de seguridad existentes a otro sistema de disco para que puedan restaurarse más tarde o enviarse a una ubicación externa.

Ejecutar un trabajo de copia de seguridad es una forma excelente de crear puntos de restauración con reglas de retención diferentes a las del trabajo de copia de seguridad normal (y que pueden ubicarse en otro almacenamiento). El trabajo de copia de seguridad puede ser un mecanismo valioso que puede ayudarle a proteger las copias de seguridad del ransomware, ya que con el trabajo de copia de seguridad se utilizan puntos de restauración diferentes.

Por ejemplo, si añade un dispositivo de almacenamiento adicional a su infraestructura (por ejemplo, un servidor Linux) puede definir un repositorio para él y crear Backup Copy Job para que funcione como su copia de seguridad contra ransomware.

4. Evite demasiados tipos de sistemas de archivos

Aunque involucrar diferentes protocolos puede ser una buena manera de prevenir la propagación del ransomware, tenga en cuenta que esto no es ninguna garantía contra los ataques de copia de seguridad de ransomware. Los distintos tipos de ransomware tienden a evolucionar y hacerse más eficaces de forma regular, y aparecen nuevos tipos con bastante frecuencia.

Por lo tanto, es aconsejable utilizar un enfoque de seguridad de nivel empresarial: el almacenamiento de las copias de seguridad debe ser inaccesible en la medida de lo posible, y sólo debe haber una cuenta de servicio en las máquinas conocidas que necesite acceder a ellas. Las ubicaciones del sistema de archivos utilizadas para almacenar los datos de las copias de seguridad sólo deberían ser accesibles por las cuentas de servicio pertinentes para proteger toda la información de los ataques de ransomware.

5. Utilice la regla 3-2-1-1

Seguir la regla 3-2-1 significa tener tres copias distintas de sus datos, en dos soportes diferentes, uno de ellos fuera de las instalaciones. El poder de este enfoque para las copias de seguridad contra el ransomware es que puede abordar prácticamente cualquier escenario de fallo y no requerirá el uso de ninguna tecnología específica. En la era del ransomware, Bacula recomienda añadir un segundo «1» a la regla; uno en el que uno de los medios esté fuera de línea. Existen varias opciones para realizar una copia offline o semi-offline de sus datos. En la práctica, siempre que realice copias de seguridad en destinos que no sean sistemas de archivos, ya estará cerca de cumplir esta regla. Por lo tanto, las cintas y los objetivos de almacenamiento de objetos en la nube le resultarán útiles. Colocar las cintas en una cámara acorazada después de escribirlas es una práctica recomendada desde hace mucho tiempo.

Los objetivos de almacenamiento en la nube pueden actuar como almacenamiento semi-offline desde una perspectiva de copia de seguridad. Los datos no están in situ y el acceso a ellos requiere protocolos personalizados y una autenticación secundaria. Algunos proveedores de nube permiten que los objetos se establezcan en un estado inmutable, lo que satisfaría el requisito de evitar que sean dañados por un atacante. Como ocurre con cualquier implementación en la nube, se acepta un cierto riesgo de fiabilidad y seguridad al confiar al proveedor de la nube los datos críticos, pero como fuente de copia de seguridad secundaria la nube es muy convincente.

6. Evite las instantáneas de almacenamiento

Las instantáneas de almacenamiento son útiles para recuperar archivos borrados a un punto en el tiempo, pero no son copias de seguridad en el verdadero sentido. Las instantáneas de almacenamiento suelen carecer de una gestión de retención avanzada, de informes y todos los datos siguen almacenados en el mismo sistema, por lo que pueden ser vulnerables a cualquier ataque que afecte a los datos primarios. Una instantánea no es más que una copia puntual de sus datos. Como tal, la copia de seguridad puede seguir siendo vulnerable a los ataques de ransomware si éstos se programaron para permanecer inactivos hasta un momento determinado.

7. Recuperación Bare Metal

La recuperación Bare Metal se logra de muchas maneras diferentes. Muchas empresas simplemente despliegan una imagen estándar, aprovisionan el software y luego restauran los datos y/o las preferencias de los usuarios. En muchos casos, todos los datos ya están almacenados a distancia y el sistema en sí carece de importancia. Sin embargo, en otras este no es un enfoque práctico y la capacidad de restaurar completamente una máquina a un punto en el tiempo es una función crítica de la implementación de recuperación de desastres que puede permitirle proteger las copias de seguridad del ransomware.

