Chat with us, powered by LiveChat
Solicitar precios
WW +41 21 641 6080 | US +1 800 256 0192 | CA +1 800 935 0725 | FR +33 261 880008 | UK +44 808 1890445
Contacto
Inicio > Sistemas de copias de seguridad para empresas > Protección Contra el Ransomware

Copias de seguridad a prueba de ransomware: proteja sus copias de seguridad contra el ransomware con Bacula Enterprise

Últimamente, las secuencias de los ataques de ransomware se centran primero en la infraestructura de copias de seguridad, ya que destruir las opciones de recuperación antes de activar el cifrado deja a las víctimas sin otra salida que pagar el rescate. El estudio «State of Ransomware 2024» de Sophos (elaborado a partir de una encuesta realizada a 5000 profesionales de TI y seguridad en 14 países) reveló que los atacantes intentaron comprometer los sistemas de copias de seguridad en el 94 % de los incidentes, y lo consiguieron en el 57 % de esos intentos. Dado que los costes de recuperación eran aproximadamente ocho veces mayores, las víctimas eran casi dos veces más propensas a pagar el rescate.

De hecho, la magnitud del problema no ha hecho más que aumentar durante el último año. El informe «Ransomware and Cyber Threat Report 2026» de GuidePoint Security registró un aumento interanual del 58 % en el número de víctimas de ransomware en 2025, con 7.515 organizaciones añadidas a sitios web de filtración de datos a lo largo del año. Esto convierte a 2025 en el año más activo de la historia en cuanto a ataques de ransomware.

Cuando los sistemas de copia de seguridad y de producción comparten credenciales, una sola cuenta comprometida afecta a ambos. Para proteger las copias de seguridad contra el ransomware, el entorno de copia de seguridad necesita su propio modelo de autenticación y un almacenamiento al que no puedan acceder las credenciales del lado de la producción.

Bacula Enterprise está diseñado para contrarrestar el compromiso de las copias de seguridad a nivel de arquitectura, y es la solución de copia de seguridad elegida por la NASA y algunas de las organizaciones militares más grandes del mundo. Sus componentes principales se ejecutan en Linux, lo que elimina del modelo de amenazas toda una clase de vectores de ransomware dirigidos a Windows.

El diseño de protección contra el ransomware de las copias de seguridad de Bacula se basa en cuentas de servicio aisladas, cifrado conforme a la norma FIPS 140-3, volúmenes de almacenamiento inmutables y BGuardian, un módulo para la supervisión avanzada de la seguridad y la detección de amenazas, con el fin de mantener los datos de las copias de seguridad intactos y recuperables incluso cuando el entorno de producción se ha visto totalmente comprometido.

 

#

 

Planifique su recuperación de desastres Informe sobre el ransomware

Cómo protege Bacula Enterprise las copias de seguridad frente al ransomware

Una arquitectura de copias de seguridad diseñada para garantizar la disponibilidad y la velocidad se comporta de manera muy diferente ante un ataque activo que en condiciones normales de funcionamiento. Bacula Enterprise está diseñado para mantener intactos los datos de las copias de seguridad ante un ataque activo, ejecutando sus componentes principales en una infraestructura independiente basada en Linux. El acceso al almacenamiento se gestiona a través de cuentas de servicio independientes, y todas las conexiones de red entre los componentes se han diseñado partiendo de la premisa de que cualquier nodo de la red podría estar ya comprometido.

Aislamiento arquitectónico

La arquitectura de Bacula está diseñada específicamente para bloquear las dos vías más habituales por las que el ransomware se introduce en un sistema de copias de seguridad (el acceso compartido a la red y las credenciales compartidas con el entorno de producción) mediante la segmentación de la red y el uso de cuentas de servicio totalmente aisladas.

