Inicio > Blog de copias de seguridad y recuperación > Protección de las copias de seguridad contra el ransomware. ¿Cómo proteger las copias de seguridad del ransomware?

Protección de las copias de seguridad contra el ransomware. ¿Cómo proteger las copias de seguridad del ransomware?

1 Star2 Stars3 Stars4 Stars5 Stars
(22 votos, media: 4,50 fuera de 5)
Cargando...
Actualizado 5th octubre 2022, Rob Morrison

Aumento de las necesidades de protección de las copias de seguridad contra el ransomware

A pesar de los numerosos incidentes de ciberseguridad que han sido noticia a nivel internacional de forma regular en los últimos años, fue específicamente el ataque de ransomware WannaCry en mayo de 2017 el que trajo un enfoque renovado y urgente sobre lo que las organizaciones deben hacer para proteger sus negocios y servicios del ransomware. Este ataque impactó gravemente a miles de organizaciones en todo el mundo, habiendo afectado a más de 150 países y a más de 200.000 ordenadores.

El ataque del ransomware WannaCry es un ejemplo de cripto-ransomware, un tipo de malware utilizado para pedir dinero. En este caso, los ciberdelincuentes encriptaron archivos valiosos, tomando los datos como rehenes y prometiendo devolverlos sólo si se pagaba un rescate en Bitcoin. Este ataque en particular se convirtió en una dramática demostración de por qué es tan importante hacer copias de seguridad con regularidad, y proteger esas copias de seguridad también del ransomware.

Algunos de los métodos más comunes de propagación del ransomware son los correos electrónicos de phishing, el spam y la ingeniería social, pero también se están desarrollando constantemente métodos más nuevos, como las descargas «drive-by» o los sitios web realmente infectados. El objetivo principal de un ransomware es introducirse en un sistema conectado a la red; entonces puede proceder a cifrar los datos de una empresa y exigir un rescate para que se levante el cifrado. Hay formas de proteger a su empresa contra estos ataques, y la primera y más importante es asegurarse de tener copias de seguridad a prueba de ransomware.

Veamos primero los diferentes tipos de amenazas. El ransomware relacionado con el cifrado (cryptoware) es uno de los tipos de ransomware más extendidos en la actualidad. Algunos ejemplos menos comunes de tipos de ransomware son:

  • Pantallas de bloqueo (interrupción con la petición de rescate, pero sin encriptación),
  • Ransomware para dispositivos móviles (infección de teléfonos móviles),
  • El ransomware de encriptación MBR (infecta una parte del sistema de archivos de Microsoft que se utiliza para arrancar el ordenador, impidiendo al usuario acceder al sistema operativo en primer lugar),
  • Extortionware/leakware (tiene como objetivo datos sensibles y comprometedores, y luego exige un rescate a cambio de no publicar los datos objetivo), etc.

La frecuencia de los ataques de ransomware aumentará drásticamente en 2022 y en adelante, y con una sofisticación cada vez mayor. Por ejemplo, ya existe un malware más sofisticado que el WannaCry y que, de hecho, busca sistemas de copia de seguridad débiles y cifra los propios datos respaldados. Es primordial que estemos preparados para enfrentarnos a estas amenazas y comprender el vínculo necesario entre el ransomware y las copias de seguridad. Una investigación de Palo Alto Networks muestra que sólo en la primera mitad de 2021 el importe medio de los rescates suele superar el medio millón de dólares (más de 570.000 dólares, para ser exactos).

Aunque las medidas preventivas son la forma preferida de hacer frente al ransomware, no suelen ser 100% efectivas. Para los ataques que penetran con éxito, las copias de seguridad son el último bastión de defensa que puede utilizar un departamento de TI. Las copias de seguridad y la recuperación de datos han demostrado ser un elemento de protección eficaz y crítico contra la amenaza del ransomware. Sin embargo, ser capaz de recuperar los datos de forma eficaz significa mantener un estricto programa de copias de seguridad y tomar diversas medidas para evitar que las copias de seguridad también sean capturadas y cifradas por el ransomware.

