Por qué la velocidad de recuperación es el verdadero indicador de la resiliencia cibernética

Introducción: Cambiar el enfoque de la prevención a la recuperación

Durante la mayor parte de los últimos 20 años, el principal argumento a favor de la inversión en ciberseguridad se ha centrado en la prevención: cortafuegos, protección de terminales, inteligencia sobre amenazas y mantener a los atacantes fuera a toda costa. Este enfoque tenía sentido cuando los incidentes eran menos frecuentes y más fáciles de contener.

Este enfoque tiene mucho menos sentido en un mundo en el que, para muchas organizaciones, la pregunta ha pasado de ser «¿Sufriremos un incidente grave?» a «¿Con qué rapidez nos recuperaremos tras sufrir un incidente?».

El impacto empresarial del tiempo de inactividad y los ataques de ransomware

A medida que las empresas se han vuelto más dependientes del acceso ininterrumpido a la información, el impacto financiero y operativo del tiempo de inactividad no planificado ha aumentado significativamente. En sectores como la sanidad, los servicios financieros y las infraestructuras críticas, estar fuera de línea durante unas pocas horas puede dar lugar a una amplia gama de consecuencias perjudiciales:

• Operaciones pospuestas
• Transacciones fallidas
• Sanciones normativas
• Daño a la reputación de la marca que perdura más allá del tiempo de inactividad real

El ransomware moderno ha cambiado esta dinámica de forma bastante significativa. Ahora es una práctica habitual atacar las copias de seguridad junto con los sistemas principales, aunque solo sea para reducir las opciones de recuperación (y la capacidad de negociación) de la organización atacada. Pagar un rescate tampoco garantiza la restauración de las operaciones empresariales: las claves de descifrado suelen ser lentas o incompletas, y los datos restaurados podrían seguir conteniendo código malicioso latente. Por lo tanto, el proceso de recuperación no consiste únicamente en revertir el proceso de cifrado.

Definición de ciberresiliencia: más allá de la protección y la detección

La ciberresiliencia se considera comúnmente un sinónimo de ciberseguridad, aunque son conceptos diferentes por naturaleza. La ciberseguridad se centra en minimizar la posibilidad de que se produzca un incidente, mientras que la ciberresiliencia describe cómo una empresa restablecería las funciones necesarias en caso de que fallaran los controles preventivos. Dada la sofisticación de las amenazas modernas, la cuestión del fallo de estos controles no es «si» ocurrirá, sino «cuándo».

Una organización resiliente no es aquella que no sufre incidentes. Una organización resiliente es aquella que se recupera de los incidentes más rápido, con mayor fluidez y con un impacto menos prolongado en las operaciones. Esta diferenciación es significativa a la hora de establecer la estrategia, asignar el presupuesto y evaluar si los controles existentes son adecuados desde el principio.

Métricas tradicionales frente a la resiliencia centrada en la recuperación

La mayoría de las métricas que miden habitualmente la postura de seguridad se desarrollaron en una época en la que la contención era el objetivo principal de la seguridad. Siguen siendo valiosas, pero ofrecen una visión incompleta del rendimiento de una organización ante un incidente grave, ya que se detienen una vez que se ha eliminado al atacante. El enfoque de resiliencia centrada en la recuperación, por el contrario, considera este punto como el principio, no como el final, centrándose en la eficiencia y la rapidez con que una empresa puede volver a su funcionamiento normal.

Breve descripción de MTTD, MTTR, RPO y RTO

MTTD (tiempo medio de detección) se utiliza para definir el tiempo transcurrido entre el momento en que ocurre algo y el momento en que se descubre dicho hecho.

MTTR (tiempo medio de respuesta, en contextos de seguridad) se utiliza para definir el tiempo transcurrido entre la detección y la contención.

RPO (objetivo de punto de recuperación) define la pérdida máxima aceptable de datos en un momento dado, mientras que RTO (objetivo de tiempo de recuperación) define la rapidez con la que deben recuperarse los sistemas.

Estas métricas no son nuevas en el ámbito de la seguridad, y en sí mismas no constituyen el problema. El problema radica en la importancia que las organizaciones les otorgan en relación unas con otras.

Limitaciones de la velocidad de detección y el gasto en prevención

La velocidad de detección es un factor, pero solo hasta cierto punto. Conocer una intrusión de inmediato es beneficioso en sí mismo, pero si la infraestructura de la organización es incapaz de recuperarse claramente una vez que el problema ha sido identificado y contenido, no se produce una reducción significativa del impacto en el negocio.

El gasto en prevención se enfrenta a un tipo de límite similar: ninguna medida de control preventiva puede eliminar el riesgo por completo, y un presupuesto de seguridad que se incline en gran medida hacia la prevención a expensas de la capacidad de recuperación dejará a una organización bien defendida y mal preparada al mismo tiempo.

Por qué el tiempo medio de recuperación (MTTR/MTCR) es más importante

La métrica que mejor refleja la resiliencia de una organización es el tiempo que realmente tarda en recuperarse, desde un estado verificado de «borrón y cuenta nueva» hasta el funcionamiento normal. Este tipo de enfoque va mucho más allá de la definición habitual de MTTR en las operaciones de seguridad.

En el contexto de la recuperación de datos, el tiempo medio de recuperación limpia (MTCR) se define como el intervalo de tiempo entre la confirmación del incidente y el momento en que un sistema fiable y libre de malware funciona a pleno rendimiento. Esta distinción cobra una importancia extrema cuando se tiene en cuenta la integridad de lo que se está restaurando, y no la mera velocidad de restauración.

La brecha de la recuperación cibernética: lecciones de incidentes recientes e investigaciones

La brecha entre la capacidad de recuperación prevista y el rendimiento real de la recuperación suele ser bastante considerable. No es raro que las organizaciones descubran esta diferencia durante un incidente, y no en las pruebas, lo cual dista mucho de ser el momento más adecuado para detectarla.

Altas tasas de fracaso en las restauraciones tras ataques de ransomware en el sector sanitario y otros sectores

El sector sanitario es uno de los principales objetivos del ransomware, tanto por la importancia general de las operaciones sanitarias como por las infraestructuras heredadas y los departamentos de TI con fondos insuficientes, ambos habituales en este ámbito.

Según el informe de Sophos «State of Ransomware in Healthcare 2024», solo el 22 % de las organizaciones sanitarias pudieron recuperarse de los ataques de ransomware en una semana o menos, lo que supone una caída significativa con respecto al 54 % de las organizaciones que informaron de una recuperación satisfactoria en 2022.

El mismo informe reveló también que los atacantes suelen intentar explotar las copias de seguridad de las organizaciones sanitarias (según se informó en el 95 % de los casos), y que dos tercios de esos intentos tienen éxito. Se constató asimismo que las organizaciones con copias de seguridad comprometidas tenían el doble de probabilidades de pagar el rescate (63 % frente a 27 %).

Datos que muestran prácticas de recuperación limitadas y copias de seguridad comprometidas

La frecuencia de las pruebas de recuperación es, en sí misma, un punto débil persistente. Un estudio de 2021 al que hace referencia el profesional de la recuperación ante desastres Dale Shulmistra reveló que casi la mitad de las empresas prueban la recuperación ante desastres una vez al año o menos, y el 7 % no la prueba en absoluto.

Los atacantes aprenden a aprovechar esa vulnerabilidad: el tiempo de permanencia (el tiempo que transcurre entre que el intruso obtiene acceso y se inicia el ransomware) puede oscilar entre días y meses, lo que da tiempo al malware para introducirse en la cadena de copias de seguridad. A menos que la comprobación de integridad se integre en el proceso de copia de seguridad, no se sabe hasta dónde habría que llegar para encontrar una copia de seguridad no comprometida.

Velocidades de recuperación típicas para diferentes soportes de almacenamiento

La velocidad de recuperación se ve muy afectada por el soporte de almacenamiento utilizado.

El nivel más rápido incluye SSD NVMe y memoria de clase de almacenamiento (SCM). Las unidades SAS/SATA tradicionales son mucho más lentas en comparación, el rendimiento del almacenamiento de objetos depende de la red y del tamaño de los objetos, y las cintas introducen una latencia de recuperación considerable (de hasta varias horas para conjuntos de datos de gran tamaño).

Las cifras exactas de rendimiento dependen del entorno y suelen aparecer en las pruebas de rendimiento de los proveedores, más que en investigaciones independientes; sin embargo, la diferencia entre los niveles es lo suficientemente grande como para determinar si un RTO documentado es realmente posible o no.

La velocidad de recuperación como la verdadera métrica de la resiliencia

Definición del tiempo medio de recuperación (MTTR) frente al tiempo medio de recuperación limpia (MTCR)

Dado que ya hemos definido tanto el MTTR como el MTCR, también es importante abordar sus diferencias con mayor detalle, diferencias que se hacen más evidentes en condiciones de ataque. La tabla siguiente muestra cómo el MTTR difiere del MTCR en función del tipo de incidente:

Cómo una recuperación rápida y limpia reduce el riesgo normativo y los costes del tiempo de inactividad

El coste de un incidente aumenta con el tiempo, y la velocidad de recuperación es uno de los factores más importantes que determinan el valor final. Las estimaciones del coste del tiempo de inactividad que se publican suelen variar significativamente en función del sector, el tamaño de la organización y la metodología —desde decenas de miles hasta varios cientos de miles de dólares por hora en sectores con un uso intensivo de datos (una variación que refleja, en parte, lo poco habitual que es que las organizaciones revelen públicamente los costes reales)—.

Todas las fuentes de datos coinciden en que cada hora de inactividad tiene un coste financiero cuantificable, mientras que los procesos de recuperación probados y contrastados también logran reducir el riesgo normativo en situaciones en las que el restablecimiento oportuno de la disponibilidad de los datos es un factor de cumplimiento.

Presiones normativas: la Ley de Ciberresiliencia de la UE y otros marcos normativos

Merece la pena analizar en detalle el alcance exacto de la Ley de Ciberresiliencia de la UE (Reglamento (UE) 2024/2847).

La CRA entró en vigor el 10 de diciembre de 2024, y sus principales obligaciones entrarán en vigor el 11 de diciembre de 2027. Se aplica específicamente a los productos que incorporan elementos digitales —tanto hardware como software— disponibles en la UE, siendo los fabricantes responsables de la ciberseguridad durante todas las etapas del ciclo de vida del producto.

Los marcos más directamente relevantes para la capacidad de recuperación de las organizaciones son NIS2 (Redes y Sistemas de Información), que abarca sectores críticos y cadenas de suministro, y DORA (Ley de Resiliencia Operativa Digital), que impone requisitos específicos de resiliencia operativa y pruebas a las entidades financieras.

Factores que afectan a la velocidad de recuperación

La velocidad de recuperación no es solo una variable aislada, sino el resultado de varios factores interconectados. Para mejorar el MTCR de manera significativa, es necesario comprender dónde es más probable que aparezcan los cuellos de botella.

Rendimiento de la infraestructura y el almacenamiento (SCM, SSD, SAS, Objeto, Cinta)

Las velocidades máximas de restauración vienen dictadas principalmente por la capacidad de rendimiento del soporte en el que se escriben los datos recuperados.

La organización por niveles del almacenamiento (utilizando soportes de alta velocidad para aplicaciones críticas y reservando el almacenamiento más lento para los datos menos urgentes) puede emplearse para lograr una velocidad de restauración aceptable para los datos clave sin incurrir en los costes de un almacenamiento de alto rendimiento generalizado.

Del mismo modo, el ancho de banda de la red se convierte en el cuello de botella de la restauración si se restaura un gran conjunto de datos a través de una red saturada; incluso los datos procedentes de soportes de almacenamiento de alto rendimiento tardarían más en recuperarse si se ven limitados por las capacidades de la infraestructura de red.

Integridad de los datos: garantizar copias de seguridad limpias y libres de malware

La velocidad sin integridad, en el contexto de la ciberseguridad, es en realidad peor que inútil, ya que restaurar rápidamente utilizando una copia de seguridad comprometida solo prolongará el incidente.

Una recuperación eficaz depende de que tanto la verificación de la integridad como el análisis de malware formen parte del proceso de copia de seguridad, y no sean solo una comprobación puntual durante el proceso de restauración.

Las copias de seguridad en almacenamiento WORM no pueden ser cifradas ni modificadas por el ransomware, incluso si el propio sistema de copias de seguridad está bajo el control de un atacante.

Todo esto, combinado con la retención por versiones, crea un estado recuperable que es difícil de infectar, siempre que el periodo de retención sea lo suficientemente largo como para contener la infección inicial.

Automatización, coordinación y priorización de las tareas de restauración

Los procesos de recuperación manuales generan una variabilidad con la que resulta difícil trabajar bajo presión. Los manuales de procedimientos estandarizados pueden ayudar a priorizar los sistemas críticos, secuenciar correctamente las dependencias y ejecutar las tareas de restauración en paralelo siempre que sea posible, sin necesidad de que intervenga el criterio humano en cada paso durante una emergencia.

La cuestión aquí no es eliminar la supervisión humana, sino garantizar que las decisiones que requieren criterio humano se tomen durante la planificación, en lugar de improvisarse sobre la marcha.

Factores humanos: probar los planes de recuperación y las habilidades con regularidad

Un plan de recuperación que solo existe en la documentación no es tan fiable como un plan que ya se ha ejecutado. Los ejercicios de simulación ponen de manifiesto las deficiencias en la comunicación y la toma de decisiones dentro de una organización, mientras que las pruebas de restauración completas resaltan posibles fallos técnicos: dependencias no documentadas, sistemas que no podrán restaurarse correctamente, calendarios que no cumplirán las expectativas iniciales.

Estas pruebas deben realizarse con la frecuencia suficiente para seguir el ritmo de los cambios en la infraestructura, y también es importante que imiten en la medida de lo posible escenarios de amenazas reales, en lugar de centrarse únicamente en fallos de hardware.

Selección de las métricas y los KPI adecuados

Combinación de RPO, RTO, MTTR y MTCR para obtener una visión holística

En este caso, ninguna métrica por sí sola puede captar el panorama completo.

• El RPO define la pérdida de datos aceptable e informa sobre la frecuencia de las copias de seguridad
• El RTO establece el objetivo de restauración
• El MTTR realiza un seguimiento del rendimiento real en relación con ese objetivo
• El MTCR añade la dimensión de integridad que más importa en los escenarios de recuperación cibernética

Cuando se combinan, estas métricas permiten a una organización identificar debilidades específicas. Por ejemplo, una combinación de un RTO sólido y un MTCR deficiente apunta a la integridad de las copias de seguridad como el mayor problema. Por otra parte, un MTCR elevado con un MTTR incumplido significa que el problema se encuentra bien en el departamento de recursos, bien en el de procesos.

Alineación de las métricas con los objetivos de continuidad del negocio y cumplimiento normativo

Las métricas resultan más útiles cuando pueden vincularse a resultados que realmente importan para la empresa. Los RTO basados en el análisis del impacto en el negocio (que muestran el coste operativo real del tiempo de inactividad) son más aplicables que los RTO establecidos para ajustarse a los valores predeterminados de los proveedores o copiados de marcos genéricos.

Del mismo modo, los objetivos de MTCR deben reflejar los requisitos prácticos de integridad de los datos en cuestión, junto con las obligaciones normativas que se les aplican.

Por qué Bacula destaca en la recuperación rápida y limpia

Los problemas descritos anteriormente —copias de seguridad comprometidas, restauración lenta, incertidumbre sobre la integridad, variabilidad de los procesos manuales— son exactamente los mismos problemas para los que se crearon soluciones como Bacula Enterprise. Su arquitectura es un claro reflejo de la idea de que la limpieza de las copias de seguridad y el rendimiento de la recuperación no pueden tratarse como cuestiones separadas.

La arquitectura modular y la escalabilidad de Bacula

El diseño modular de Bacula ayuda a garantizar que las organizaciones no tengan un único punto de fallo, incluso al gestionar entornos grandes y distribuidos. La plataforma consta de tres componentes principales: el director, el daemon de almacenamiento y el daemon de archivos. Cada componente puede escalarse de forma independiente en función de las necesidades de rendimiento y capacidad de la organización.

Este diseño ayuda a dar soporte a entornos grandes y complejos (incluidas las implementaciones híbridas y multicloud) sin el requisito previo de una infraestructura monolítica que se convierta en un único punto de fallo.

Recuperación granular: restauración rápida de archivos y sistemas individuales

No todos los problemas requieren una restauración completa del sistema. En la mayoría de los casos, restaurar solo determinados archivos, bases de datos o servicios es una forma más rápida de volver a un estado operativo que restaurar sistemas completos desde cero.

La recuperación granular de Bacula permite al administrador del sistema seleccionar exactamente qué elemento restaurar, lo que limita el tiempo de restauración y el riesgo de reintroducir datos potencialmente infectados.

Integración con almacenamiento WORM, inmutabilidad y análisis de malware

Bacula Enterprise permite la integración con dispositivos de almacenamiento WORM y destinos de copia de seguridad inmutables, lo que reduce el riesgo tanto de manipulación como de cifrado de las copias de seguridad. Sus capacidades de análisis de malware verifican la integridad de la copia de seguridad antes de realizar una restauración, mitigando así el riesgo de restaurar desde un punto de copia de seguridad dañado.

Estas características abordan directamente el reto del MTCR, ayudando a verificar si la recuperación comenzará a partir de una copia de seguridad fiable.

Priorización de tareas de restauración y automatización de flujos de trabajo de recuperación

Las funciones de scripting y API que ofrece Bacula pueden facilitar los flujos de trabajo de restauración automatizados y los guiones de ejecución secuenciados. Las tareas de restauración del sistema pueden priorizarse según su importancia empresarial, gestionando las dependencias del sistema para garantizar que todo vuelva a estar en línea en la secuencia correcta. Esto puede ayudar a mejorar el MTTR práctico y también a mejorar los RTO cuando sea necesario.

Estrategias para acelerar la recuperación y mejorar la resiliencia

Realizar pruebas periódicas de las copias de seguridad y verificar la integridad de los datos

Una tarea de copia de seguridad realizada con éxito no equivale a una copia de seguridad que se pueda restaurar sin problemas. La verificación de la integridad consiste en realizar pruebas de restauración periódicas: no se trata simplemente de comprobar que el proceso de copia de seguridad se está ejecutando, sino de asegurarse de que los datos que genera son recuperables, no están dañados y están libres de malware.

La frecuencia de las pruebas de restauración debe reflejar dos factores principales:

• La criticidad de los sistemas implicados
• El ritmo al que cambia la infraestructura

Utilizar almacenamiento por niveles y soportes de alta velocidad para los datos críticos

No es necesario que todos los datos se almacenen en el soporte más rápido de que dispone la empresa, pero aquellos que requieran RTO cortos sin duda deben almacenarse de esta manera. La adopción de un enfoque por niveles —utilizando soportes de alto rendimiento y gran capacidad de procesamiento para las aplicaciones que lo exigen, mientras que los datos menos críticos se almacenan en soportes más lentos y económicos— ayuda a las organizaciones a optimizar la velocidad de recuperación donde más importa, sin tener que asumir el coste de un almacenamiento de alto rendimiento en todos los ámbitos.

Automatización de los manuales de respuesta a incidentes y de recuperación ante desastres

Los manuales de recuperación que deben elaborarse en condiciones de incidente son mucho menos fiables que aquellos que se han creado y probado con antelación. La automatización, como característica, ayuda a reducir la dependencia del criterio en tiempo real para las decisiones que pueden predefinirse, ya sea el orden de restauración del sistema, la secuenciación de dependencias o la ejecución de tareas en paralelo. La automatización también da lugar a resultados más predecibles, lo que hace que la revisión y la mejora posteriores al incidente sean significativamente más útiles.

Medición y mejora del MTTR y el MTCR a lo largo del tiempo

La resiliencia mejora cuando se mide de manera coherente. La supervisión del MTTR y el MTCR tanto en pruebas como en incidentes reales (en lugar de tratar cada ejercicio como un evento aislado) permite a las empresas determinar dónde se pierde tiempo, ya sea en la detección, la comprobación de la integridad de las copias de seguridad, la secuenciación de la restauración o la coordinación humana.

Esos datos son los que ayudan a convertir la planificación de la recuperación de un mero ejercicio de cumplimiento normativo en un programa útil con resultados medibles.

Conclusión: adoptar una mentalidad centrada en la recuperación

Resumen de por qué la velocidad de recuperación define la ciberresiliencia

Si bien la prevención y la detección son necesarias, la velocidad y la limpieza de la recuperación determinan el verdadero coste de un incidente. El MTCR —el tiempo hasta alcanzar un estado verificado, no infectado y operativo— es un indicador de resiliencia mucho más honesto que las métricas de postura de seguridad por sí solas, y es también la métrica más controlable al alcance de una organización durante un ataque.

Animar a las organizaciones a evaluar y mejorar sus métricas de recuperación

Las organizaciones no podrían tener una imagen precisa de su MTCR real si no han probado recientemente sus capacidades de recuperación frente a escenarios realistas, como cadenas de copias de seguridad comprometidas o tiempos de permanencia prolongados.

Bacula Enterprise ofrece la arquitectura, los controles de integridad y las capacidades de automatización necesarias para reducir significativamente esa brecha incluso en los entornos más complejos y a gran escala, al tiempo que ayuda a desarrollar una postura de recuperación que se pueda demostrar en lugar de simplemente darse por sentada.

Preguntas frecuentes

¿Es la velocidad de recuperación más importante que la prevención de brechas?

Ninguna de las dos opciones es mutuamente excluyente. La prevención minimiza el riesgo de que se produzcan incidentes; una sólida capacidad de recuperación minimiza el impacto si un incidente llega a producirse. El argumento práctico para dar a la recuperación mayor importancia de la que suele tener es que la prevención tiene un límite: los ataques complejos, en algún momento, acabarán teniendo éxito incluso contra los objetivos más robustos, mientras que la capacidad de recuperación es directamente proporcional al coste general que supondrá un incidente.

¿Cómo evalúan las aseguradoras cibernéticas las capacidades de recuperación?

Últimamente, las aseguradoras se han vuelto más rigurosas en este ámbito. La mayoría pregunta ahora explícitamente sobre la frecuencia de las copias de seguridad, la disponibilidad de copias de seguridad externas e inmutables, la periodicidad con la que se prueban los procesos de recuperación y si las copias de seguridad están aisladas de la red de producción. Las organizaciones con procesos de recuperación documentados y probados periódicamente, así como con cadenas de copias de seguridad limpias y verificables, suelen obtener condiciones más favorables que aquellas cuya estrategia de copias de seguridad existe principalmente sobre el papel.

¿Qué métricas de recuperación preocupan realmente a los reguladores y auditores?

Si bien el alcance normativo difiere entre marcos y sectores, los compromisos y la demostración de la viabilidad de los objetivos RTO y RPO son de aplicación universal. La capacidad de restablecer el acceso a los datos personales en un plazo aceptable tras una violación es un requisito específico del RGPD y de legislaciones de protección de datos comparables. Por su parte, la DORA establece requisitos de prueba específicos para las entidades financieras. Los auditores demandan cada vez más ver los resultados de las pruebas, y no solo los objetivos documentados.