  • Núcleo basado en Linux: El Director y el Storage Daemon de Bacula se ejecutan en Linux. La mayoría de las cargas útiles del ransomware están diseñadas para ejecutarse en Windows y recorrer rutas de archivos accesibles desde Windows. En un host Linux, esas cargas útiles carecen de entorno de ejecución.
  • Dirección de conexión invertida: El daemon de almacenamiento inicia las conexiones con el daemon de archivos (y no al revés); los equipos cliente no necesitan puertos de entrada abiertos hacia el sistema de copia de seguridad. Un atacante que se encuentre en un cliente comprometido no dispone de ningún servicio a la escucha al que conectarse desde el lado de la copia de seguridad.
  • Cuentas de servicio aisladas por defecto: La instalación predeterminada de Bacula ejecuta cada daemon bajo su propia cuenta de servicio restringida. Ninguna credencial de producción puede acceder al almacenamiento de copias de seguridad, y ninguna cuenta de servicio de copia de seguridad tiene permisos que excedan lo que requieren las operaciones de copia de seguridad.
  • Segmentación de red: Los servidores de copia de seguridad, incluido el Director, pueden ejecutarse en una VLAN separada a la que no se puede acceder desde los sistemas de producción. El movimiento lateral desde un host de producción comprometido se detiene en el límite de la red.

Almacenamiento inmutable y fuera de línea

El aislamiento arquitectónico limita el alcance de un atacante en la infraestructura de copias de seguridad. A su vez, el almacenamiento inmutable y fuera de línea limita el daño que un atacante puede causar a los datos de las copias de seguridad en caso de que se produzca una brecha en el aislamiento.

  • Volúmenes de disco inmutables: Bacula admite volúmenes de disco con bloqueo de escritura que no pueden modificarse ni eliminarse una vez grabados, ni siquiera por una cuenta con credenciales del servicio de copias de seguridad.
  • Inmutabilidad NFS a través de NetApp SnapLock: Para las organizaciones que utilizan almacenamiento NetApp, Bacula se integra con SnapLock para garantizar la inmutabilidad a nivel del hardware de almacenamiento, fuera del alcance de cualquier ataque a la capa de software.
  • Inmutabilidad de HPE StoreOnce: Bacula admite la protección contra escritura impuesta por hardware en los dispositivos HPE StoreOnce para las organizaciones que se encuentran en ese ecosistema de almacenamiento.
  • Cinta aislada físicamente: Los volúmenes de cinta expulsados de la biblioteca y almacenados fuera de línea son físicamente inaccesibles para cualquier ataque basado en la red. La compatibilidad con cintas de Bacula abarca una amplia gama de cambiadores automáticos y hardware LTO, y las cintas se pueden etiquetar, archivar y gestionar mediante las herramientas integradas de Bacula.
  • Tareas de copia de seguridad: El mecanismo de tareas de copia de seguridad de Bacula escribe puntos de restauración en un destino de almacenamiento independiente bajo una política de retención diferente a la de la tarea de copia de seguridad principal. La tarea de copia se ejecuta de forma independiente, con sus propias credenciales de almacenamiento y su propia ruta de acceso. Un conjunto de copia de seguridad principal dañado o eliminado no afecta a los puntos de restauración de la tarea de copia.

Detección activa de amenazas con BGuardian

Los operadores de ransomware actuales pasan semanas dentro de una red identificando la infraestructura de copias de seguridad y probando credenciales antes de activar la carga útil de cifrado, muy por debajo del umbral de actividad que detecta la supervisión estándar. BGuardian es un complemento de Bacula Director que realiza análisis estadísticos y de configuración en todo el entorno de Bacula mediante una tarea de administración programada. Genera informes en formato HTML y JSON con un marco de alertas persistente que distingue los problemas recién detectados de los ya registrados en ejecuciones anteriores.

  • Detección de desviaciones en las copias de seguridad: Cuando el ransomware comienza a cifrar archivos en un sistema de origen antes de que se ejecute una copia de seguridad, la tarea captura menos datos de los que predice su referencia estadística. BGuardian detecta esto mediante un análisis de regresión en tres ejes por tarea: bytes procesados, número de archivos y duración de la tarea. A los resultados que se desvían significativamente de la referencia calculada se les asigna un nivel de gravedad (Alto, Medio o Bajo) y se marcan para su revisión.
  • Informes de tareas sobre malware y ransomware: El servicio de infección de BGuardian informa de todas las tareas de copia de seguridad en las que la capa de protección contra malware de Bacula ha detectado ransomware o malware durante la ejecución. Cada detección genera una alerta persistente vinculada al cliente específico, el nombre de la tarea y el ID de la misma, siendo la respuesta recomendada el aislamiento inmediato de la red del host afectado antes de que se ejecute cualquier tarea de copia de seguridad posterior en él.
  • Supervisión de eventos de seguridad: El servicio securityevents de BGuardian consulta el registro de eventos interno de Bacula en busca de entradas clasificadas en la categoría de seguridad, incluidos los intentos fallidos de autenticación de bconsole contra el Director. Un patrón de conexiones fallidas al Director es un indicador de enumeración de credenciales contra el plano de gestión de copias de seguridad, y BGuardian muestra esas entradas en el mismo ciclo de informes que el resto de su análisis, en lugar de requerir un proceso de revisión de registros independiente.
  • Evaluación de la configuración de seguridad: En cada ejecución, BGuardian audita la configuración completa de Director comparándola con una referencia de seguridad documentada, verificando aspectos como contraseñas de demonios débiles o duplicadas, demonios que se ejecutan con privilegios de usuario root y destinos de almacenamiento en la nube sin cifrar. A cada hallazgo se le asigna un código de alerta para que los administradores puedan escalar o suprimir elementos individuales sin perder la visibilidad sobre los demás.
  • Detección de fallos consecutivos: El servicio failedinarow de BGuardian identifica los trabajos que han fallado consecutivamente más de un número configurable de veces. Los fallos consecutivos en un cliente específico o en un daemon de almacenamiento se diferencian operativamente de los errores transitorios aleatorios y justifican una investigación para determinar si se ha detenido un servicio, si un destino de almacenamiento ha dejado de ser accesible o si un componente está sufriendo una interferencia activa.

*BGuardian está disponible a partir de Bacula Enterprise 16.0.12 y se puede implementar en cualquier plataforma en la que se pueda instalar Bacula Director.

Cifrado en toda la pila

Una interceptación de red o un dispositivo de almacenamiento comprometido solo resulta útil para un atacante si los datos que se revelan son legibles. Bacula cifra los datos de copia de seguridad de forma independiente a nivel de los componentes, a nivel de red y a nivel de almacenamiento. Una brecha en cualquiera de estas capas no permite al atacante acceder a datos utilizables.

  • Conforme a la norma FIPS 140-3: Bacula cumple con la norma federal de cifrado utilizada por el Gobierno de los Estados Unidos y las organizaciones militares.
  • AES 128, AES 192 y AES 256: El nivel de cifrado se puede configurar para cada cliente. Las organizaciones pueden aplicar algoritmos de cifrado más robustos a las cargas de trabajo más sensibles sin que ello suponga una sobrecarga computacional uniforme en todo el entorno.
  • TLS para todas las comunicaciones entre componentes: El tráfico de red entre el Director, el daemon de almacenamiento y el daemon de archivos se transmite a través de TLS de forma predeterminada. Los datos de copia de seguridad en tránsito se cifran incluso en redes en las que se ha interceptado otro tipo de tráfico.
  • Cifrado del daemon de almacenamiento: Los datos que se escriben en la nube o en un almacenamiento en disco se cifran en el daemon de almacenamiento antes de salir de la infraestructura de copia de seguridad. El destino de almacenamiento solo recibe texto cifrado. Un atacante que consiga acceder al medio de almacenamiento no podrá acceder a los datos subyacentes sin la clave de cifrado.
  • Cifrado granular para almacenamiento no confiable: Para destinos de copia de seguridad fuera del control directo de la organización, Bacula aplica cifrado por almacenamiento. Una cuenta en la nube comprometida o un sistema de almacenamiento de terceros no expone datos de copia de seguridad legibles.

Características principales de la protección de copias de seguridad contra el ransomware

  • Volúmenes de almacenamiento inmutables: Los datos de copia de seguridad grabados en disco, NAS o almacenamiento de objetos pueden bloquearse para impedir su modificación o eliminación a nivel de volumen, lo que significa que un atacante con credenciales válidas del servicio de copia de seguridad no puede sobrescribir ni destruir los puntos de recuperación.
  • Compatibilidad con cintas aisladas físicamente: Los volúmenes de cinta extraídos de la biblioteca y almacenados fuera de línea son físicamente inaccesibles para cualquier ataque basado en la red. En consecuencia, las organizaciones disponen de una vía de recuperación que ningún robo de credenciales ni intrusión en la red puede eliminar.
  • Cifrado AES por cliente: Los datos de copia de seguridad se cifran con AES 128, AES 192 o AES 256 por cliente, por lo que una violación de cualquier destino de almacenamiento concreto solo expone los datos de ese cliente. El resto del entorno de copias de seguridad permanece protegido.
  • Detección de amenazas de BGuardian: BGuardian ejecuta análisis de desviaciones estadísticas, informes de detección de malware y evaluaciones de configuración segura de forma diaria. Las anomalías que indican actividad activa de ransomware o controles de acceso mal configurados aparecen en los informes de BGuardian antes de que el ransomware llegue a los datos de copia de seguridad.
  • Autenticación multifactorial y OTP: La autenticación multifactorial (MFA) protege las interfaces de gestión de Bacula, y la autenticación mediante contraseña de un solo uso (OTP) está disponible para acceder a BWeb a través de las funciones biométricas de los teléfonos inteligentes. El mero hecho de que una contraseña haya sido comprometida no es suficiente para acceder al plano de gestión de copias de seguridad.
  • Detección silenciosa de corrupción de datos: Bacula compara los datos de las copias de seguridad existentes con sus firmas originales y detecta los volúmenes en los que los datos se han degradado a nivel de almacenamiento sin que se produzca un error de escritura visible.
  • Integración con SIEM: Bacula canaliza los eventos de seguridad hacia plataformas SIEM externas. La actividad de la infraestructura de copias de seguridad pasa a ser visible dentro de los flujos de trabajo de supervisión de seguridad y respuesta a incidentes de la organización, y ya no queda fuera del alcance del SOC.
  • Verificación de copias de seguridad SHA256 y SHA512: Los trabajos de verificación de Bacula calculan firmas SHA256 o SHA512 comparándolas con los archivos catalogados previamente. Cualquier discrepancia en la firma indica que un archivo se ha modificado entre ejecuciones de copia de seguridad. Los administradores obtienen una detección a nivel de archivo de los cambios no autorizados sin necesidad de ejecutar una herramienta de integridad independiente.

Bacula Enterprise: cobertura completa de plataformas

Seguridad y cumplimiento normativo de las copias de seguridad

Bacula Enterprise integra controles de seguridad en cada capa de la pila de copias de seguridad, desde el transporte de datos hasta el destino de almacenamiento, por lo que su arquitectura de copias de seguridad a prueba de ransomware no requiere herramientas de seguridad de terceros para lograr lo siguiente:

  • Copias de seguridad inmutables. El almacenamiento compatible con WORM bloquea los datos de las copias de seguridad para impedir su modificación o eliminación una vez grabados. No existe ninguna ruta accesible a través de la red hacia los puntos de recuperación para un atacante que posea credenciales de servicio válidas.
  • Cifrado AES por cliente. Configurable en AES 128, AES 192 o AES 256 por cliente, desde el origen hasta el destino de almacenamiento. Si se produce una brecha en un destino de almacenamiento, solo quedan expuestos los datos de ese cliente, no todo el conjunto de copias de seguridad.
  • Cumplimiento de la norma FIPS 140-3. Los módulos criptográficos cumplen la norma federal exigida por organizaciones gubernamentales y militares en todos los daemons compatibles.
  • Controles de acceso granulares. Los permisos de los usuarios se limitan a trabajos específicos, flujos de trabajo de restauración y funciones de gestión. Ninguna cuenta individual tiene un alcance innecesario en el entorno de copia de seguridad.
  • Auditoría completa de la actividad. Cada copia de seguridad, restauración y cambio de configuración se registra con la identidad del usuario y la marca de tiempo. Los equipos de seguridad obtienen un registro de auditoría ininterrumpido para la investigación de incidentes y la revisión del cumplimiento normativo.
  • Integración con SIEM. Los eventos de seguridad de la infraestructura de copias de seguridad se transmiten a plataformas SIEM externas, incorporando la capa de copias de seguridad a los flujos de trabajo de respuesta a incidentes existentes de la organización, en lugar de dejarla como un punto ciego fuera del SOC.
  • Compatibilidad con el marco normativo. Los controles de la plataforma se ajustan a los requisitos del RGPD, la HIPAA, SOC 2, PCI DSS y el NIST mediante cifrado, políticas de retención configurables y registros de auditoría detallados.

Almacenamiento y recuperación

Una estrategia de copias de seguridad contra el ransomware fracasa si la propia recuperación es lenta, no se ha probado o se limita a una única vía. Bacula ofrece a los administradores múltiples opciones de recuperación independientes, de modo que ningún punto único de fallo impida la capacidad de restauración:

  • Cinta aislada físicamente. Los volúmenes de cinta expulsados de la biblioteca y almacenados fuera de línea son físicamente inaccesibles para cualquier ataque basado en la red. Ningún robo de credenciales, por grave que sea, afecta a una cinta expulsada.
  • Tareas de copia de seguridad. Los puntos de restauración se escriben en un destino de almacenamiento independiente con credenciales propias y una política de retención diferente. Un conjunto de copias de seguridad primario dañado o eliminado no afecta a los puntos de restauración de la tarea de copia.
  • Recuperación completa del sistema. Bacula recupera un servidor completo desde cero, incluyendo el sistema operativo, las aplicaciones y los datos, sin necesidad de una instalación manual previa. Se admiten tanto sistemas Linux como Windows, con soporte para UEFI y EFI.
  • Múltiples tipos de destinos de almacenamiento. Las copias de seguridad se escriben en discos locales, NAS, SAN, bibliotecas de cintas y almacenamiento de objetos en la nube, incluyendo S3, Azure y Google Cloud, dentro de una única política. Las organizaciones implementan la regla 3-2-1-1 sin necesidad de gestionar herramientas separadas para cada destino.
  • Flujos de trabajo de almacenamiento por niveles. Los datos de copia de seguridad se mueven automáticamente entre los niveles de almacenamiento a medida que envejecen, manteniendo los puntos de recuperación recientes en almacenamiento rápido, mientras que los datos más antiguos se trasladan a destinos de menor coste o fuera de línea.
  • Replicación geográfica de copias de seguridad. Los conjuntos de copias de seguridad se copian a ubicaciones de almacenamiento geográficamente separadas. Una interrupción en todo el sitio no afecta a los puntos de recuperación.
  • Validación automatizada de la restauración. La capacidad de recuperación se confirma mediante pruebas automatizadas. Los administradores de copias de seguridad saben que los puntos de recuperación son utilizables antes de que un incidente plantee la cuestión.

Cobertura multientorno

El ransomware no distingue entre tipos de cargas de trabajo. Bacula protege servidores físicos, máquinas virtuales, contenedores, bases de datos e infraestructura en la nube mediante un único motor de políticas y un único registro de auditoría:

  • Virtualización multiplataforma. La integración nativa abarca VMware vSphere, Hyper-V, KVM, Red Hat Virtualization, Xen, Azure VM, Proxmox, Nutanix AHV y OpenStack, con una aplicación coherente de las políticas en todos los hipervisores.
  • Compatibilidad con contenedores y entornos nativos de la nube. Protección completa para entornos Docker, Kubernetes y OpenShift, que abarca volúmenes persistentes e instantáneas coherentes con las aplicaciones.
  • Copia de seguridad de bases de datos. La compatibilidad con copias de seguridad en caliente abarca Oracle, SQL Server, MySQL, PostgreSQL, SAP HANA, MariaDB, Percona e IBM DB2 con total coherencia transaccional. Las copias de seguridad de bases de datos son fiables para la recuperación, no solo para el almacenamiento.
  • Protección de aplicaciones SaaS. Microsoft 365, Google Workspace y Exchange Online están protegidos con capacidad de restauración granular que llega hasta el nivel de correos electrónicos y entradas de calendario individuales.
  • Integración de almacenamiento multinube. La compatibilidad nativa abarca las interfaces de S3, Azure, Google Cloud, Oracle Cloud y Glacier. Las organizaciones no quedan limitadas a un único proveedor de nube para el almacenamiento de copias de seguridad.
  • Entorno Windows. El sistema de cifrado de archivos de Windows, Microsoft VSS con MS SQL Server y Exchange, Active Directory y las instantáneas de puntos de montaje quedan cubiertos por un único agente de Windows.

Gestión y administración de copias de seguridad

  • BWeb Management Suite. La interfaz gráfica de usuario (GUI) web principal de Bacula permite gestionar la configuración de tareas, la supervisión, la generación de informes y el análisis de seguridad en todo el entorno de copias de seguridad desde una única interfaz.
  • Escalabilidad sin límites. La misma arquitectura de plataforma gestiona entornos que van desde unos pocos servidores hasta implementaciones de miles de servidores, todo ello bajo un único plano de gestión.
  • Aislamiento de inquilinos. Los MSP y las grandes empresas dividen el entorno de copias de seguridad en unidades administradas de forma independiente. Cada unidad cuenta con su propia configuración, políticas y controles de acceso.
  • Integración con sistemas externos. Bacula se conecta a herramientas de supervisión, sistemas de tickets de TI y servicios de directorio, incluidos LDAP y Active Directory. No se requiere ningún desarrollo personalizado.
  • Licencias independientes del volumen. Las tarifas de licencia se basan en el tamaño del entorno, no en el volumen de datos. La capacidad de copia de seguridad crece sin que ello suponga un aumento de los costes.

Prácticas recomendadas para las copias de seguridad frente al ransomware

  • Siga la regla 3-2-1-1: Conserve tres copias de los datos en dos tipos de soportes diferentes, con una copia fuera de las instalaciones y otra fuera de línea. La copia fuera de línea es la que sobrevivirá a un ataque que comprometa por completo la red. *Bacula gestiona estos cuatro requisitos desde un único motor de políticas.
  • Aísle las credenciales de copia de seguridad de las de producción: Ejecute los demonios de copia de seguridad bajo cuentas de servicio que existan exclusivamente para operaciones de copia de seguridad, sin solapamiento con las credenciales de producción. Una cuenta de producción que resulte comprometida no debe tener acceso alguno al almacenamiento de copias de seguridad. Bacula lo hace de forma predeterminada ejecutando cada demonio bajo su propia cuenta de servicio restringida.
  • No confunda las instantáneas de almacenamiento con copias de seguridad a prueba de ransomware: Las instantáneas carecen de una gestión de retención independiente y almacenan todos los datos en el mismo sistema que los datos primarios. Cualquier ataque que alcance el almacenamiento primario también alcanzará las instantáneas. Son una herramienta de recuperación útil para el borrado accidental, no un sustituto de las copias de seguridad aisladas y autenticadas de forma independiente.
  • Nunca confíe en las diferencias entre sistemas de archivos como límite de seguridad: Un sistema de archivos al que el ransomware actual no pueda acceder puede que no sea inaccesible para el de mañana. La seguridad no debe basarse en la suposición de que un atacante no puede atravesar un protocolo o tipo de sistema de archivos concreto. Debe provenir del control de acceso y la autenticación.
  • Ejecute BGuardian según una programación diaria: BGuardian detecta indicadores de contaminación de copias de seguridad, vulnerabilidades de configuración y comportamientos anómalos en las tareas antes de que se conviertan en un fallo total de la recuperación. Prográmelo como una tarea de administración de Bacula para que se ejecute fuera de las horas punta y revise sus informes como parte de la rutina operativa habitual.
  • Pruebe las restauraciones con regularidad: Una copia de seguridad que nunca se ha restaurado es una suposición sin comprobar. Ejecute tareas de restauración periódicamente en diferentes tipos de clientes y destinos de almacenamiento. El servicio restorefrequency de BGuardian señala las tareas cuya frecuencia de restauración ha caído por debajo de un umbral configurable, de modo que las lagunas en las pruebas de restauración no pasen desapercibidas.
  • Cifre los datos de copia de seguridad antes de que salgan de la infraestructura de copia de seguridad: El cifrado de Storage Daemon implica que el destino de almacenamiento solo recibe texto cifrado. Una cuenta en la nube o un sistema de almacenamiento de terceros comprometidos no exponen datos legibles. Aplique el cifrado a cualquier destino de almacenamiento fuera del control directo de la organización.

Preguntas frecuentes

¿Qué es la protección contra el ransomware en las copias de seguridad?

La protección contra el ransomware en las copias de seguridad se refiere a las medidas arquitectónicas y operativas que garantizan la recuperabilidad de los datos de copia de seguridad tras un ataque de ransomware. Los operadores de ransomware modernos atacan la infraestructura de copias de seguridad antes de activar la carga útil de cifrado, por lo que la protección requiere un almacenamiento que no pueda ser modificado ni eliminado por un atacante, una autenticación independiente de las credenciales de producción y una supervisión activa que detecte los indicadores de ransomware antes de que alcancen los datos de copia de seguridad.

¿Analiza Bacula los datos de copia de seguridad en busca de malware?

Sí. El servicio de detección de infecciones de BGuardian informa de cada trabajo en el que la capa de protección contra malware de Bacula haya detectado ransomware o malware durante la ejecución, generando una alerta persistente vinculada al cliente específico, el nombre del trabajo y el ID del trabajo, de modo que los administradores sepan exactamente qué sistema se ha visto afectado antes de que se ejecute el siguiente trabajo de copia de seguridad en él.

¿Qué es la regla de copia de seguridad 3-2-1-1?

La regla 3-2-1 consiste en mantener tres copias de los datos en dos tipos de soportes diferentes, con una copia fuera de las instalaciones. En la era del ransomware, Bacula recomienda añadir un cuarto requisito: una copia debe estar fuera de línea y físicamente inaccesible para cualquier ataque basado en la red. Los volúmenes de cinta expulsados de la biblioteca y almacenados fuera de las instalaciones satisfacen este requisito y proporcionan a las organizaciones una vía de recuperación que ningún compromiso de credenciales ni intrusión en la red puede eliminar.

¿Qué debo hacer si mis copias de seguridad están infectadas con ransomware?

Aísle inmediatamente los sistemas afectados de la red para detener la propagación antes de ejecutar cualquier operación de restauración. Compruebe si su solución de copia de seguridad cuenta con copias inmutables o aisladas físicamente (air-gapped) a las que no se pudo acceder durante el ataque, ya que esos son sus puntos de recuperación más limpios. Verifique la integridad de la copia de seguridad antes de restaurar, ya que restaurar desde una copia de seguridad comprometida reintroduce la infección. Si su plataforma de copias de seguridad incluye detección de malware, revise sus informes para identificar exactamente qué tareas y clientes se vieron afectados antes de decidir qué puntos de restauración son seguros de utilizar.

¿Cuánto tiempo lleva la recuperación tras un ataque de ransomware?

El tiempo de recuperación depende de qué parte de la infraestructura de copias de seguridad se vio comprometida y de lo bien que se preparó la ruta de recuperación antes del ataque. La investigación de Sophos de 2024 reveló que las organizaciones cuyas copias de seguridad se vieron comprometidas tenían muchas menos probabilidades de recuperarse en una semana en comparación con aquellas cuyas copias de seguridad permanecieron intactas. Las organizaciones que cuentan con procedimientos de recuperación de sistema completo probados, puntos de restauración limpios fuera de línea y validación de restauración automatizada suelen recuperarse mucho más rápido que aquellas que reconstruyen su entorno desde cero.

¿Puede el ransomware cifrar o eliminar los datos de las copias de seguridad de Bacula?

No, si se ha configurado el almacenamiento inmutable. Bacula admite volúmenes de disco con bloqueo de escritura, inmutabilidad NFS a través de NetApp SnapLock e inmutabilidad de hardware HPE StoreOnce, todos los cuales bloquean la modificación o eliminación a través de cualquier operación accesible desde la red, incluidas las operaciones realizadas con credenciales válidas del servicio de copia de seguridad. Los volúmenes de cinta aislados físicamente (air-gapped) expulsados de la biblioteca añaden una capa física a la que ningún ataque basado en la red puede acceder, independientemente de las credenciales que posea el atacante.

¿Cómo identifica Bacula la actividad del ransomware antes de que corrompa los datos de copia de seguridad?

BGuardian ejecuta un análisis de desviación estadística en cada trabajo de copia de seguridad, midiendo los bytes procesados, el recuento de archivos y la duración del trabajo en comparación con la línea de base histórica de cada trabajo. Una disminución en los bytes procesados es un indicador documentado previo al cifrado: los archivos del sistema de origen ya estaban cifrados antes de que se ejecutara el trabajo, por lo que este capturó menos datos de los que predice la línea de base. BGuardian marca la desviación con una calificación de gravedad y genera una alerta persistente con marca de tiempo.

¿Un servidor de producción comprometido da acceso a Bacula a un atacante?

No. El daemon de almacenamiento inicia las conexiones con el daemon de archivos, por lo que un cliente comprometido no tiene ningún servicio a la escucha en el lado de la copia de seguridad al que pueda acceder. Cada daemon se ejecuta bajo su propia cuenta de servicio aislada, lo que significa que las credenciales de producción no tienen permisos dentro del entorno de copia de seguridad.

¿Cumple Bacula Enterprise con la norma FIPS 140-3?

Sí. Los módulos criptográficos de Bacula cumplen con la norma FIPS 140-3 en todos los daemons compatibles. BGuardian supervisa activamente el estado de FIPS en el Director, los daemons de almacenamiento y los daemons de archivos, y señala cualquier daemon en el que el modo FIPS no esté activo.

¿Pueden las copias de seguridad de Bacula sobrevivir a una amenaza interna?

Sí. Cada acceso y cambio de configuración se registra con la identidad del usuario y la marca de tiempo. Esto proporciona a los equipos de seguridad un registro de auditoría forense para identificar exactamente qué cuenta realizó qué acción y cuándo. Los controles de acceso granulares de Bacula limitan los permisos a trabajos específicos y flujos de trabajo de restauración, por lo que ninguna cuenta de administrador tiene un alcance innecesario en el entorno de copia de seguridad.

¿Se integra Bacula con herramientas externas de monitorización de seguridad?

Sí. Bacula envía eventos de seguridad a plataformas SIEM, incorporando eventos de Director, intentos de autenticación fallidos y alertas de BGuardian a los flujos de trabajo de respuesta a incidentes existentes de la organización. La infraestructura de copias de seguridad suele ser un punto ciego en la cobertura del SOC y esta integración lo elimina.

También puede interesarle:
backup programas
copia de seguridad incremental y diferencial
copia de seguridad en cinta