Para que una empresa proteja suficientemente las copias de seguridad del ransomware, es necesario prepararse y reflexionar con antelación. La tecnología de protección de datos, las mejores prácticas en materia de copias de seguridad y la formación del personal son fundamentales para mitigar la interrupción que los ataques de ransomware pueden infligir a los servidores de copia de seguridad de una organización.

Los ataques de ransomware a los sistemas de copia de seguridad suelen ser oportunistas, no necesariamente dirigidos. El proceso exacto variará en función del programa, pero el ransomware suele rastrear un sistema en busca de tipos de archivos específicos y, si detecta una extensión de archivo de copia de seguridad, lo encripta. A continuación, intentará propagarse e infectar tantos otros sistemas como pueda. El movimiento de estos programas maliciosos es lateral y no deliberado.

Una de las mejores protecciones contra este tipo de ataques es contar con una solución de copia de seguridad de datos y ransomware de arquitectura correcta, debidamente configurada, combinada con estrategias de copia de seguridad de las mejores prácticas. Esto incluye asegurarse de que cualquier copia de seguridad en la nube está adecuadamente protegida y disponible, y de que tiene una estrategia para asegurarse de que no está sincronizando los archivos locales infectados con los que deberían mantenerse a salvo en la nube. Eso también significa tener copias actualizadas de esos datos disponibles en otro lugar. Para cualquier empresa mediana o grande, contar con una solución de copia de seguridad de nivel empresarial es esencial, ya que una práctica correcta de copia de seguridad, almacenamiento y cumplimiento de los datos puede ser la principal diferencia entre la supervivencia o el fracaso de una empresa en caso de un ataque de ransomware.

Mitos comunes sobre el ransomware y las copias de seguridad

Si está investigando cómo proteger las copias de seguridad del ransomware, es posible que se encuentre con consejos erróneos o desfasados. La realidad es que la protección de las copias de seguridad contra el ransomware es un poco más compleja, así que analicemos algunos de los mitos más populares que rodean el tema.

Mito del ransomware para copias de seguridad 1: El ransomware no infecta las copias de seguridad. Puede pensar que sus archivos están a salvo. Sin embargo, no todos los ransomware se activan al ser infectados. Algunos esperan antes de activarse. Esto significa que sus copias de seguridad podrían tener ya una copia del ransomware en ellas.

Mito del ransomware para copias de seguridad 2: Las copias de seguridad cifradas están protegidas del ransomware. Realmente no importa si sus copias de seguridad están cifradas. En cuanto ejecute una recuperación de la copia de seguridad, la infección puede volver a ser ejecutable y activarse.

Mito del ransomware para copias de seguridad 3: Sólo afecta a Windows. Muchas personas piensan que pueden ejecutar sus copias de seguridad en un sistema operativo diferente para eliminar la amenaza. Por desgracia, si los archivos infectados están alojados en la nube, el ransomware puede cruzar.

Por supuesto, todavía hay muchas formas de proteger las copias de seguridad del ransomware. A continuación le presentamos algunas estrategias importantes que debería tener en cuenta para su empresa.

Las 7 mejores estrategias de copia de seguridad contra el ransomware

He aquí algunas consideraciones técnicas específicas para su entorno informático empresarial, con el fin de proteger su servidor de copias de seguridad contra futuros ataques de ransomware:

1. Utilice credenciales distintas, únicamente para el almacenamiento de las copias de seguridad

Se trata de una práctica recomendada básica para las copias de seguridad de ransomware; y con la creciente cantidad de ataques de ransomware a los servidores de copias de seguridad, es más necesaria que nunca. El contexto que alguien utiliza para acceder al almacenamiento de las copias de seguridad debe ser completamente confidencial y utilizarse únicamente para ese propósito específico. Otros contextos de seguridad tampoco deben poder acceder al almacenamiento de copias de seguridad, salvo la(s) cuenta(s) que pueda(n) ser necesaria(s) para las operaciones de copia de seguridad propiamente dichas. Para proteger las copias de seguridad del ransomware, debe evitar trabajar como root o administrador. Utilice cuentas de servicio restringidas al máximo, siempre que sea posible. Por defecto, Bacula incorpora la autenticación de dos factores en el diseño y permite al usuario aplicar la mayor separación posible cuando se trata de cargas de trabajo de producción, estableciendo una copia de seguridad más a prueba de ransomware. Por ejemplo, su instalación por defecto garantiza que sus demonios se ejecuten con cuentas de servicio dedicadas.

2. Haga que el almacenamiento fuera de línea forme parte de la estrategia de copia de seguridad

El almacenamiento fuera de línea es una de las mejores defensas contra la propagación del cifrado del ransomware al almacenamiento de las copias de seguridad. Hay varias posibilidades de almacenamiento que se pueden utilizar:

Tipo de medio Lo importante
Copias de seguridad en la nube Estos utilizan un mecanismo de autenticación diferente. Sólo pueden conectarse parcialmente al sistema de copia de seguridad. El uso de copias de seguridad en la nube es una buena manera de proteger las copias de seguridad del ransomware, ya que sus datos se mantienen a salvo en la nube. En el caso de un ataque, puede restaurar su sistema desde ella, aunque eso puede resultar caro. También debe tener en cuenta que la sincronización con el almacenamiento de datos local puede cargar la infección a su copia de seguridad en la nube también.
Instantáneas de almacenamiento primario Las instantáneas tienen un marco de autenticación diferente y pueden utilizarse para la recuperación. Las copias instantáneas son copias de seguridad de sólo lectura, por lo que los nuevos ataques de ransomware no pueden infectarlas. Si identifica una amenaza, puede simplemente restaurarla a partir de una tomada antes de que se produzca el ataque.
VMs replicadas Mejor cuando se controla mediante un marco de autenticación diferente, como el uso de diferentes dominios para, por ejemplo, los hosts de vSphere y Hyper-V, y se desactiva. Sólo tiene que asegurarse de que lleva un seguimiento cuidadoso de su programa de retención. Si se produce un ataque de ransomware y no se da cuenta antes de que se cifren sus copias de seguridad, podría no tener ninguna copia de seguridad de la que restaurar.
Unidades de disco duro/SSD Desconectados, desmontados o fuera de línea a menos que se esté leyendo o escribiendo en ellos. Algunas unidades de estado sólido se han abierto con malware, pero esto va más allá del alcance de algunos ransomware de copia de seguridad tradicionales.
Cinta No se puede estar más fuera de línea que con las cintas que se han descargado de una biblioteca de cintas. También son convenientes para el almacenamiento fuera de las instalaciones. Dado que los datos suelen guardarse fuera de las instalaciones, las copias de seguridad en cinta suelen estar a salvo de los ataques de ransomware y los desastres naturales. Las cintas deben estar siempre encriptadas.
Aparatos Los electrodomésticos, al ser cajas negras, deben estar debidamente asegurados contra el acceso no autorizado para protegerse de los ataques de ransomware. Es aconsejable una seguridad de red más estricta que con los servidores de archivos normales, ya que los aparatos pueden tener más vulnerabilidades inesperadas que los sistemas operativos normales.

3. Utilice los trabajos de copia de seguridad para ayudar a mitigar el riesgo

Un trabajo de copia de seguridad copia los datos existentes de la copia de seguridad a otro sistema de disco para poder restaurarlos más tarde o enviarlos a una ubicación externa.La ejecución de un trabajo de copia de seguridad es una forma excelente de crear puntos de restauración con reglas de retención diferentes a las del trabajo de copia de seguridad normal (y que pueden estar ubicados en otro almacenamiento). El trabajo de copia de seguridad puede ser un mecanismo valioso que puede ayudarle a proteger las copias de seguridad contra el ransomware, ya que hay diferentes puntos de restauración en uso con el trabajo de copia de seguridad.

Por ejemplo, si añade un dispositivo de almacenamiento adicional a su infraestructura (por ejemplo, un servidor Linux) puede definir un repositorio para él y crear el trabajo de copia de seguridad para que funcione como su copia de seguridad contra ransomware.

4. No confíe en diferentes sistemas de archivos para proteger el almacenamiento de las copias de seguridad

Aunque involucrar diferentes protocolos puede ser una buena manera de prevenir la propagación del ransomware, tenga en cuenta que esto no es ninguna garantía contra los ataques de copia de seguridad de ransomware. Los diferentes tipos de ransomware tienden a evolucionar y a hacerse más eficaces de forma regular, y aparecen nuevos tipos con bastante frecuencia.

Por lo tanto, es aconsejable utilizar un enfoque de seguridad de nivel empresarial: el almacenamiento de las copias de seguridad debe ser inaccesible en la medida de lo posible, y sólo debe haber una cuenta de servicio en las máquinas conocidas que necesite acceder a ellas. Las ubicaciones del sistema de archivos utilizadas para almacenar los datos de las copias de seguridad deberían ser accesibles únicamente por las cuentas de servicio pertinentes para proteger toda la información de los ataques de ransomware.

No hay ninguna razón para que los usuarios finales de diferentes sistemas tengan permiso para acceder a ellos. Utilizar otro conjunto de credenciales para permitir el acceso a los sistemas de archivos compartidos, por ejemplo para las instantáneas, los recursos compartidos fuera de línea o el almacenamiento en la nube es un enfoque intrínsecamente inseguro: todos ellos deberían estar restringidos exclusivamente a la cuenta del servicio de copia de seguridad.

5. Asegúrese de utilizar la regla 3-2-1-1

Seguir la regla 3-2-1 significa tener tres copias distintas de sus datos, en dos medios diferentes, uno de los cuales está fuera de las instalaciones. El poder de este enfoque para las copias de seguridad contra el ransomware es que puede hacer frente a prácticamente cualquier escenario de fallo y no requiere el uso de ninguna tecnología específica. En la era del ransomware, Bacula recomienda añadir un segundo «1» a la regla; uno de los medios está fuera de línea. Hay una serie de opciones en las que puede realizar una copia offline o semi-offline de sus datos. En la práctica, siempre que realice una copia de seguridad en objetivos que no sean sistemas de archivos, ya estará cerca de cumplir esta regla. Por lo tanto, las cintas y los objetivos de almacenamiento de objetos en la nube le resultan útiles. Colocar las cintas en una cámara acorazada después de haberlas escrito es una práctica recomendada desde hace tiempo.

Los objetivos de almacenamiento en la nube pueden actuar como un almacenamiento semiautomático desde la perspectiva de las copias de seguridad. Los datos no están in situ, y el acceso a ellos requiere protocolos personalizados y una autenticación secundaria. Algunos proveedores de la nube permiten poner los objetos en un estado inmutable, lo que satisfaría el requisito de evitar que sean dañados por un atacante. Como ocurre con cualquier implementación de la nube, se acepta una cierta cantidad de riesgo de fiabilidad y seguridad al confiar al proveedor de la nube los datos críticos, pero como fuente de copia de seguridad secundaria la nube es muy convincente.

6. Cuidado con el uso de las instantáneas de almacenamiento en el almacenamiento de respaldo

Las instantáneas de almacenamiento son útiles para recuperar archivos borrados en un momento dado, pero no son una copia de seguridad en el verdadero sentido. Las instantáneas de almacenamiento suelen carecer de una gestión avanzada de la retención y de la elaboración de informes, y todos los datos siguen almacenados en el mismo sistema, por lo que pueden ser vulnerables a cualquier ataque que afecte a los datos primarios. Una instantánea no es más que una copia puntual de sus datos. Por lo tanto, la copia de seguridad puede seguir siendo vulnerable a los ataques de ransomware si estos se programaron para permanecer inactivos hasta un momento determinado.

7. Asegúrese de que puede recuperar todos los sistemas desde bare metal

La recuperación de bare metal se lleva a cabo de muchas maneras diferentes. Muchas empresas se limitan a desplegar una imagen estándar, aprovisionar el software y luego restaurar los datos y/o las preferencias de los usuarios. En muchos casos, todos los datos ya están almacenados a distancia y el sistema en sí mismo carece de importancia. Sin embargo, en otros, este no es un enfoque práctico y la capacidad de restaurar completamente una máquina a un punto en el tiempo es una función crítica de la implementación de recuperación de desastres que puede permitirle proteger las copias de seguridad del ransomware.

La capacidad de restaurar un ordenador cifrado por el ransomware a un punto reciente en el tiempo, incluyendo cualquier dato del usuario almacenado localmente, puede ser una parte necesaria de una defensa en capas. El mismo enfoque puede aplicarse a los sistemas virtualizados, aunque suele haber opciones preferibles disponibles en el hipervisor.

Herramientas específicas del sistema de copias de seguridad como medio de protección adicional contra el ransomware

Si se opta por un enfoque ampliado del mismo problema de las copias de seguridad infectadas por ransomware, es posible -y aconsejable- utilizar las herramientas de los sistemas de copia de seguridad como medio adicional de protección contra el ataque. He aquí cinco buenas prácticas de copia de seguridad contra el ransomware, para proteger aún más a una empresa contra el ransomware:

  • Asegúrese de que las propias copias de seguridad están limpias de ransomware y/o malware. Comprobar que las copias de seguridad no están infectadas debería ser una de sus mayores prioridades, ya que toda la utilidad de las copias de seguridad como medida de protección contra el ransomware queda anulada si éstas se ven comprometidas por el ransomware. Realice parches regulares en el sistema para cerrar las vulnerabilidades del software, invierta en herramientas de detección de malware y actualícelas regularmente, e intente desconectar sus archivos multimedia lo antes posible después de cambiarlos. En algunos casos, podría considerar un enfoque WORM (Write-One-Read-Many) para proteger sus copias de seguridad del ransomware, un tipo de soporte específico que sólo se proporciona para ciertos tipos de cintas y discos ópticos, así como para algunos proveedores de almacenamiento en la nube.
  • No confíe en las copias de seguridad en la nube como único tipo de almacenamiento de seguridad. Aunque el almacenamiento en la nube tiene una serie de ventajas, no es completamente impermeable al ransomware. Aunque es más difícil que un atacante corrompa los datos físicamente, sigue siendo posible que los atacantes de ransomware accedan a sus datos, ya sea utilizando una infraestructura compartida del almacenamiento en la nube en su conjunto, o conectando dicho almacenamiento en la nube al dispositivo de un cliente infectado. Por eso es muy recomendable tener siempre una estrategia de copia de seguridad alternativa a la copia de seguridad en línea, y un medio y destino de copia de seguridad independiente en combinación con la nube, como una cinta fuera de las instalaciones. Al tener protecciones redundantes, podrá salvaguardar sus datos del ransomware. Recuerde también que una gran recuperación desde una fuente en la nube puede ser muy cara y lenta.
  • Revise y pruebe sus planes de recuperación y copia de seguridad existentes. Su plan de recuperación y de copias de seguridad debe probarse con regularidad para asegurarse de que está protegido contra las amenazas. Descubrir que su plan de recuperación no funciona como estaba previsto sólo después de un ataque de ransomware es claramente indeseable. La mejor estrategia de copia de seguridad contra el ransomware es la que nunca tendrá que lidiar con las violaciones de datos maliciosas. Trabaje en varios escenarios diferentes, compruebe el tiempo de algunos de sus resultados relacionados con la restauración, como el tiempo de recuperación, y establezca qué partes del sistema tienen prioridad por defecto. Recuerde que muchas empresas pueden -y deben- medir en dólares por minuto el coste de que los servicios estén fuera de servicio.
  • Aclare o actualice las políticas de retención y desarrolle calendarios de copias de seguridad. Se recomienda encarecidamente una revisión periódica de sus estrategias de copia de seguridad contra el ransomware. Puede ser que sus datos no se respalden con suficiente frecuencia, o que su período de retención de copias de seguridad sea demasiado pequeño, lo que hace que su sistema sea vulnerable a tipos más avanzados de ransomware que pueden dirigirse a las copias de seguridad a través de retrasos y otros medios de infección.
  • Audite minuciosamente todas sus ubicaciones de almacenamiento de datos. Para proteger las copias de seguridad del ransomware, éstas deben auditarse para asegurarse de que no se pierden datos y de que todo está respaldado correctamente, posiblemente incluyendo los sistemas de los usuarios finales, los almacenamientos en la nube, las aplicaciones y otro software del sistema.

Cómo el ransomware puede manipular sus copias de seguridad

Si bien es cierto que los sistemas de copia de seguridad y recuperación son capaces de proteger a las organizaciones contra el ransomware en la mayoría de los casos, estos sistemas no son los únicos que siguen progresando y evolucionando a lo largo de los años, porque el ransomware también se vuelve más y más inusual y sofisticado a medida que pasa el tiempo.

Uno de los problemas más recientes de todo este enfoque con las copias de seguridad es que ahora muchas variantes de ransomware han aprendido a apuntar y atacar no sólo los datos de la empresa en primer lugar, sino también las copias de seguridad de esa misma empresa – y esto es un problema importante para toda la industria. Muchos creadores de ransomware han modificado su malware para localizar y eliminar las copias de seguridad. Desde esta perspectiva, aunque las copias de seguridad pueden proteger sus datos contra el ransomware, también tendrá que proteger las copias de seguridad contra el ransomware.

Es posible averiguar algunos de los principales ángulos que suelen utilizarse para manipular sus copias de seguridad en su conjunto. Destacaremos los principales y le explicaremos cómo puede utilizarlos para proteger las copias de seguridad del ransomware:

  • El potencial de daño del ransomware aumenta con ciclos de recuperación más largos

Aunque no es tan obvio como otras posibilidades, el problema de los largos ciclos de recuperación sigue siendo bastante grande en la industria, y está causado sobre todo por productos de copia de seguridad anticuados que sólo pueden realizar lentas copias de seguridad completas. En estos casos, los ciclos de recuperación tras un ataque de ransomware pueden durar días, o incluso semanas, y es un desastre masivo para la mayoría de las empresas, ya que el tiempo de inactividad del sistema y los costes de paralización de la producción pueden eclipsar rápidamente las estimaciones iniciales de daños por ransomware.

Dos posibles soluciones en este caso para ayudar a proteger sus copias de seguridad contra el ransomware serían: a) intentar conseguir una solución que pueda proporcionarle una copia de todo su sistema lo más rápidamente posible, para que no tenga que pasar días o incluso semanas en modo de recuperación, y b) intentar conseguir una solución que ofrezca la restauración masiva como característica, consiguiendo que varias máquinas virtuales, bases de datos y servidores vuelvan a funcionar muy rápidamente.

  • Su póliza de seguro también puede convertirse en su responsabilidad

Como hemos mencionado antes, cada vez aparecen más variantes de ransomware que pueden dirigirse tanto a sus datos originales como a sus copias de seguridad, o incluso a veces intentan infectar y/o destruir los datos de las copias de seguridad antes de dirigirse a su origen. Por lo tanto, debe hacer que sea lo más difícil posible para el ransomware eliminar todas sus copias de seguridad: una especie de defensa de varias capas.

Los ciberdelincuentes están utilizando ataques muy sofisticados que tienen como objetivo los datos, yendo directamente a por sus copias de seguridad, ya que es su principal póliza de seguro para mantener su negocio en funcionamiento. Debería tener una única copia de los datos en un estado tal que nunca pueda ser montada por ningún sistema externo (a menudo denominada copia de seguridad inmutable), e implementar varias características de seguridad integral, como el ya mencionado WORM, así como el moderno aislamiento de datos, la encriptación de datos, la detección de manipulaciones y la supervisión de anomalías en el comportamiento de los datos.

Aquí hay dos medidas que podemos repasar con un poco más de detalle:

  • Copia de seguridad inmutable. La copia de seguridad inmutable es una de las mayores medidas contra los ataques de ransomware: es una copia de su copia de seguridad que no puede ser alterada de ninguna manera una vez que la ha creado. Existe únicamente para ser su principal fuente de datos si ha sido objeto de un ransomware y necesita que su información vuelva a estar como antes. Las copias de seguridad inmutables no pueden ser borradas, cambiadas, sobrescritas o modificadas de ninguna otra manera – sólo copiadas a otras fuentes. Las copias de seguridad inmutables son una defensa eficaz contra el ransomware porque, como su nombre indica, son inmutables. Algunos vendedores lanzan la inmutabilidad como algo infalible, pero en términos de copia de seguridad contra el ransomware, no existe tal cosa. Cualquier entorno de copia de seguridad puede ser vulnerable a ataques durmientes en los que el ransomware se infiltra en los datos y permanece inactivo durante un tiempo. Pero no debe temer los ataques de ransomware de copia de seguridad inmóvil. Sólo tiene que asegurarse de contar con una estrategia integral que incluya la detección y prevención de los ataques, y aplicar una sólida gestión de credenciales.
  • Cifrado de copias de seguridad. Resulta algo irónico que el cifrado se utilice también como una de las medidas para contrarrestar los ataques de ransomware, ya que gran parte del ransomware utiliza el cifrado para exigir un rescate por sus datos. El cifrado no hace que sus copias de seguridad sean a prueba de ransomware, y no evitará los exploits. Sin embargo, en su esencia, el cifrado de las copias de seguridad se supone que actúa como una medida más contra el ransomware, cifrando sus datos dentro de las copias de seguridad para que el ransomware no pueda leerlos o modificarlos en primer lugar – convierte sus datos estructurados en un revoltijo de símbolos que no pueden volver a su estado normal sin una clave de cifrado.
  • Los problemas de visibilidad de sus datos se convierten en una ventaja para el ransomware

Por su naturaleza, el ransomware es más peligroso cuando se introduce en un sistema mal gestionado, una especie de «datos oscuros». Ahí puede hacer mucho daño, un ataque de ransomware puede cifrar sus datos y/o venderlos en la web oscura. Se trata de un problema importante que requiere las tecnologías más punteras para detectarlo y combatirlo con eficacia.

Mientras que la detección temprana del ransomware es posible sólo con una solución moderna de gestión de datos y un buen sistema de copias de seguridad, la detección de este tipo de amenazas en tiempo real requiere una combinación de aprendizaje automático e inteligencia artificial, para que pueda recibir alertas sobre la actividad sospechosa del ransomware en tiempo real, haciendo que el descubrimiento del ataque sea mucho más rápido.

  • La fragmentación de los datos es una vulnerabilidad masiva

Está claro que muchas organizaciones manejan grandes cantidades de datos de forma habitual. Sin embargo, el tamaño no es tanto un problema como la fragmentación: no es raro que los datos de una empresa se encuentren en varias ubicaciones diferentes y utilicen varios tipos de almacenamiento distintos. La fragmentación también puede crear grandes cachés de datos secundarios (no siempre esenciales para las operaciones de la empresa) que pueden afectar a su capacidad de almacenamiento y hacerle más vulnerable.

Cada una de estas ubicaciones y tipos de copia de seguridad están añadiendo otro lugar potencial para que el ransomware explote sus datos, lo que hace que todo el sistema de la empresa sea aún más difícil de proteger en primer lugar. En este caso, es una buena recomendación contar con una solución de descubrimiento de datos que funcione dentro de su sistema, lo que aporta muchos beneficios diferentes, uno de los cuales es una mejor visibilidad de la totalidad de sus datos, lo que hace que sea mucho más fácil detectar las amenazas, la actividad inusual y las posibles vulnerabilidades.

  • Las credenciales de los usuarios pueden utilizarse varias veces para los ataques de ransomware

Las credenciales de usuario siempre han sido uno de los mayores problemas en este campo, ya que proporcionan a los atacantes de ransomware un claro acceso a los datos valiosos de su empresa, y no todas las empresas pueden siquiera detectar el robo en primer lugar. Si sus credenciales de usuario se ven comprometidas, los atacantes de ransomware pueden aprovechar los diferentes puertos abiertos y obtener acceso a sus dispositivos y aplicaciones. Toda la situación de las credenciales de usuario se agravó cuando, a causa de Covid, las empresas se vieron obligadas a cambiar en gran medida al trabajo remoto en 2019, y este problema sigue tan presente como siempre.

Según el Informe de investigación sobre violaciones de datos 2021 de Verizon, más del 60% de las violaciones de datos en un año se realizaron utilizando credenciales comprometidas. Estas vulnerabilidades también pueden afectar a sus copias de seguridad y dejarlas más expuestas al ransomware. Por lo general, la única manera de combatir este tipo de brecha en la seguridad es invertir en estrictos controles de acceso de los usuarios, incluyendo características como la autenticación multifactor, controles de acceso basados en roles, monitoreo constante, etc.

A medida que aumenta la amenaza del ransomware (tanto en frecuencia como en sofisticación), debe asegurarse de contar con una sólida verificación de identidad. Una simple contraseña de 8 caracteres puede ser descifrada en tan sólo una hora. A medida que aumente la velocidad de procesamiento de los ordenadores, este tiempo sólo se acortará. Si establece la identidad con un alto nivel de eficacia, podrá privar a los atacantes de ransomware de dañar sus datos de copia de seguridad.

  • Pruebe y vuelva a probar siempre sus copias de seguridad

Muchas empresas sólo se dan cuenta de que sus copias de seguridad han fallado o de que son demasiado difíciles de recuperar, después de haber sido víctimas de un ataque de ransomware. Si quiere asegurarse de que sus datos están protegidos, debería realizar siempre algún tipo de ejercicio regular y documentar los pasos exactos para crear y restaurar sus copias de seguridad.

Dado que algunos tipos de ransomware también pueden permanecer inactivos antes de encriptar su información, merece la pena comprobar regularmente todas sus copias de seguridad, ya que es posible que no sepa cuándo se produjo exactamente la infección. Recuerde que el ransomware sólo seguirá encontrando formas más complejas de esconderse y hacer que sus esfuerzos de recuperación de copias de seguridad sean más costosos.

Conclusión

Para una máxima protección de sus copias de seguridad contra el ransomware y otras amenazas similares, el firme consejo de Bacula Systems es que su organización cumpla plenamente con las mejores prácticas de copia de seguridad y recuperación de datos mencionadas anteriormente. Los métodos y herramientas descritos en esta entrada del blog son utilizados por los clientes de Bacula Systems de forma habitual para proteger sus copias de seguridad contra el ransomware. Para las empresas que no disponen de soluciones de copia de seguridad de datos de nivel avanzado, Bacula Systems insta a estas organizaciones a realizar una revisión completa de su estrategia de copia de seguridad y a evaluar una solución moderna de copia de seguridad y recuperación.

Descargue el libro blanco de Bacula sobre la protección contra el ransomware.

Sobre el autor
Rob Morrison
Rob Morrison es el director de marketing de Bacula Systems. Comenzó su carrera de marketing de TI con Silicon Graphics en Suiza, desempeñando con fuerza varios puestos de gestión de marketing durante casi 10 años. En los siguientes 10 años, Rob también ocupó varios puestos de gestión de marketing en JBoss, Red Hat y Pentaho, asegurando el crecimiento de la cuota de mercado de estas conocidas empresas. Se graduó en la Universidad de Plymouth y tiene una licenciatura en Medios Digitales y Comunicaciones, y completó un programa de estudios en el extranjero.
Deja un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *