Estrategias y mejores prácticas para las copias de seguridad contra el ransomware. ¿Cómo proteger las copias de seguridad del ransomware?

¿Por qué el ransomware es una amenaza crítica en la ciberseguridad moderna?

Los ataques de ransomware llevan más de una década causando importantes trastornos en numerosas organizaciones, lo que ha provocado la pérdida de datos críticos y confidenciales, entre otras consecuencias desafortunadas, como el pago de enormes cantidades de dinero a organizaciones criminales. Casi todas las industrias importantes se ven afectadas regularmente por el ransomware de una forma u otra. Los ataques de ransomware alcanzaron los 5263 incidentes en 2024, la cifra más alta registrada desde que se comenzó a realizar el seguimiento en 2021, y parece que el número en cuestión sigue creciendo cada año.

Si bien las medidas preventivas siguen siendo una parte fundamental de la defensa contra el ransomware, mantener copias de seguridad periódicas de los datos es el medio más eficaz para recuperar los datos tras un ataque. La protección de los datos es fundamental: dado que muchas formas de ransomware también se dirigen a los datos de las copias de seguridad, es absolutamente necesario tomar medidas para protegerlas del ransomware. Investigaciones recientes también muestran que los atacantes intentaron comprometer las copias de seguridad del 94 % de las organizaciones afectadas por el ransomware, lo que hace que la protección de las copias de seguridad sea más importante que nunca.

El ransomware es un tipo de malware que se infiltra en el ordenador o los servidores de la víctima, cifra sus datos y los hace inaccesibles. A continuación, los autores exigen el pago de un rescate, normalmente en forma de criptomoneda, a cambio de la clave de descifrado. Los ataques de ransomware suelen tener consecuencias devastadoras, ya que provocan importantes pérdidas económicas, interrumpen la productividad e incluso pueden llevar a la quiebra. Solo el ataque de 2024 a Change Healthcare (un importante proveedor de servicios sanitarios de EE. UU.) causó daños por valor de 3090 millones de dólares y comprometió la información sanitaria protegida de más de 100 millones de personas.

Una vez cifrados con éxito los archivos seleccionados, los atacantes suelen exigir un rescate. Los pagos del rescate se suelen solicitar en bitcoins u otras criptomonedas, lo que dificulta su rastreo por parte de las fuerzas del orden. Si la víctima no cumple con las exigencias del rescate, los atacantes pueden recurrir a nuevas amenazas, como publicar los archivos cifrados en Internet o eliminarlos de forma permanente.

¿Quiénes son los principales objetivos de los ataques de ransomware?

Aunque prácticamente cualquier dispositivo puede ser un objetivo potencial del ransomware, hay algunas categorías de información y grupos de usuarios a los que los creadores de ransomware suelen dirigirse con mayor frecuencia:

• Organismos gubernamentales: son los principales objetivos de la mayoría de las variantes de ransomware debido a la gran cantidad de datos confidenciales que poseen; también se suele suponer que el gobierno preferirá pagar el rescate antes que permitir que los datos confidenciales de importancia política se hagan públicos o se vendan a terceros.
• Organizaciones sanitarias: un objetivo destacado para el ransomware debido al gran número de infraestructuras sanitarias que dependen de software y hardware obsoletos, lo que reduce drásticamente el esfuerzo necesario para romper todas sus medidas de protección; los datos sanitarios también son extremadamente importantes debido a su conexión directa con la vida de cientos o miles de pacientes, lo que los hace aún más valiosos.
• Dispositivos móviles: un objetivo habitual debido a la naturaleza de los teléfonos inteligentes modernos y a la cantidad de datos que suele almacenar un solo teléfono inteligente (ya sean vídeos y fotos personales, información financiera, etc.).
• Instituciones académicas: uno de los principales objetivos del ransomware, debido a la combinación de trabajar con grandes volúmenes de datos confidenciales y contar con equipos de TI más reducidos, restricciones presupuestarias y otros factores que contribuyen a la menor eficacia general de sus sistemas de seguridad.
• Los departamentos de recursos humanos: puede que no tengan mucha información valiosa por sí mismos, pero lo compensan con el acceso a los registros financieros y personales de otros empleados; también son un objetivo habitual debido a la naturaleza del trabajo en sí (abrir cientos de correos electrónicos al día hace que sea mucho más probable que un empleado medio de RR. HH. abra un correo electrónico que contenga malware).

El número de ataques de ransomware parece estar creciendo a un ritmo alarmante. Las organizaciones de servicios financieros vieron cómo el 65 % eran objeto de ataques de ransomware en 2024, y los atacantes intentaron comprometer las copias de seguridad en el 90 % de estos ataques. También se desarrollan regularmente nuevos tipos y variantes de ransomware. Ahora existe un modelo de negocio completamente nuevo llamado RaaS, o Ransomware-as-a-Service, que ofrece acceso constante a los ejemplos más recientes de software malicioso por una cuota mensual, lo que simplifica enormemente el proceso general de los ataques de ransomware.

La información más reciente de Statista confirma las afirmaciones anteriores en cuanto a los principales objetivos del ransomware en su conjunto: organizaciones gubernamentales, sanidad, finanzas, fabricación, etc. Las organizaciones financieras también parecen estar creciendo de forma constante como uno de los principales objetivos del ransomware hasta ahora.

Hay formas de proteger su empresa contra diversos ataques de ransomware, y la primera y más importante es asegurarse de que dispone de copias de seguridad a prueba de ransomware.

¿Cuáles son los diferentes tipos de ransomware?

Veamos primero los diferentes tipos de amenazas. El ransomware relacionado con el cifrado (criptoware) es uno de los tipos de ransomware más extendidos en la actualidad. Otros ejemplos notables, aunque menos extendidos, de tipos de ransomware son:

• Pantallas de bloqueo (interrupción con la demanda de rescate, pero sin cifrado).
• ransomware para dispositivos móviles (infección de teléfonos móviles),
• ransomware de cifrado MBR (infecta una parte del sistema de archivos de Microsoft que se utiliza para arrancar el ordenador, impidiendo al usuario acceder al sistema operativo),
• extortionware/leakware (se dirige a datos sensibles y comprometedores, y luego exige un rescate a cambio de no publicar los datos seleccionados), etc.

Se prevé que la frecuencia de los ataques de ransomware aumente drásticamente en 2022 y años posteriores, y que estos sean cada vez más sofisticados. Datos recientes muestran que el pago medio de rescates alcanzó los 2,73 millones de dólares en 2024, lo que supone un aumento espectacular con respecto a los 400 000 dólares de 2023. Esta fuerte escalada refleja tanto la creciente sofisticación de los ataques como el mejor conocimiento por parte de los atacantes de la capacidad financiera de las organizaciones víctimas.

Aunque las medidas preventivas son la forma preferida de hacer frente al ransomware, normalmente no son 100 % eficaces. Para los ataques que logran penetrar en las organizaciones, las copias de seguridad son su último bastión de defensa. Las copias de seguridad y la recuperación de datos han demostrado ser un elemento de protección eficaz y fundamental contra la amenaza del ransomware. Sin embargo, para poder recuperar los datos de forma eficaz es necesario mantener un calendario estricto de copias de seguridad y tomar diversas medidas para evitar que estas también sean capturadas y cifradas por el ransomware.

Para que una empresa proteja suficientemente las copias de seguridad del ransomware, es necesario prepararse y planificar con antelación. La tecnología de protección de datos, las mejores prácticas de copia de seguridad y la formación del personal son fundamentales para mitigar la interrupción que supone para el negocio los ataques de ransomware a los servidores de copia de seguridad de una organización.

Doble extorsión y exfiltración de datos

La doble extorsión representa la evolución más significativa en las tácticas de ransomware en los últimos cinco años, cambiando fundamentalmente la forma en que las organizaciones deben abordar la protección de datos. A diferencia de los ataques tradicionales basados únicamente en el cifrado, en los que las copias de seguridad permiten una recuperación completa, la doble extorsión crea una responsabilidad que persiste incluso después de una restauración satisfactoria.

Los atacantes ahora exfiltran habitualmente datos confidenciales durante las fases de reconocimiento, a menudo semanas antes de desplegar las cargas útiles de cifrado. Estos datos robados se convierten en una ventaja permanente. Las organizaciones con copias de seguridad perfectas siguen enfrentándose a amenazas de divulgación pública de datos, sanciones reglamentarias, pérdida de inteligencia competitiva y daño a su reputación.

Los recientes ataques de gran repercusión demuestran esta amenaza: los atacantes publicaron registros de pacientes robados, bases de datos de clientes e investigaciones privadas incluso después de que las víctimas se negaran a pagar, lo que provocó multas reglamentarias que superaron los diez millones de dólares. El modelo de amenaza ha cambiado radicalmente: el ransomware ya no es solo un ataque a la disponibilidad que se resuelve con copias de seguridad, sino una violación de la confidencialidad que requiere una protección integral de los datos.

Las prioridades objetivo incluyen:

• información de identificación personal (PII) de los clientes
• registros financieros
• propiedad intelectual
• datos de los empleados
• registros médicos
• cualquier información sujeta a protección normativa

Los atacantes evalúan el valor de los datos antes de seleccionar a sus víctimas, centrándose específicamente en organizaciones que poseen información confidencial con consecuencias de publicación.

La defensa requiere estrategias de copia de seguridad por capas con prevención de la exfiltración de datos. Los sistemas de prevención de pérdida de datos (DLP) supervisan y bloquean las transferencias de datos inusuales. La segmentación de la red limita el movimiento lateral entre los repositorios de datos. El cifrado en reposo hace que los archivos robados sean inutilizables sin las claves correspondientes. Las arquitecturas de confianza cero verifican todos los intentos de acceso, independientemente de su origen.

Las copias de seguridad siguen siendo esenciales para la recuperación operativa, pero solo abordan la mitad de la amenaza de doble extorsión. Una defensa integral contra el ransomware reconoce que los ataques modernos crean riesgos duales que requieren protecciones duales: resiliencia de las copias de seguridad para el cifrado y controles de acceso para la exfiltración.

¿Cuáles son los mitos más comunes sobre el ransomware y las copias de seguridad?

Si está investigando cómo proteger las copias de seguridad del ransomware, es posible que encuentre consejos erróneos o desactualizados. La realidad es que la protección de las copias de seguridad contra el ransomware es un poco más compleja, así que veamos algunos de los mitos más populares que rodean el tema.

Mito 1 sobre las copias de seguridad y el ransomware: El ransomware no infecta las copias de seguridad. Es posible que piense que sus archivos están a salvo. Sin embargo, no todo el ransomware se activa en el momento en que se infecta. Algunos esperan antes de ponerse en marcha. Esto significa que sus copias de seguridad pueden contener una copia del ransomware.

Mito 2 sobre las copias de seguridad y el ransomware: Las copias de seguridad cifradas están protegidas contra el ransomware. En realidad, no importa si sus copias de seguridad están cifradas. En cuanto se ejecuta una recuperación de la copia de seguridad, la posible infección vuelve a ser ejecutable y se activa.

Mito 3 sobre las copias de seguridad y el ransomware: Solo afecta a Windows. Mucha gente cree que es posible ejecutar sus copias de seguridad en un sistema operativo diferente para eliminar la amenaza. Desgraciadamente, si los archivos infectados están alojados en la nube, el ransomware se propagaría.

Mito 4 sobre las copias de seguridad y el ransomware: Pagar el rescate es más fácil y barato que invertir en sistemas de recuperación de datos. Hay dos argumentos de peso en contra de esto. Número uno: las empresas que pagan el rescate son percibidas como vulnerables y poco dispuestas a luchar contra los ataques de ransomware. Número dos: pagar el rescate íntegro no es ni mucho menos una forma garantizada de adquirir las claves de descifrado.

Mito 5 sobre las copias de seguridad contra el ransomware: los ataques de ransomware se realizan principalmente por venganza contra las grandes empresas que maltratan a la gente común. Se podría establecer una conexión entre las empresas con políticas de atención al cliente cuestionables y los ataques por venganza, pero la gran mayoría de los ataques simplemente buscan a cualquiera de quien aprovecharse.

Mito 6 sobre las copias de seguridad contra el ransomware: El ransomware no ataca a las empresas más pequeñas, sino que solo tiene como objetivo a las grandes corporaciones. Si bien las empresas más grandes pueden ser objetivos más importantes debido al rescate potencialmente mayor que se puede obtener de ellas, las empresas más pequeñas son atacadas por el ransomware con la misma frecuencia que las más grandes, e incluso los usuarios privados reciben un número significativo de ataques de ransomware de forma regular. Un informe de Sophos muestra que este mito en particular no es cierto, ya que tanto las grandes como las pequeñas empresas tienen aproximadamente el mismo porcentaje de afectación por ransomware en un año (el 72 % de las empresas con ingresos de 5000 millones de dólares y el 58 % de las empresas con ingresos inferiores a 10 millones de dólares).

Por supuesto, todavía hay muchas formas de proteger las copias de seguridad contra el ransomware. A continuación se presentan algunas estrategias importantes que debería considerar para su empresa.

¿Cuáles son los mejores métodos para proteger las copias de seguridad contra el ransomware?

A continuación se indican algunas consideraciones técnicas específicas para el entorno informático de su empresa, con el fin de proteger su servidor de copias de seguridad contra futuros ataques de ransomware:

Utilice credenciales únicas y distintas

Los sistemas de copia de seguridad requieren una autenticación dedicada que no exista en ningún otro lugar de su infraestructura. Los ataques de ransomware suelen comenzar comprometiendo las credenciales administrativas estándar y, a continuación, utilizando esas mismas credenciales para localizar y destruir los repositorios de copias de seguridad. Cuando el almacenamiento de copias de seguridad comparte la autenticación con los sistemas de producción, una sola violación de las credenciales lo expone todo.

Requisitos de control de acceso:

• Habilite la autenticación multifactorial para cualquier acceso humano a la infraestructura de copia de seguridad: los tokens de hardware o las aplicaciones de autenticación proporcionan una protección más sólida que los códigos basados en SMS.
• Implemente un control de acceso basado en roles que separe a los operadores de copia de seguridad (que ejecutan los trabajos y supervisan su finalización) de los administradores de copia de seguridad (que configuran las políticas y el almacenamiento).
• Conceda los permisos mínimos necesarios para cada función: acceso de lectura de archivos para los agentes de copia de seguridad, acceso de escritura a ubicaciones de almacenamiento específicas, nada más.
• Evite los privilegios de root o de administrador para las operaciones de copia de seguridad, ya que proporcionan al ransomware un acceso innecesario al sistema.

Cree cuentas de servicio exclusivamente para operaciones de copia de seguridad sin ningún otro acceso al sistema. Estas cuentas nunca deben iniciar sesión en estaciones de trabajo, sistemas de correo electrónico u otras aplicaciones. La arquitectura de Bacula impone esta separación de forma predeterminada, ejecutando sus demonios bajo cuentas de servicio dedicadas que operan independientemente de las cargas de trabajo de producción.

Supervise los registros de autenticación para el acceso al sistema de copia de seguridad, en particular los intentos de inicio de sesión fallidos, el acceso desde ubicaciones inusuales o el uso de credenciales fuera de las ventanas de copia de seguridad normales. Audite las acciones privilegiadas, como los cambios en la política de retención o las eliminaciones de copias de seguridad: los cambios legítimos son poco frecuentes, lo que hace que las actividades no autorizadas sean evidentes.

Almacenamiento fuera de línea

El almacenamiento fuera de línea es una de las mejores defensas contra la propagación del cifrado de ransomware al almacenamiento de copias de seguridad. Hay una serie de posibilidades de almacenamiento que vale la pena mencionar:

Tareas de copia de seguridad

Una tarea de copia de seguridad copia los datos de copia de seguridad existentes a otro sistema de disco para que puedan restaurarse más tarde o enviarse a una ubicación externa.

Ejecutar una tarea de copia de seguridad es una forma excelente de crear puntos de restauración con reglas de retención diferentes a las de la tarea de copia de seguridad habitual (y que se encuentran en otro almacenamiento). La tarea de copia de seguridad es un mecanismo valioso que le ayuda a proteger las copias de seguridad contra el ransomware, ya que hay diferentes puntos de restauración en uso con la tarea de copia de seguridad.

Por ejemplo, si añade un dispositivo de almacenamiento adicional a su infraestructura (por ejemplo, un servidor Linux), podría definir un repositorio para él y crear un trabajo de copia de seguridad para que funcione como su copia de seguridad contra el ransomware.

Evite demasiados tipos de sistemas de archivos

Aunque utilizar diferentes protocolos es una buena forma de evitar la propagación del ransomware, tenga en cuenta que esto no es en absoluto una garantía contra los ataques de copia de seguridad del ransomware. Los diferentes tipos de ransomware tienden a evolucionar y a ser más eficaces de forma regular, y aparecen nuevos tipos con bastante frecuencia.

Por lo tanto, es aconsejable utilizar un enfoque de seguridad de nivel empresarial: el almacenamiento de las copias de seguridad debe ser inaccesible en la medida de lo posible, y solo debe haber una cuenta de servicio en las máquinas conocidas que necesiten acceder a ellas. Las ubicaciones del sistema de archivos utilizadas para almacenar los datos de las copias de seguridad solo deben ser accesibles para las cuentas de servicio pertinentes, a fin de proteger toda la información de los ataques de ransomware.

Utilice la regla 3-2-1-1

Seguir la regla 3-2-1 significa tener tres copias distintas de sus datos, en dos soportes diferentes, uno de los cuales está fuera de las instalaciones. La ventaja de este enfoque para las copias de seguridad contra el ransomware es que aborda prácticamente cualquier escenario de fallo y no requiere el uso de tecnologías específicas. En la era del ransomware, Bacula recomienda añadir un segundo «1» a la regla, en el que uno de los soportes esté fuera de línea. Existen varias opciones para realizar una copia offline o semi-offline de sus datos. En la práctica, siempre que realice una copia de seguridad en destinos que no sean sistemas de archivos, ya estará cerca de cumplir esta regla. Por lo tanto, las cintas y los destinos de almacenamiento de objetos en la nube le resultarán útiles. Guardar las cintas en una caja fuerte después de grabarlas es una práctica recomendada desde hace mucho tiempo.

Los destinos de almacenamiento en la nube actúan como almacenamiento semidesconectado desde el punto de vista de la copia de seguridad. Los datos no se encuentran in situ y el acceso a ellos requiere protocolos personalizados y autenticación secundaria. Algunos proveedores de nube permiten que los objetos se establezcan en un estado inmutable, lo que satisfaría el requisito de evitar que sean dañados por un atacante. Al igual que con cualquier implementación en la nube, se acepta un cierto grado de riesgo en cuanto a fiabilidad y seguridad al confiar al proveedor de nube los datos críticos, pero como fuente de copia de seguridad secundaria, la nube es muy atractiva.

Verifique la integridad de las copias de seguridad (la regla 3-2-1-1-0)

La moderna regla 3-2-1-1-0 amplía las prácticas tradicionales de copia de seguridad con un quinto componente crítico: cero errores. Este principio hace hincapié en que las copias de seguridad solo son valiosas si se garantiza su restauración satisfactoria cuando sea necesario. El «0» representa copias de seguridad verificadas y sin errores que han sido probadas y han demostrado ser restaurables.

Muchas organizaciones descubren demasiado tarde que sus copias de seguridad están dañadas, incompletas o son imposibles de restaurar. El ransomware a veces permanece inactivo en las copias de seguridad durante semanas o meses antes de activarse, por lo que es esencial realizar verificaciones periódicas. Sin pruebas sistemáticas, es posible que tenga varias copias de datos inutilizables en lugar de copias de seguridad funcionales.

La implementación del principio de cero errores requiere varias prácticas:

• Las comprobaciones de integridad automatizadas deben ejecutarse después de cada tarea de copia de seguridad, verificando las sumas de comprobación y la integridad de los archivos. Estas comprobaciones detectan la corrupción inmediatamente, en lugar de durante una situación de recuperación de crisis.
• Las pruebas de restauración periódicas consisten en restaurar periódicamente los datos de todas las fuentes de copia de seguridad para confirmar que el proceso funciona de principio a fin. Las pruebas de restauración deben abarcar diferentes escenarios: archivos individuales, sistemas completos y situaciones de recuperación total ante desastres.
• La verificación del ancho de banda y el rendimiento garantiza que su infraestructura podrá gestionar restauraciones a plena capacidad dentro de sus objetivos de tiempo de recuperación. Una copia de seguridad que tarda tres semanas en restaurarse puede estar técnicamente intacta, pero ser inútil desde el punto de vista operativo.
• La documentación de los procedimientos de recuperación debe mantenerse y actualizarse con cada prueba, lo que garantiza que el personal siga siendo capaz de ejecutar con éxito las recuperaciones bajo presión.

Programe simulacros de recuperación completos como mínimo cada trimestre, probando las copias de seguridad de diferentes períodos de tiempo y ubicaciones de almacenamiento. Mida y documente sus objetivos de tiempo de recuperación (RTO) y sus objetivos de punto de recuperación (RPO) reales durante estos simulacros, comparándolos con sus requisitos empresariales. Esta práctica transforma la protección teórica de las copias de seguridad en una capacidad de recuperación de datos probada y fiable.

Evite las instantáneas de almacenamiento

Las instantáneas de almacenamiento son útiles para recuperar archivos eliminados hasta un momento determinado, pero no son copias de seguridad en el sentido estricto. Las instantáneas de almacenamiento suelen carecer de una gestión avanzada de la retención y de informes, y todos los datos siguen almacenados en el mismo sistema, por lo que pueden ser vulnerables a cualquier ataque que afecte a los datos primarios. Una instantánea no es más que una copia de sus datos en un momento determinado. Como tal, la copia de seguridad sigue siendo vulnerable a los ataques de ransomware si estos se programan para permanecer inactivos hasta un momento determinado.

Recuperación completa

La recuperación completa se lleva a cabo de muchas maneras diferentes. Muchas empresas simplemente implementan una imagen estándar, proporcionan software y luego restauran los datos y/o las preferencias del usuario. En muchos casos, todos los datos ya están almacenados de forma remota y el sistema en sí mismo es en gran medida irrelevante. Sin embargo, en otros casos este enfoque no es práctico y la capacidad de restaurar completamente una máquina a un momento determinado es una función crítica de la implementación de la recuperación ante desastres que le permite proteger las copias de seguridad del ransomware.

La capacidad de restaurar un ordenador cifrado por ransomware a un momento reciente, incluidos los datos de usuario almacenados localmente, puede ser una parte necesaria de una defensa por capas. El mismo enfoque se aplica a los sistemas virtualizados, aunque normalmente hay opciones preferibles disponibles en el hipervisor.

Pruebas del plan de copia de seguridad

Las pruebas de los procedimientos de copia de seguridad y recuperación transforman la protección teórica en una capacidad probada. Las organizaciones que descubren fallos en las copias de seguridad durante incidentes reales de ransomware se enfrentan a una pérdida catastrófica de datos y a un tiempo de inactividad prolongado. Las pruebas periódicas identifican los problemas antes de que se produzcan emergencias.

Establezca un calendario de pruebas estructurado basado en la criticidad de los datos. Pruebe los sistemas críticos mensualmente, los sistemas importantes trimestralmente y los sistemas estándar semestralmente. Cada prueba valida diferentes escenarios de recuperación para garantizar una cobertura completa.

Escenarios de recuperación que deben probarse periódicamente:

• Restauración a nivel de archivo: recupere archivos y carpetas individuales de varias fechas para verificar las capacidades de recuperación granular.
• Restauración a nivel de sistema: restaure servidores, bases de datos o máquinas virtuales completos para confirmar la recuperación total del sistema.
• Recuperación completa: reconstruya los sistemas desde cero en un nuevo hardware para validar los procedimientos de recuperación ante desastres.
• Recuperación multiplataforma: pruebe la restauración en diferentes entornos de hardware o virtualizados.
• Recuperación parcial: restaurar componentes específicos de aplicaciones o tablas de bases de datos para verificar las opciones de recuperación selectiva.

Documente el objetivo de tiempo de recuperación (RTO) y el objetivo de punto de recuperación (RPO) para cada sistema durante las pruebas. El RTO mide la rapidez con la que se restauran las operaciones: el tiempo transcurrido entre el fallo y la recuperación completa. El RPO mide la pérdida potencial de datos: el tiempo transcurrido entre la última copia de seguridad y el fallo. Compare los resultados reales con los requisitos empresariales y ajuste la frecuencia de las copias de seguridad o la infraestructura en consecuencia.

Verifique que la capacidad del ancho de banda admite restauraciones a gran escala dentro de sus objetivos de RTO. Un sistema de copia de seguridad que requiere tres semanas para restaurar terabytes de datos falla operativamente a pesar de su integridad técnica. Pruebe la restauración en redes de producción durante el horario laboral para identificar limitaciones de rendimiento realistas.

Mantenga documentación detallada de cada prueba, incluidos los procedimientos seguidos, el tiempo necesario, los problemas encontrados y las medidas correctivas adoptadas. Actualice los manuales de procedimientos basándose en los resultados de las pruebas para garantizar que el personal ejecute las recuperaciones de manera eficiente durante los incidentes reales. Rote las responsabilidades de las pruebas entre los miembros del equipo para evitar fallos en puntos únicos de conocimiento.

Supervisión, alertas y detección de anomalías

La supervisión continua detecta los ataques de ransomware en curso antes de que destruyan la infraestructura de copia de seguridad. Los atacantes suelen pasar horas o días reconociendo los sistemas de copia de seguridad, intentando acceder a las credenciales y probando las capacidades de eliminación antes de lanzar ataques a gran escala. La supervisión es necesaria para detectar estas actividades de reconocimiento de forma temprana.

Eventos críticos que requieren alertas inmediatas:

• Intentos fallidos de autenticación en los sistemas de copia de seguridad, especialmente múltiples fallos de una sola fuente.
• Solicitudes de eliminación de copias de seguridad o modificaciones de la política de retención fuera de las ventanas de cambio.
• Tamaños de copia de seguridad inusuales: los aumentos drásticos sugieren la exfiltración de datos, mientras que las disminuciones significativas indican corrupción o manipulación.
• Fallos en las tareas de copia de seguridad en varios sistemas simultáneamente, lo que indica ataques coordinados.
• Acceso al almacenamiento de copias de seguridad desde direcciones IP o ubicaciones geográficas no autorizadas.
• Acceso a claves de cifrado fuera de las operaciones de copia de seguridad programadas.

Configure bases de referencia para la detección de anomalías midiendo los patrones normales de copia de seguridad durante períodos de 30 días. Establezca tamaños de copia de seguridad típicos, tiempos de finalización y patrones de acceso para cada sistema. Integre los registros del sistema de copia de seguridad con plataformas de gestión de información y eventos de seguridad (SIEM) para obtener una visibilidad unificada. Automatice la respuesta a las alertas críticas siempre que sea posible. Revise los datos de supervisión semanalmente, incluso sin alertas.

Almacenamiento inmutable

El ransomware moderno busca y destruye activamente las copias de seguridad antes de cifrar los datos primarios. El almacenamiento inmutable contrarresta esta amenaza creando copias de seguridad que no se pueden modificar, eliminar ni cifrar una vez escritas, ni siquiera por los administradores con acceso completo al sistema.

La tecnología WORM (Write-Once-Read-Many) representa la implementación más robusta de la inmutabilidad. Cuando los datos se almacenan en formato WORM, quedan bloqueados de forma permanente durante un período de retención especificado. El ransomware que compromete las credenciales de administrador no puede anular estas protecciones, lo que hace que el almacenamiento WORM sea inmune a los ataques basados en credenciales.

Los proveedores de nube ofrecen inmutabilidad a nivel de objeto a través de servicios como Amazon S3 Object Lock, Azure Immutable Blob Storage y Google Cloud Storage Retention Policies. Estos servicios bloquean los objetos a nivel de API, impidiendo las solicitudes de eliminación o modificación de cualquier usuario o aplicación. La configuración requiere habilitar la inmutabilidad a nivel de depósito o contenedor antes de escribir los datos de copia de seguridad.

Las soluciones WORM basadas en hardware incluyen bibliotecas de cintas especializadas y dispositivos con protección contra escritura aplicada por firmware. Estos dispositivos rechazan los comandos de modificación a nivel de hardware, lo que proporciona una protección independiente de las vulnerabilidades del software.

Pasos de implementación para copias de seguridad inmutables:

• Configure el software de copia de seguridad para que escriba en destinos inmutables inmediatamente después de completar la copia de seguridad.
• Establezca períodos de retención que superen su período de inactividad potencial más largo del ransomware, normalmente de 90 a 180 días según los patrones de amenaza actuales.
• Separe los sistemas de autenticación para el almacenamiento inmutable de los entornos de producción utilizando cuentas de servicio dedicadas con permisos de solo escritura.
• Combine el almacenamiento inmutable con la infraestructura de copia de seguridad estándar en lugar de sustituirlo: las copias inmutables sirven como opción de recuperación final.
• Supervise los intentos de acceso no autorizados y las solicitudes de eliminación fallidas, que indican ataques activos.
• Verifique que la configuración de inmutabilidad siga aplicándose después de las actualizaciones del sistema.

Cifrado de copias de seguridad

El cifrado protege los datos de las copias de seguridad contra el acceso no autorizado y evita que los atacantes aprovechen las copias de seguridad robadas en esquemas de doble extorsión. Los grupos de ransomware modernos exfiltran cada vez más los datos antes del cifrado, amenazando con publicar información confidencial a menos que las víctimas paguen rescates adicionales. Las copias de seguridad cifradas hacen que los datos robados sean inutilizables para los atacantes.

Implemente el cifrado en dos puntos críticos:

• datos en reposo (copias de seguridad almacenadas)
• datos en tránsito (durante las operaciones de copia de seguridad y restauración)

El cifrado AES-256 proporciona una protección estándar del sector para los datos de copia de seguridad almacenados, ofreciendo una seguridad prácticamente inviolable con la tecnología actual. TLS 1.2 o superior protege los datos que se transfieren entre los clientes de copia de seguridad y los destinos de almacenamiento, evitando su interceptación durante la transmisión.

Prácticas clave de gestión:

• Almacene las claves de cifrado separadas de los datos de copia de seguridad: las claves almacenadas junto con las copias de seguridad cifradas no ofrecen protección si los atacantes comprometen el sistema de almacenamiento.
• Utilice sistemas de gestión de claves (KMS) o módulos de seguridad de hardware (HSM) dedicados que proporcionen un almacenamiento de claves a prueba de manipulaciones y un registro de acceso.
• Implemente controles de acceso basados en roles que limiten el acceso a las claves únicamente a los administradores de copias de seguridad autorizados.
• Rote las claves de cifrado anualmente o después de cualquier incidente de seguridad sospechoso.
• Mantenga copias seguras fuera de línea de las claves de cifrado en ubicaciones físicamente separadas: la pérdida de las claves significa la pérdida permanente de los datos, independientemente de la integridad de la copia de seguridad.
• Documente los procedimientos de recuperación de claves y pruébelos periódicamente para garantizar que las claves sigan siendo accesibles durante los desastres.
• Habilite la autenticación multifactorial para todo el acceso al sistema de gestión de claves.

Separe las credenciales de gestión de claves de las credenciales del sistema de copia de seguridad. Los atacantes que comprometan las cuentas de los administradores de copias de seguridad no deben obtener automáticamente acceso a las claves de cifrado. Esta separación crea una barrera adicional que obliga a los atacantes a violar múltiples sistemas de autenticación.

Para las organizaciones sujetas a requisitos normativos, el cifrado aborda los mandatos de cumplimiento, incluidos el RGPD, la HIPAA y el PCI-DSS. Estos marcos exigen el cifrado de los datos confidenciales en reposo y en tránsito, lo que hace que el cifrado de las copias de seguridad sea legalmente obligatorio y no opcional para los sectores regulados.

Supervise los registros de acceso a las claves de cifrado para detectar actividades inusuales. Los intentos inesperados de recuperación de claves indican posibles ataques que intentan descifrar los datos de las copias de seguridad para su exfiltración o sabotaje.

Políticas de copia de seguridad

Revisar y actualizar periódicamente sus políticas de copia de seguridad contra el ransomware es un método muy eficaz para minimizar el efecto de un ataque de ransomware o incluso prevenirlo. Para que la política de copia de seguridad sea eficaz en primer lugar, debe estar actualizada y ser flexible, e incluir soluciones para todos los métodos modernos de ataque de ransomware.

Una de las mejores defensas contra el ransomware es la restauración de la información a partir de copias de seguridad limpias, ya que pagar un rescate no garantiza al 100 % que sus datos se descifren, lo que vuelve a poner de manifiesto la importancia de las copias de seguridad. Los temas que deben tratarse al realizar una auditoría exhaustiva de toda su estructura de datos interna incluyen:

• ¿Se aplica la regla 3-2-1?
• ¿Hay algún sistema crítico que no esté cubierto por las operaciones de copia de seguridad periódicas?
• ¿Están esas copias de seguridad debidamente aisladas para que no se vean afectadas por el ransomware?
• ¿Se ha realizado alguna vez una prueba de restauración del sistema a partir de una copia de seguridad para comprobar cómo funciona?

Planificación de la recuperación ante desastres

Un plan de recuperación ante desastres (DRP) describe cómo responde su organización a amenazas como el ransomware, los fallos de hardware, los desastres naturales y los errores humanos. Los DRP eficaces establecen procedimientos claros antes de que se produzcan los incidentes, lo que elimina la confusión en situaciones de respuesta de alto estrés.

Marco de objetivos de recuperación:

El objetivo de punto de recuperación (RPO) define la pérdida de datos aceptable medida en tiempo: la cantidad de datos que usted podría permitirse perder. El objetivo de tiempo de recuperación (RTO) define el tiempo de inactividad aceptable: la rapidez con la que debe restaurar las operaciones. Establezca estos objetivos en función del impacto en el negocio:

• Sistemas críticos (transacciones financieras, registros de pacientes): RPO de 15 minutos a 1 hora, RTO de 1 a 4 horas
• Sistemas empresariales importantes (correo electrónico, CRM, gestión de proyectos): RPO de 4 a 8 horas, RTO de 8 a 24 horas.
• Sistemas estándar (servidores de archivos, archivos): RPO de 24 horas, RTO de 48 a 72 horas.

La frecuencia y la infraestructura de las copias de seguridad deben ser compatibles con estos objetivos. Los sistemas con un RPO de 15 minutos requieren una replicación continua o instantáneas frecuentes, no copias de seguridad diarias.

Procedimientos de respuesta a incidentes de ransomware:

1. Aislar inmediatamente los sistemas afectados: desconecte los dispositivos comprometidos de las redes para evitar la propagación del ransomware, pero deje los sistemas encendidos para conservar las pruebas.
2. Activar el equipo de respuesta a incidentes: asignar funciones: comandante del incidente, responsable técnico, coordinador de comunicaciones, enlace legal.
3. Evaluar el alcance: identificar todos los sistemas comprometidos, determinar la variante del ransomware, comprobar si las copias de seguridad se han visto afectadas.
4. Conservar las pruebas: capturar volcados de memoria, registros y estados del sistema antes de la reparación para una posible intervención de las fuerzas del orden.
5. Verifique la integridad de las copias de seguridad: pruebe la restauración desde varias generaciones de copias de seguridad para confirmar que existen puntos de recuperación limpios.
6. Ejecute la recuperación: restaure desde la copia de seguridad limpia más reciente, reconstruya los sistemas comprometidos e implemente controles de seguridad adicionales antes de volver a conectarse a la producción.

Documente las decisiones de pago del ransomware con antelación. Establezca criterios para determinar cuándo se puede considerar el pago (sistemas de seguridad vital, ausencia de copias de seguridad viables) frente a políticas de rechazo firme. Nunca negocie sin asesoramiento legal y coordinación con las fuerzas del orden.

Formación centrada en la seguridad para los empleados

Las copias de seguridad se realizan tanto a nivel de todo el sistema como en los sistemas individuales de los empleados, especialmente cuando se trata de diversos correos electrónicos y otra información específica. Enseñar a sus empleados la importancia de su participación en el proceso de copia de seguridad es una forma estupenda de cerrar aún más brechas en su defensa contra el ransomware.

Al mismo tiempo, aunque los empleados habituales ayudan en el proceso de copia de seguridad, no deben tener acceso a las copias de seguridad en sí. Cuantas más personas tengan acceso a los datos de las copias de seguridad, mayores serán las posibilidades de que se produzcan errores humanos o de que su sistema y sus copias de seguridad se vean comprometidos de alguna otra manera.

Fortalecimiento de la infraestructura y protección de los puntos finales

El ransomware aprovecha las vulnerabilidades de los sistemas para obtener acceso inicial y propagarse lateralmente a través de las redes. El fortalecimiento integral de la infraestructura cierra estos puntos de entrada y limita el movimiento de los atacantes, incluso cuando fallan las defensas perimetrales.

La gestión de parches constituye la base de la seguridad de la infraestructura. Establezca la implementación automatizada de parches para sistemas operativos, aplicaciones y firmware en un plazo de 72 horas desde su lanzamiento para vulnerabilidades críticas. Dé prioridad a los parches que abordan exploits de ransomware conocidos y fallos de ejecución de código remoto. Mantenga un inventario de todos los sistemas para asegurarse de que no se pase por alto ningún parche.

Las soluciones de detección y respuesta en los terminales (EDR) proporcionan supervisión en tiempo real y detección de amenazas en estaciones de trabajo y servidores. Las herramientas EDR identifican patrones de comportamiento del ransomware, como el cifrado rápido de archivos, la ejecución de procesos inusuales o los intentos de eliminar copias de seguridad, y aíslan automáticamente los terminales infectados antes de que el ransomware se propague. Implemente EDR en todos los terminales, incluidos los servidores de copia de seguridad y las estaciones de trabajo administrativas.

La reducción de la superficie de ataque elimina los puntos de acceso innecesarios. Cada servicio eliminado o puerto cerrado representa una vulnerabilidad menos que los atacantes pueden aprovechar. Por lo tanto, desactive los servicios que no se utilicen, cierre los puertos de red innecesarios, elimine los protocolos heredados y desinstale el software que suponga un riesgo para la seguridad. Implemente también listas blancas de aplicaciones para evitar que se ejecuten archivos ejecutables no autorizados.

El análisis de vulnerabilidades identifica las brechas de seguridad antes que los atacantes. Programe análisis semanales automatizados de todos los sistemas, priorizando las correcciones en función de la probabilidad de explotación y el impacto potencial. Presten especial atención a la infraestructura de copia de seguridad, los sistemas de almacenamiento y los servidores de autenticación, que son los objetivos de mayor valor en las campañas de ransomware.

La formación en concienciación sobre seguridad aborda el factor humano. Formen a los empleados para que reconozcan los intentos de phishing, los archivos adjuntos sospechosos y las tácticas de ingeniería social cada trimestre. Los ejercicios de phishing simulados identifican a los usuarios que necesitan formación adicional. Los ataques por correo electrónico y phishing representaron el 52,3 % de los incidentes de ransomware en 2024, por lo que la vigilancia de los empleados es fundamental.

Las auditorías periódicas de refuerzo de la infraestructura verifican que se sigan aplicando las configuraciones de seguridad. Con el tiempo, los sistemas se alejan de las bases de referencia seguras debido a cambios legítimos y configuraciones erróneas; las auditorías periódicas detectan estas desviaciones antes de que los atacantes las aprovechen.

Aislamiento físico

Las copias de seguridad aisladas físicamente proporcionan un aislamiento físico que las hace inaccesibles a través de ataques basados en la red. Este enfoque desconecta físicamente el almacenamiento de copias de seguridad de todas las redes, la infraestructura en la nube y la conectividad durante los periodos en los que no se realizan copias de seguridad, creando una barrera absoluta contra la infiltración remota de ransomware.

El ransomware se propaga a través de las conexiones de red, buscando almacenamiento accesible y repositorios de copias de seguridad. El almacenamiento con aislamiento físico elimina por completo este vector de ataque: si el dispositivo de almacenamiento no tiene conexión a la red, el ransomware no podrá acceder a él, independientemente de que se comprometan las credenciales o se produzcan exploits de día cero.

Implementación de copias de seguridad con aislamiento físico:

• Utilice dispositivos de almacenamiento extraíbles, como discos duros externos, dispositivos NAS o cintas magnéticas.
• Conecte los dispositivos a los sistemas de copia de seguridad solo durante las ventanas de copia de seguridad programadas y, a continuación, desconéctelos físicamente inmediatamente después de completar la operación.
• Establezca un programa de rotación con varios dispositivos de almacenamiento: mientras un dispositivo captura la copia de seguridad actual, los dispositivos anteriores permanecen completamente desconectados en ubicaciones físicas seguras.
• Almacene los dispositivos desconectados en ubicaciones físicas separadas de la infraestructura principal para protegerlos tanto del ransomware como de desastres físicos.
• Configure las copias de seguridad como copias completas en lugar de cadenas incrementales (copias de seguridad sin cadenas) que dependen de generaciones anteriores; esto permite la recuperación desde cualquier dispositivo sin necesidad de acceder a otras versiones de copia de seguridad.
• Automatice la desconexión utilizando bibliotecas de cintas o matrices de almacenamiento controladas por programas siempre que sea posible para reducir los errores humanos.
• Documente minuciosamente los procedimientos de reconexión para situaciones de respuesta a incidentes de alto estrés.

Las copias de seguridad con aislamiento físico son adecuadas para organizaciones con ventanas de copia de seguridad definidas y objetivos de tiempo de recuperación medidos en horas en lugar de minutos. Las aplicaciones en tiempo real que requieren una conmutación por error instantánea necesitan protección adicional a través de sistemas replicados o almacenamiento en la nube inmutable.

Configure las copias de seguridad como copias completas en lugar de cadenas incrementales que dependen de copias de seguridad anteriores. Las copias de seguridad sin cadena permiten la recuperación desde cualquier dispositivo aislado sin necesidad de acceder a otras generaciones de copias de seguridad. Si el ransomware compromete su cadena de copias de seguridad incrementales, los archivos sin cadena siguen siendo recuperables de forma independiente.

Amazon S3 Object Lock

Object Lock es una función del almacenamiento en la nube de Amazon que permite una mayor protección de la información almacenada en los buckets de S3. La función, como su nombre indica, impide cualquier acción no autorizada con un objeto específico o un conjunto de objetos durante un periodo de tiempo determinado, lo que hace que los datos sean prácticamente inmutables durante un periodo de tiempo establecido.

Uno de los principales casos de uso de Object Lock es el cumplimiento de diversos marcos y normativas de conformidad, pero también es una función útil para las iniciativas generales de protección de datos. Además, es relativamente fácil de configurar: lo único que tiene que hacer el usuario final es elegir un periodo de retención, lo que convierte los datos en formato WORM (escritura una sola vez, lectura muchas veces) durante ese tiempo.

Hay dos modos de retención principales que ofrece S3 Object Lock: el modo de cumplimiento normativo y el modo de gobernanza. El modo de cumplimiento normativo es el menos estricto de los dos, ya que ofrece la posibilidad de modificar el modo de retención mientras los datos están «bloqueados». El modo de gobernanza, por otro lado, impide que la mayoría de los usuarios manipulen los datos de cualquier forma: los únicos usuarios a los que se les permite hacer algo con los datos durante el periodo de retención son aquellos que tienen permisos especiales de excepción.

También es posible utilizar Object Lock para activar una «retención legal» de datos específicos, que funciona fuera de los periodos de retención y los modos de retención e impide que los datos en cuestión sean manipulados por motivos legales, como litigios.

Seguridad de confianza cero

El cambio continuo de la seguridad tradicional a la seguridad centrada en los datos ha introducido muchas tecnologías nuevas que ofrecen increíbles ventajas de seguridad, aunque haya que pagar un precio en términos de experiencia del usuario. Por ejemplo, el enfoque de seguridad de confianza cero es una táctica relativamente común en los sistemas de seguridad modernos, que sirve como una gran barrera protectora contra el ransomware y otras amenazas potenciales.

El enfoque general de seguridad de confianza cero adopta la idea principal de la seguridad centrada en los datos, intentando verificar y controlar a todos los usuarios y dispositivos que acceden a información específica, independientemente de quiénes sean y dónde se encuentren. Este tipo de enfoque se centra en cuatro «pilares» principales:

• El principio del mínimo privilegio proporciona a cada usuario el menor número posible de privilegios en el sistema, tratando de mitigar el problema del acceso con privilegios excesivos que la mayoría de las industrias han tenido durante años.
• La segmentación exhaustiva se utiliza principalmente para limitar el alcance de una posible brecha de seguridad, eliminando la posibilidad de que un solo atacante adquiera acceso a todo el sistema de una sola vez.
• La verificación constante es un principio básico de la seguridad de confianza cero, sin ningún tipo de lista de «usuarios de confianza» que se utilice para eludir por completo el sistema de seguridad.
• La supervisión continua también es necesaria para garantizar que todos los usuarios sean legítimos y reales, en caso de que algún tipo de programa de ataque moderno o un mal actor logre eludir la primera capa de seguridad.

Segmentación de la red para la infraestructura de copia de seguridad

Aislar los sistemas de copia de seguridad de las redes de producción evita que el ransomware se mueva lateralmente entre las estaciones de trabajo comprometidas y los repositorios de copia de seguridad. Cuando la infraestructura de copia de seguridad comparte el espacio de red con los puntos finales y los servidores, los atacantes utilizan las mismas vías para llegar a ambos objetivos.

Implemente sistemas de copia de seguridad en segmentos de red dedicados utilizando VLAN o subredes físicas independientes. Configure las reglas del cortafuegos para que solo permitan el tráfico de copia de seguridad necesario entre las redes de producción y de copia de seguridad, normalmente limitado a los agentes de copia de seguridad que inician conexiones con los servidores de copia de seguridad en puertos específicos. Bloquee todo el resto del tráfico, en particular los protocolos administrativos de producción a copia de seguridad, como RDP o SSH.

Utilice dominios o bosques de Active Directory independientes para la autenticación de la infraestructura de copia de seguridad. El compromiso del dominio de producción suele dar a los atacantes acceso a toda la empresa, incluidos los sistemas de copia de seguridad, cuando ambos comparten la infraestructura de autenticación. Los dominios separados obligan a los atacantes a violar varios sistemas de autenticación de forma independiente.

Implemente hosts de salto o servidores bastión como único punto de entrada para la administración del sistema de copia de seguridad. Los administradores se conectan primero al host de salto y, a continuación, acceden a la infraestructura de copia de seguridad desde allí. Esta arquitectura crea un punto de control supervisado para todo el acceso administrativo y evita las conexiones directas desde estaciones de trabajo potencialmente comprometidas.

Lista de verificación del aislamiento de la red:

• VLAN o subredes dedicadas para servidores y almacenamiento de copia de seguridad
• Reglas de firewall que restringen el tráfico de copia de seguridad solo a los puertos y direcciones necesarios
• Dominios de autenticación separados para la infraestructura de copia de seguridad
• Requisito de host de salto para toda la administración del sistema de copia de seguridad
• Control de acceso a la red (NAC) que impide que dispositivos no autorizados accedan a los segmentos de copia de seguridad
• Auditorías periódicas de las reglas del firewall para eliminar permisos de acceso innecesarios

¿Cómo pueden las herramientas del sistema de copia de seguridad proporcionar protección adicional contra el ransomware?

Si se opta por un enfoque mejorado para el mismo problema de las copias de seguridad infectadas con ransomware, es posible, y recomendable, utilizar las herramientas de los sistemas de copia de seguridad como un medio adicional de protección contra los ataques. A continuación se presentan cinco prácticas recomendadas para las copias de seguridad contra el ransomware, con el fin de proteger aún más a las empresas contra este tipo de amenazas:

• Asegúrese de que las propias copias de seguridad estén libres de ransomware y/o malware. Comprobar que su copia de seguridad no esté infectada debe ser una de sus máximas prioridades, ya que toda la utilidad de la copia de seguridad como medida de protección contra el ransomware se ve anulada si sus copias de seguridad se ven comprometidas por el ransomware. Realice parches periódicos del sistema para cerrar las vulnerabilidades del software, invierta en herramientas de detección de malware y actualícelas periódicamente, e intente desconectar sus archivos multimedia lo antes posible después de modificarlos. En algunos casos, puede considerar un enfoque WORM (Write-One-Read-Many) para proteger sus copias de seguridad contra el ransomware, un tipo específico de soporte que solo se proporciona para determinados tipos de cintas y discos ópticos, así como para algunos proveedores de almacenamiento en la nube.
• No confíe en las copias de seguridad en la nube como único tipo de almacenamiento de copias de seguridad. Aunque el almacenamiento en la nube tiene una serie de ventajas, no es completamente inmune al ransomware. Aunque es más difícil para un atacante corromper los datos físicamente, los atacantes de ransomware siguen teniendo la posibilidad de acceder a sus datos, ya sea utilizando una infraestructura compartida del almacenamiento en la nube en su conjunto o conectando dicho almacenamiento en la nube al dispositivo infectado de un cliente.
• Revise y pruebe sus planes de recuperación y copia de seguridad existentes. Su plan de copia de seguridad y recuperación debe probarse periódicamente para garantizar que está protegido contra las amenazas. Descubrir que su plan de recuperación no funciona como se esperaba solo después de un ataque de ransomware es claramente indeseable. La mejor estrategia de copia de seguridad contra el ransomware es aquella que nunca tiene que lidiar con violaciones de datos maliciosas. Trabaje con varios escenarios diferentes, compruebe el tiempo de algunos de sus resultados relacionados con la restauración, como el tiempo de recuperación, y establezca qué partes del sistema tienen prioridad por defecto. Recuerde que muchas empresas miden el coste de la interrupción de los servicios en dólares por minuto y no en ninguna otra métrica.
• Aclare o actualice las políticas de retención y elabore calendarios de copia de seguridad. Se recomienda encarecidamente revisar periódicamente sus estrategias de copia de seguridad contra el ransomware. Es posible que no se realicen copias de seguridad de sus datos con la frecuencia suficiente o que el periodo de retención de las copias de seguridad sea demasiado corto, lo que hace que su sistema sea vulnerable a tipos más avanzados de ransomware que se dirigen a las copias de seguridad mediante retrasos y otros medios de infección.
• Audite minuciosamente todas sus ubicaciones de almacenamiento de datos. Para proteger las copias de seguridad del ransomware, estas deben ser auditadas para asegurarse de que no se pierdan datos y de que todo se haya copiado correctamente, incluyendo posiblemente los sistemas de los usuarios finales, los almacenamientos en la nube, las aplicaciones y otro software del sistema.

¿Cómo ataca y compromete el ransomware sus copias de seguridad?

Si bien es cierto que los sistemas de copia de seguridad y recuperación son capaces de proteger a las organizaciones contra el ransomware en la mayoría de los casos, estos sistemas no son los únicos que siguen progresando y evolucionando a lo largo de los años, ya que el ransomware también se vuelve cada vez más inusual y sofisticado con el paso del tiempo.

Uno de los problemas más recientes de todo este enfoque con las copias de seguridad es que ahora muchas variantes de ransomware han aprendido a atacar no solo los datos de la empresa en primer lugar, sino también las copias de seguridad de esa misma empresa, lo que supone un problema importante para todo el sector. Muchos creadores de ransomware han modificado su malware para localizar y eliminar las copias de seguridad. Desde esta perspectiva, aunque las copias de seguridad siguen protegiendo sus datos contra el ransomware, también tendrá que proteger las copias de seguridad contra el ransomware.

Es posible determinar algunos de los principales ángulos que se utilizan normalmente para manipular sus copias de seguridad en su conjunto. Destacaremos los principales y explicaremos cómo utilizarlos para proteger las copias de seguridad contra el ransomware:

El daño potencial del ransomware aumenta con ciclos de recuperación más largos

Aunque no es tan obvio como otras posibilidades, el problema de los ciclos de recuperación largos sigue siendo bastante importante en el sector, y se debe principalmente a productos de copia de seguridad obsoletos que solo realizan copias de seguridad completas lentas. En estos casos, los ciclos de recuperación tras un ataque de ransomware duran días, o incluso semanas, lo que supone una grave interrupción para la mayoría de las empresas, ya que los costes del tiempo de inactividad del sistema y la interrupción de la producción superan rápidamente las estimaciones iniciales de los daños causados por el ransomware.

Dos posibles soluciones para ayudar a proteger sus copias de seguridad contra el ransomware serían: a) intentar conseguir una solución que le proporcione una copia de todo su sistema lo más rápido posible, para que no tenga que pasar días o incluso semanas en modo de recuperación, y b) intentar conseguir una solución que ofrezca la restauración masiva como característica, para que varias máquinas virtuales, bases de datos y servidores vuelvan a funcionar muy rápidamente.

Su póliza de seguro también puede convertirse en su responsabilidad

Como hemos mencionado anteriormente, cada vez aparecen más variantes de ransomware que se dirigen tanto a sus datos originales como a sus copias de seguridad, o que a veces incluso intentan infectar y/o destruir sus datos respaldados antes de pasar a su fuente. Por lo tanto, debe dificultar al máximo que el ransomware elimine todas sus copias de seguridad, es decir, crear una especie de defensa multicapa.

Los ciberdelincuentes están utilizando ataques muy sofisticados que se dirigen a los datos, y van directamente a por sus copias de seguridad, ya que son su principal póliza de seguro para mantener su negocio en funcionamiento. Debe tener una única copia de los datos en un estado tal que nunca pueda ser montada por ningún sistema externo (lo que a menudo se denomina copia de seguridad inmutable) e implementar diversas funciones de seguridad integrales, como el WORM mencionado anteriormente, así como el aislamiento moderno de datos, el cifrado de datos, la detección de manipulaciones y la supervisión de anomalías en el comportamiento de los datos.

Hay dos medidas que veremos con más detalle:

• Copia de seguridad inmutable. La copia de seguridad inmutable es una de las medidas más importantes contra los ataques de ransomware: es una copia de su copia de seguridad que no se puede alterar de ninguna manera una vez creada. Su única función es ser su principal fuente de datos si ha sido víctima de un ransomware y necesita recuperar su información tal y como estaba antes. Las copias de seguridad inmutables no se pueden eliminar, cambiar, sobrescribir ni modificar de ninguna otra forma, solo copiar a otras fuentes. Algunos proveedores presentan la inmutabilidad como infalible, pero en lo que respecta a las copias de seguridad contra el ransomware, no existe tal cosa. Sin embargo, no debe temer a los ataques de ransomware contra las copias de seguridad inmutables. Solo tiene que asegurarse de contar con una estrategia integral que incluya la detección y prevención de ataques, e implementar una gestión sólida de las credenciales.
• Cifrado de copias de seguridad. Resulta algo irónico que el cifrado también se utilice como una de las medidas para contrarrestar los ataques de ransomware, ya que muchos ransomware utilizan el cifrado para exigir un rescate por sus datos. El cifrado no hace que sus copias de seguridad sean a prueba de ransomware y no evitará los exploits. Sin embargo, en esencia, el cifrado de copias de seguridad debe actuar como una medida más contra el ransomware, cifrando sus datos dentro de las copias de seguridad para que el ransomware no pueda leerlos ni modificarlos en primer lugar.

Los problemas de visibilidad de sus datos se convierten en una ventaja para el ransomware

Por su naturaleza, el ransomware es más peligroso cuando se introduce en una infraestructura mal gestionada, una especie de «datos oscuros». Allí causa mucho daño: un ataque de ransomware cifra sus datos y/o los vende en la web oscura. Se trata de un problema importante que requiere las tecnologías más avanzadas para detectarlo y combatirlo de forma eficaz.

Si bien la detección temprana del ransomware es posible solo con una solución moderna de gestión de datos y un buen sistema de copia de seguridad, la detección de estas amenazas en tiempo real requiere una combinación de aprendizaje automático e inteligencia artificial, de modo que reciba alertas sobre actividades sospechosas de ransomware en tiempo real, lo que agiliza considerablemente el descubrimiento de los ataques.

La fragmentación de datos es una vulnerabilidad grave

Es evidente que muchas organizaciones manejan grandes cantidades de datos de forma habitual. Sin embargo, el tamaño no es tan problemático como la fragmentación: no es raro que los datos de una empresa se encuentren en múltiples ubicaciones diferentes y utilicen varios tipos de almacenamiento distintos. La fragmentación también crea grandes cachés de datos secundarios (no siempre esenciales para las operaciones comerciales) que afectan a sus capacidades de almacenamiento y le hacen más vulnerable.

Cada una de estas ubicaciones y tipos de copia de seguridad añaden otra vía potencial para que el ransomware explote sus datos, lo que hace que el sistema de toda la empresa sea aún más difícil de proteger. En este caso, es recomendable contar con una solución de detección de datos que funcione dentro de su sistema y que aporte muchas ventajas diferentes, una de las cuales es una mejor visibilidad de la totalidad de sus datos, lo que facilita mucho la detección de amenazas, actividades inusuales y posibles vulnerabilidades.

Las credenciales de usuario se utilizan varias veces para los ataques de ransomware

Las credenciales de usuario siempre han sido uno de los mayores problemas en este campo, ya que proporcionan a los atacantes de ransomware un acceso claro a los datos valiosos de su empresa, y no todas las empresas son capaces de detectar el robo en primer lugar. Si sus credenciales de usuario se ven comprometidas, los atacantes de ransomware aprovechan los diferentes puertos abiertos y obtienen acceso a sus dispositivos y aplicaciones. La situación con las credenciales de usuario empeoró cuando, debido a la COVID, las empresas se vieron obligadas a pasar en gran medida al teletrabajo en 2019, y este problema sigue estando tan presente como siempre.

Estas vulnerabilidades afectan incluso a sus copias de seguridad y las dejan más expuestas al ransomware. Por lo general, la única forma de combatir este tipo de brecha en la seguridad es invertir en controles estrictos de acceso de los usuarios, incluyendo características como la autenticación multifactorial, los controles de acceso basados en roles, la supervisión constante, etc.

Compruebe y vuelva a comprobar siempre sus copias de seguridad

Muchas empresas solo se dan cuenta de que sus copias de seguridad han fallado o son demasiado difíciles de recuperar después de haber sido víctimas de un ataque de ransomware. Si quiere asegurarse de que sus datos están protegidos, debe realizar siempre algún tipo de ejercicio periódico y documentar los pasos exactos para crear y restaurar sus copias de seguridad.

Dado que algunos tipos de ransomware permanecen inactivos antes de cifrar su información, vale la pena probar todas sus copias de seguridad con regularidad, ya que es posible que no sepa cuándo se produjo exactamente la infección. Recuerde que el ransomware solo seguirá encontrando formas más complejas de ocultarse y hacer que sus esfuerzos de recuperación de copias de seguridad sean más costosos.

Conclusión

Para proteger al máximo sus copias de seguridad contra el ransomware y amenazas similares, Bacula Systems recomienda encarecidamente que su organización cumpla plenamente con las prácticas recomendadas de copia de seguridad y recuperación de datos enumeradas anteriormente. Los métodos y herramientas descritos en esta entrada del blog son utilizados habitualmente por los clientes de Bacula para proteger con éxito sus copias de seguridad contra el ransomware. Bacula insta a las empresas que no dispongan de soluciones avanzadas de copia de seguridad de datos a que revisen por completo su estrategia de copia de seguridad y evalúen una solución moderna de copia de seguridad y recuperación. Bacula es reconocida en el sector por el excepcional nivel de seguridad de su software de copia de seguridad. Póngase en contacto con Bacula ahora para obtener más información.

Puntos clave

• Los ataques de ransomware modernos se dirigen en la mayoría de los casos a los sistemas de copia de seguridad, lo que hace que la protección de las copias de seguridad sea tan importante como la protección de los datos de producción.
• Implemente la regla 3-2-1-1-0 con tres copias de los datos en dos tipos de soportes, uno fuera de las instalaciones, otro inmutable o fuera de línea, y cero errores mediante verificaciones periódicas y pruebas de recuperación.
• El almacenamiento inmutable mediante tecnología WORM y las copias de seguridad con aislamiento físico crean múltiples capas de defensa que impiden a los atacantes eliminar o cifrar las copias de seguridad, incluso si se han comprometido las credenciales del administrador.
• Separe la infraestructura de copia de seguridad de las redes de producción utilizando VLAN dedicadas, dominios de autenticación distintos y controles de acceso estrictos con autenticación multifactorial para evitar el movimiento lateral del ransomware.
• Las tácticas de doble extorsión significan que las copias de seguridad por sí solas no pueden proteger contra el robo de datos y las amenazas de publicación; las organizaciones necesitan estrategias integrales que incluyan cifrado, prevención de pérdida de datos y segmentación de la red.
• Las pruebas de recuperación periódicas con métricas RTO y RPO documentadas transforman la protección teórica de las copias de seguridad en una capacidad probada, mientras que la supervisión continua detecta las actividades de reconocimiento antes de que los atacantes destruyan la infraestructura de copia de seguridad.