La capacidad de restaurar un ordenador cifrado por ransomware a un punto reciente en el tiempo, incluyendo cualquier dato de usuario almacenado localmente, puede ser una parte necesaria de una defensa en capas. El mismo enfoque puede aplicarse a los sistemas virtualizados, aunque suele haber opciones preferibles disponibles en el hipervisor.

8. Pruebas del plan de copias de seguridad

Aunque es una buena idea establecer una política integral de copia de seguridad/recuperación, nunca se sabe cómo funcionaría si no se prueba de antemano. La prueba del plan de copias de seguridad es un proceso que puede ayudar a calcular el tiempo de recuperación, la accesibilidad de los datos y muchos otros parámetros que son esenciales para proteger las copias de seguridad del ransomware. Esto también puede ayudar a averiguar qué partes de su sistema necesitan prioridad en el proceso de recuperación, lo rápido que puede restaurar los datos desde el almacenamiento fuera de línea, averiguar si necesita una red completamente separada para fines de recuperación, etc.

9. Almacenamiento inmutable

El almacenamiento inmutable como término no es nada nuevo, pero anteriormente no obtuvo mucha tracción debido a la complejidad general a la hora de utilizar dichos datos. Se trata de datos que no pueden modificarse de ninguna manera una vez almacenados de una forma específica. La versión más moderna de este concepto se está haciendo cada vez más popular entre varios proveedores de la nube y otros proveedores de servicios de almacenamiento con una tecnología llamada WORM, o almacenamiento de escritura única y lectura múltiple. Esta tecnología permite a sus usuarios bloquear objetos específicos de sus datos durante un periodo de tiempo determinado, haciendo que dichos objetos sean inmunes a cualquier modificación.

10. Cifrado de copias de seguridad

El cifrado es otra forma de evitar que el ransomware encuentre o afecte de algún modo a los datos de la copia de seguridad, ya que el cifrado convierte los datos normales en datos ilegibles que son imposibles de descifrar sin una especie de clave adecuada. El mejor enfoque es cifrar tanto los datos que ya están almacenados localmente o en la nube, como los datos que se envían o recuperan de alguna manera o forma. El estándar de encriptación popular para la industria en estos días es AES-256 para los datos en reposo y SSL/TLS para la información encriptada a mitad de tránsito.

11. Políticas de copias de seguridad

Revisar y actualizar sus políticas de copia de seguridad contra el ransomware de forma regular puede ser un método sorprendentemente eficaz para minimizar el efecto de un ataque de ransomware o directamente prevenirlo. Para que la política de copias de seguridad sea eficaz, en primer lugar, tiene que estar actualizada y ser flexible, incluyendo soluciones para todos los métodos modernos de ataque de ransomware.

Una de las mejores defensas contra el ransomware es la restauración de la información a partir de copias de seguridad limpias, ya que pagar un rescate no es una garantía al 100% de que sus datos sean descifrados en primer lugar – lo que significa la importancia de las copias de seguridad una vez más. Los temas que deben cubrirse al realizar una auditoría exhaustiva de toda su estructura interna de datos incluyen:

  • ¿Está en vigor la regla 3-2-1?
  • ¿Existen sistemas críticos que no estén cubiertos por las operaciones regulares de copia de seguridad?
  • ¿Están esas copias de seguridad debidamente aisladas para que no se vean afectadas por el ransomware?
  • ¿Hubo alguna vez una práctica de restauración de un sistema a partir de una copia de seguridad para probar cómo funciona?

12. Planificación de la recuperación en caso de catástrofe

Un plan de recuperación en caso de catástrofe es un documento que puede utilizarse como esquema de cómo respondería su empresa a una amenaza específica para sus operaciones habituales. Los problemas potenciales pueden ser errores humanos, condiciones meteorológicas, delitos cibernéticos, fallos de hardware, etc.

Hay muchas cuestiones que un adecuado DRP (plan de recuperación ante catástrofes) puede abordar, incluyendo, pero no exclusivamente:

  • ¿De qué datos es necesario hacer una copia de seguridad? Dado que cubrir la totalidad de su sistema suele ser extremadamente difícil y sorprendentemente caro, es una gran idea evaluar sus datos para determinar las partes más importantes de los mismos. Para muchas organizaciones, datos como los correos electrónicos de trabajo resultan ser algunos de los recursos más valiosos que poseen. Conocer las prioridades de copia de seguridad de sus datos ayuda mucho a la hora de establecer un sistema adecuado de copia de seguridad y recuperación.
  • ¿Dónde se va a almacenar la copia de seguridad? Cada tipo de ubicación de almacenamiento tiene sus propias ventajas e inconvenientes que deben tenerse en cuenta a la hora de planificar su sistema de copias de seguridad. Por supuesto, la mejor opción es utilizar varias ubicaciones de almacenamiento para sus copias de seguridad, tanto in situ como en la nube, pero esta opción también puede ser más cara que otras.
  • ¿Cuáles son las medidas de seguridad para las copias de seguridad? Los controles de seguridad para sus copias de seguridad son bastante necesarios en muchos casos diferentes, especialmente cuando se trata de tipos de datos específicos. Como ejemplo, las empresas que trabajan con PHI (información sanitaria protegida) tienen que adherirse tanto a la HIPAA como al GDPR (si trabajan con clientes de la UE).
  • ¿Con qué frecuencia se van a realizar las copias de seguridad? Sorprendentemente, realizar copias de seguridad con la mayor frecuencia posible no siempre es la mejor opción, ya que suele ser extremadamente caro en términos de costes de almacenamiento. Como tal, se recomienda realizar una evaluación de su sistema para averiguar cuál es el mejor intervalo entre copias de seguridad para su negocio específico y qué cantidad de tiempo de inactividad se puede tolerar sin arruinar por completo el negocio en cuestión.

13. Educación de los empleados centrada en la seguridad

Las copias de seguridad pueden producirse tanto a nivel de todo el sistema como en los sistemas individuales de los empleados, especialmente cuando se trata de varios correos electrónicos y otra información específica. Enseñar a sus empleados la importancia de su participación en el proceso de copia de seguridad es una excelente manera de cerrar aún más brechas en su defensa contra el ransomware.

Al mismo tiempo, aunque los empleados habituales pueden ayudar en el proceso de copia de seguridad, no deberían tener acceso a las copias de seguridad por sí mismos en absoluto. Cuantas más personas tengan acceso a los datos de las copias de seguridad, mayores serán las posibilidades de que se produzca un error humano o de que su sistema y sus copias de seguridad se vean comprometidos.

14. Actualizaciones de software

La mayoría de las veces el ransomware puede utilizar vulnerabilidades de su sistema para invadir y dañar sus datos de alguna manera. Realizar actualizaciones regulares de software es una de las mejores formas de combatirlo, aunque aún debe utilizarse junto con métodos de protección de copias de seguridad y otras tácticas de esta lista.

15. Entrehierro

La fuerza de las copias de seguridad con entrehierro radica en su aislamiento inherente. En caso de que un ataque de ransomware tenga éxito, la copia de seguridad desconectada no se ve afectada, proporcionando una copia limpia de sus datos para su recuperación. A continuación, puede aislar los sistemas afectados, erradicar la infección y restaurar los datos desde la copia de seguridad «air-gapped».

Las copias de seguridad «air-gapped» representan una de las formas más sólidas, aunque exigentes, de protección contra el ransomware. Este enfoque implica desconectar físicamente el almacenamiento de las copias de seguridad de sus instalaciones, aislándolo de la infraestructura de la nube, las redes locales y cualquier otra forma de conectividad.

En la práctica, las copias de seguridad aisladas utilizan soluciones de almacenamiento local como discos duros, dispositivos NAS o servidores de archivos. Estos dispositivos sólo están conectados a sus instalaciones durante las operaciones de copia de seguridad.

A pesar de su eficacia, el método de copia de seguridad air-gapped también presenta ciertas limitaciones. Por ejemplo, el almacenamiento de copias de seguridad en el aire puede constituir una solución de almacenamiento adicional junto a su almacenamiento de producción. Esto requiere definir, construir y mantener una infraestructura de almacenamiento independiente.

La implementación de las copias de seguridad air-gapped también requiere una cuidadosa planificación e integración con sus políticas de copia de seguridad existentes para evitar interrupciones en las operaciones empresariales. Al mismo tiempo, las copias de seguridad air-gapped son adecuadas para datos estáticos y no críticos que pueden recuperarse en cuestión de horas, pero no para aplicaciones o bases de datos que requieran una replicación de conmutación por error, ya que es necesario conectar el almacenamiento separado para cada operación de recuperación.

Las copias de seguridad «air-gapped» ofrecen una protección excepcional contra el ransomware, pero su idoneidad depende de los requisitos específicos. A menudo, las copias de seguridad air-gapped sirven como última línea de defensa, salvaguardando sólo los datos más críticos.

16. Bloqueo de objetos de Amazon S3

Object Lock es una característica del almacenamiento en la nube de Amazon que permite mejorar la protección de la información almacenada dentro de los buckets de S3. La característica, como su nombre indica, puede impedir cualquier acción no autorizada con un objeto o conjunto de objetos específicos durante un periodo de tiempo determinado, haciendo que los datos sean prácticamente inmutables durante un periodo de tiempo establecido.

Uno de los mayores casos de uso de Object Lock es el cumplimiento de diversos marcos y normativas de conformidad, pero también es una característica útil para los esfuerzos generales de protección de datos. También es relativamente sencillo de configurar – todo lo que se necesita es que el usuario final elija un Periodo de Retención, convirtiendo efectivamente los datos en formato WORM por el momento.

Existen dos modos de retención principales que S3 Object Lock puede ofrecer: el modo Cumplimiento y el modo Gobernanza. El modo Cumplimiento es el menos estricto de los dos, ofreciendo la posibilidad de modificar el modo de retención mientras los datos están «bloqueados». El modo Gobernanza, por otro lado, impide a la mayoría de los usuarios manipular los datos de cualquier forma – los únicos usuarios a los que se les permite hacer algo con los datos durante el periodo de retención son los que tienen permisos especiales de desvío.

También es posible utilizar el Bloqueo de Objetos para activar una «Retención Legal» sobre datos específicos, funciona al margen de los periodos de retención y de los mods de retención e impide que los datos en cuestión puedan ser manipulados por motivos legales como, por ejemplo, un litigio.

17. Seguridad de confianza cero

El cambio continuo de la seguridad tradicional a la seguridad centrada en los datos ha introducido muchas tecnologías nuevas que ofrecen increíbles ventajas de seguridad, aunque haya que pagar un precio en términos de experiencia del usuario. Por ejemplo, un enfoque de seguridad de confianza cero es una táctica relativamente común para los sistemas de seguridad modernos, que sirve como una gran barrera protectora contra el ransomware y otras amenazas potenciales.

El enfoque general de seguridad de confianza cero adopta la idea principal de la seguridad centrada en los datos, intentando verificar y comprobar todos los usuarios y dispositivos que acceden a información específica, sin importar cuáles sean ni dónde se encuentren. Este tipo de enfoque se centra en cuatro «pilares» principales:

  • El principio del menor privilegio proporciona a cada usuario el menor número posible de privilegios en el sistema, tratando de mitigar el problema del exceso de acceso privilegiado que la mayoría de las industrias tuvieron durante años.
  • La segmentación extensiva se utiliza sobre todo para limitar el alcance de una posible brecha de seguridad, eliminando la posibilidad de que un único atacante adquiera acceso a todo el sistema a la vez.
  • La verificación constante es un principio básico para la seguridad de confianza cero, sin ningún tipo de lista de «usuarios de confianza» que pueda utilizarse para eludir por completo el sistema de seguridad.
  • La monitorización continua también es una necesidad para asegurarse de que todos los usuarios son legítimos y reales, en caso de que algún tipo de programa de ataque moderno o un actor malintencionado consiga burlar la primera capa de seguridad.

Herramientas específicas del sistema de copia de seguridad como medio de protección adicional contra el ransomware

Apostando por un enfoque aumentado del mismo problema de las copias de seguridad infectadas por ransomware, es posible -y aconsejable- utilizar las herramientas de los sistemas de copia de seguridad como medio adicional de protección contra los ataques. He aquí cinco buenas prácticas de copia de seguridad contra el ransomware – para proteger aún más a una empresa contra el ransomware:

  • Asegúrese de que las propias copias de seguridad están limpias de ransomware y/o malware. Comprobar que sus copias de seguridad no están infectadas debería ser una de sus mayores prioridades, ya que toda la utilidad de las copias de seguridad como medida de protección contra el ransomware queda anulada si éstas se ven comprometidas por el ransomware. Realice parches regulares en el sistema para cerrar las vulnerabilidades del software, invierta en herramientas de detección de malware y actualícelas con regularidad, e intente desconectar sus archivos multimedia lo antes posible después de cambiarlos. En algunos casos, podría considerar un enfoque WORM (Write-One-Read-Many) para proteger sus copias de seguridad del ransomware – un tipo específico de soporte que sólo se proporciona para ciertos tipos de cintas y discos ópticos, así como para unos pocos proveedores de almacenamiento en la nube.
  • No confíe en las copias de seguridad en la nube como único tipo de almacenamiento de copias de seguridad. Aunque el almacenamiento en la nube tiene una serie de ventajas, no es completamente impermeable al ransomware. Aunque es más difícil para un atacante corromper los datos físicamente, sigue siendo posible para los atacantes de ransomware obtener acceso a sus datos, ya sea utilizando una infraestructura compartida del almacenamiento en la nube en su conjunto, o mediante la conexión de dicho almacenamiento en la nube al dispositivo de un cliente infectado.
  • Revise y pruebe sus planes de recuperación y copia de seguridad existentes. Su plan de recuperación y copia de seguridad debe probarse con regularidad para asegurarse de que está protegido frente a las amenazas. Descubrir que su plan de recuperación no funciona según lo previsto sólo después de un ataque de ransomware es claramente indeseable. La mejor estrategia de copia de seguridad contra el ransomware es la que nunca tendrá que hacer frente a violaciones maliciosas de datos. Trabaje en varios escenarios diferentes, compruebe con el tiempo algunos de sus resultados relacionados con la restauración, como el tiempo de recuperación, y establezca qué partes del sistema tienen prioridad por defecto. Recuerde que muchas empresas pueden -y deben- medir en dólares por minuto el coste de los servicios caídos.
  • Aclare o actualice las políticas de retención y elabore calendarios de copias de seguridad. Se recomienda encarecidamente una revisión periódica de sus estrategias de copia de seguridad contra el ransomware. Es posible que no se realicen copias de seguridad de sus datos con la frecuencia suficiente, o que el periodo de retención de sus copias de seguridad sea demasiado pequeño, lo que hace que su sistema sea vulnerable a tipos más avanzados de ransomware que pueden dirigirse a las copias de seguridad a través de retrasos y otros medios de infección.
  • Audite minuciosamente todas sus ubicaciones de almacenamiento de datos. Para proteger las copias de seguridad del ransomware, éstas deben auditarse para asegurarse de que no se pierden datos y de que todo está respaldado correctamente, posiblemente incluidos los sistemas de usuario final, los almacenamientos en la nube, las aplicaciones y otro software del sistema.

Cómo el ransomware puede alterar sus copias de seguridad

Si bien es cierto que los sistemas de copia de seguridad y recuperación son capaces de proteger a las organizaciones contra el ransomware en la mayoría de los casos, estos sistemas no son los únicos que siguen progresando y evolucionando con el paso de los años, ya que el ransomware también se vuelve cada vez más inusual y sofisticado a medida que pasa el tiempo.

Uno de los problemas más recientes de todo este enfoque con las copias de seguridad es que ahora muchas variantes de ransomware han aprendido a apuntar y atacar no sólo los datos de la empresa en primer lugar, sino también las copias de seguridad de esa misma empresa – y esto es un problema importante para toda la industria. Muchos creadores de ransomware han modificado su malware para localizar y eliminar las copias de seguridad. Desde esta perspectiva, aunque las copias de seguridad pueden proteger sus datos contra el ransomware, también tendrá que proteger las copias de seguridad contra el ransomware.

Es posible averiguar algunos de los principales ángulos que suelen utilizarse para manipular sus copias de seguridad en su conjunto. Destacaremos los principales y le explicaremos cómo puede utilizarlos para proteger las copias de seguridad del ransomware:

El daño potencial del ransomware aumenta con ciclos de recuperación más largos

Aunque no es tan obvio como otras posibilidades, el problema de los ciclos de recuperación largos sigue siendo bastante importante en la industria, y está causado principalmente por productos de copia de seguridad anticuados que sólo pueden realizar copias de seguridad completas lentas. En estos casos, los ciclos de recuperación tras un ataque de ransomware pueden durar días, o incluso semanas, y es un desastre masivo para la mayoría de las empresas, ya que los costes de inactividad del sistema y de paralización de la producción pueden eclipsar rápidamente las estimaciones iniciales de los daños causados por el ransomware.

Dos posibles soluciones aquí para ayudar a proteger sus copias de seguridad del ransomware serían: a) intentar conseguir una solución que pueda proporcionarle una copia de todo su sistema lo más rápidamente posible, para que no tenga que pasar días o incluso semanas en modo de recuperación, y b) intentar conseguir una solución que ofrezca la restauración masiva como una función, consiguiendo que múltiples máquinas virtuales, bases de datos y servidores vuelvan a funcionar muy rápidamente.

Su póliza de seguros también puede convertirse en su responsabilidad

Como hemos mencionado antes, cada vez aparecen más variantes de ransomware que pueden dirigirse tanto a sus datos originales como a sus copias de seguridad, o a veces incluso intentan infectar y/o destruir los datos de sus copias de seguridad antes de dirigirse a su origen. Por lo tanto, debe dificultar al máximo que el ransomware elimine todas sus copias de seguridad: una especie de defensa multicapa.

Los ciberdelincuentes están utilizando ataques muy sofisticados que tienen como objetivo los datos, yendo directamente a por sus copias de seguridad, ya que es su principal póliza de seguro para mantener su negocio en funcionamiento. Debería tener una única copia de los datos en un estado tal que nunca pueda ser montada por ningún sistema externo (a menudo denominada copia de seguridad inmutable), e implementar varias funciones de seguridad integrales, como la ya mencionada WORM, así como el moderno aislamiento de datos, el cifrado de datos, la detección de manipulaciones y la supervisión de anomalías en el comportamiento de los datos.

Aquí hay dos medidas que podemos repasar con un poco más de detalle:

  • Copia de seguridad inmutable. La copia de seguridad inmutable es una de las mayores medidas contra los ataques de ransomware: es una copia de su copia de seguridad que no puede ser alterada de ninguna manera una vez que la ha creado. Existe únicamente para ser su principal fuente de datos si ha sido objetivo de un ransomware y necesita recuperar su información tal y como estaba antes. Las copias de seguridad inmutables no pueden borrarse, cambiarse, sobrescribirse ni modificarse de ninguna otra forma, sólo copiarse a otras fuentes. Algunos proveedores lanzan la inmutabilidad como algo infalible – pero en términos de copias de seguridad contra ransomware, no existe tal cosa. Pero no debe temer los ataques de ransomware de copia de seguridad inmutable. Sólo asegúrese de tener una estrategia holística que incluya la detección y prevención de ataques, e implemente una sólida gestión de credenciales.
  • Encriptación de copias de seguridad. Resulta un tanto irónico que el cifrado se utilice también como una de las medidas para contrarrestar los ataques de ransomware, ya que gran parte de éste utiliza el cifrado para pedir un rescate por sus datos. El cifrado no hace que sus copias de seguridad sean a prueba de ransomware, y no evitará los exploits. Sin embargo, en su esencia, el cifrado de copias de seguridad se supone que actúa como una medida más contra el ransomware, cifrando sus datos dentro de las copias de seguridad para que el ransomware no pueda leerlos o modificarlos en primer lugar.

Los problemas de visibilidad de sus datos se convierten en una ventaja para el ransomware

Por su naturaleza, el ransomware es más peligroso cuando se introduce en un sistema mal gestionado: una especie de «datos oscuros». Ahí puede hacer mucho daño, un ataque de ransomware puede cifrar sus datos y/o venderlos en la web oscura. Se trata de un problema importante que requiere las tecnologías más punteras para detectarlo y combatirlo con eficacia.

Aunque la detección precoz del ransomware es posible sólo con una solución moderna de gestión de datos y un buen sistema de copias de seguridad, la detección de este tipo de amenazas en tiempo real requiere una combinación de aprendizaje automático e inteligencia artificial, para que pueda recibir alertas sobre actividades sospechosas de ransomware en tiempo real, lo que agiliza enormemente el descubrimiento de los ataques.

La fragmentación de datos es una vulnerabilidad masiva

Está claro que muchas organizaciones manejan grandes cantidades de datos de forma habitual. Sin embargo, el tamaño no es tanto un problema como la fragmentación: no es raro que los datos de una empresa se encuentren en varias ubicaciones diferentes y utilicen varios tipos de almacenamiento distintos. La fragmentación también puede crear grandes cachés de datos secundarios (no siempre esenciales para las operaciones de la empresa) que pueden afectar a sus capacidades de almacenamiento y hacerle más vulnerable.

Cada una de estas ubicaciones y tipos de copia de seguridad están añadiendo otro lugar potencial para que el ransomware explote sus datos, lo que hace que todo el sistema de la empresa sea aún más difícil de proteger en primer lugar. En este caso, es una buena recomendación contar con una solución de descubrimiento de datos que funcione dentro de su sistema, lo que aporta muchos beneficios diferentes – uno de los cuales es una mejor visibilidad de la totalidad de sus datos, lo que hace mucho más fácil detectar amenazas, actividad inusual y vulnerabilidades potenciales.

Las credenciales de usuario pueden utilizarse varias veces para ataques de ransomware

Las credenciales de usuario siempre han sido uno de los mayores problemas en este campo, ya que proporcionan a los atacantes de ransomware un acceso claro a los datos valiosos de su empresa, y no todas las empresas pueden siquiera detectar el robo en primer lugar. Si sus credenciales de usuario se ven comprometidas, los atacantes de ransomware pueden aprovechar los diferentes puertos abiertos y obtener acceso a sus dispositivos y aplicaciones. Toda la situación con las credenciales de usuario empeoró cuando, debido a Covid, las empresas se vieron obligadas a cambiar en gran medida al trabajo remoto en torno a 2019 – y este problema sigue tan presente como siempre.

Según el Informe de investigación sobre filtraciones de datos 2021 de Verizon, más del 60% de las filtraciones de datos en un año se realizaron utilizando credenciales comprometidas. Estas vulnerabilidades también pueden afectar a sus copias de seguridad y dejarlas más expuestas al ransomware. Normalmente, la única forma de combatir este tipo de brecha en la seguridad es invertir en estrictos controles de acceso de los usuarios, que incluyan funciones como la autenticación multifactor, controles de acceso basados en roles, supervisión constante, etc.

Pruebe y vuelva a probar siempre sus copias de seguridad

Muchas empresas sólo se dan cuenta de que sus copias de seguridad han fallado o son demasiado difíciles de recuperar después de haber sido víctimas de un ataque de ransomware. Si quiere asegurarse de que sus datos están protegidos, debería realizar siempre algún tipo de ejercicio regular y documentar los pasos exactos para crear y restaurar sus copias de seguridad.

Dado que algunos tipos de ransomware también pueden permanecer latentes antes de cifrar su información, merece la pena comprobar regularmente todas sus copias de seguridad, ya que es posible que no sepa con exactitud cuándo se produjo la infección. Recuerde que el ransomware sólo seguirá encontrando formas más complejas de ocultarse y hacer que sus esfuerzos de recuperación de copias de seguridad sean más costosos.

Conclusión

Para una máxima protección de sus copias de seguridad contra el ransomware y amenazas similares, el firme consejo de Bacula Systems es que su organización cumpla plenamente con las mejores prácticas de copia de seguridad y recuperación de datos enumeradas anteriormente. Los métodos y herramientas descritos en esta entrada del blog son utilizados por los clientes de Bacula Systems de forma habitual para proteger sus copias de seguridad contra el ransomware. Para las empresas que no disponen de soluciones de copia de seguridad de datos de nivel avanzado, Bacula Systems insta a estas organizaciones a realizar una revisión completa de su estrategia de copia de seguridad y a evaluar una solución moderna de copia de seguridad y recuperación.

Descargue el Whitepaper de Bacula sobre la protección contra el ransomware.

Sobre el autor
Rob Morrison
Rob Morrison es el director de marketing de Bacula Systems. Comenzó su carrera de marketing de TI con Silicon Graphics en Suiza, desempeñando con fuerza varios puestos de gestión de marketing durante casi 10 años. En los siguientes 10 años, Rob también ocupó varios puestos de gestión de marketing en JBoss, Red Hat y Pentaho, asegurando el crecimiento de la cuota de mercado de estas conocidas empresas. Se graduó en la Universidad de Plymouth y tiene una licenciatura en Medios Digitales y Comunicaciones, y completó un programa de estudios en el extranjero.
Deja un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *