Los ataques de ransomware representan una seria amenaza hacia las organizaciones e individuos en todo el mundo. Principalmente, porque las pérdidas operativas y financieras que pueden causar suelen ser significativas, además del daño en la reputación de una organización de cara a sus clientes.

 

Asumiendo que una empresa ha protegido su infraestructura con soluciones recomendadas de seguridad, el enfoque de este documento es presentar las mejores prácticas de respaldo y recuperación ante desastres para mitigar los riesgos de hackeo y la pérdida de información en entornos de TI. Abordaremos estadísticas relacionadas con la ciberseguridad, recomendaciones arquitectónicas y soluciones para implementar en entornos on-premise, híbridos y en la nube.

 

  1. Riesgos de hackeo y pérdida de información – Los antecedentes

De acuerdo con un reporte reciente de Forrester con respecto a la resiliencia de la infraestructura de las empresas, los atacantes externos e internos representan la segunda razón más común de fallas ocasionadas por individuos, en donde el ransomware constituye el 27% de todas las afectaciones atribuidas al malware.

1.1         Amenazas actuales

La habilidad de los atacantes ha ido aumentando con el tiempo, al igual que la efectividad de las herramientas de ransomware que utilizan. Entre las amenazas que han causado más afectaciones en los últimos años se encuentran BitPaymer, Cryptolocker, DarkSite, Dharma, DoppelPaymer, GrandCrab, Maze, MedusaLocker, NetWalker o NotPetya, por nombrar solo algunas.

La forma de ataque de todas estas herramientas -el cifrado de archivos- generalmente va asociada al aprovechamiento de puntos débiles en los blancos elegidos por su atacante, tal como lo pueden ser servidores no parchados, vulnerabilidades en protocolos de comunicación o navegadores web, o incluso, entrega no voluntaria de credenciales como consecuencia de phishing.

Un estudio conducido en 2021 sobre 1263 empresas encontró que el 80% de las víctimas que realizaron un pago para recuperar sus datos sufrieron un nuevo ataque poco tiempo después, y que el 46% de los que obtuvo acceso a su información, encontró posteriormente que estaba corrupta o incompleta.

 

1.2         Consecuencias de un hackeo o pérdida de datos

De acuerdo con Statista Research Service, solo en la segunda mitad de 2022 se reportaron cerca de 155 millones de casos de ransomware en todo el mundo, lo cual representó más de USD 250 millones en daños para las empresas afectadas.

Además, según un estudio realizado por Sophos en 2021, se encontró que el 37% de todas las empresas participantes sufrieron un ataque de ransomware. En ese mismo año, se registró el mayor pago realizado por una compañía de seguros después de un ataque de ransomware con USD 40 millones, mientras que el mayor valor en general ha sido de USD 70 millones.

De hecho, en mayo de 2021, la compañía de soluciones de energía Colonial Pipeline sufrió un ataque de ransomware que los obligó a cerrar su sistema, lo cual implicó la interrupción de las operaciones de su oleoducto. Posteriormente, se reportó que la empresa sufrió el robo de aproximadamente 100 GB de información y tuvo que pagar alrededor de USD 5 millones a un actor asociado al malware DarkSide.

En mayo de 2022, un ataque de ransomware afectó cerca de 30 instituciones del gobierno de Costa Rica, incluyendo sus ministerios de hacienda, salud, ciencia y tecnología, el Instituto Nacional Meteorológico, entre otros. Varias páginas web fueron removidas de la red y los sistemas utilizados para declaración de impuestos fueron afectados, al igual que las operaciones de control de importaciones y exportaciones, causando un estimado de USD 30 millones en pérdidas por día.

 

  1. Soluciones recomendadas por tipo de arquitectura

 

2.1         Identificación de activos críticos

Toda estrategia de recuperación empieza por identificar aquellos recursos sin los cuales la operación de una empresa se pueda ver interrumpida o afectada. Por dicha razón, es importante definir -desde los niveles jerárquicos más altos- los objetivos principales del negocio y entender lo que representa en términos económicos y de reputación la falla de sus activos tecnológicos y su impacto a corto y mediano plazo.

En base a esta premisa, se puede seleccionar el conjunto de herramientas más adecuado para proteger la infraestructura de una organización según su plataforma, ubicación (on-premises, en la nube), modelo (IaaS, PaaS, SaaS), entre otros parámetros.

Una herramienta de protección con capacidades para realizar un inventario de hardware y software puede darnos una idea del mundo de activos a proteger. Esto, sumado a la capacidad de agrupar recursos según criterios definidos por el negocio, se puede utilizar para priorizar ciertas cargas de trabajo sobre otras.

 

2.2         Respaldo

De acuerdo con los activos identificados en el punto anterior -así como con su ubicación respectiva-, y con los tiempos de recuperación definidos en el plan de continuidad de negocio, ciertas herramientas pueden ofrecer capacidades de recuperación más idóneas para ciertos escenarios:

Microsoft 365 y Google Workspace: en el caso de esta y otras plataformas de colaboración, soluciones como Veeam Backup para Microsoft 365, Acronis Cyber Protect Cloud, AvePoint Cloud Backup, HornetSecurity, Dropsuite, o Nexetic, permiten hacer un respaldo frecuente de la información contenida en los buzones de correo de los usuarios, archivos almacenados en la nube y conversaciones. Posteriormente, en caso de un incidente, se puede realizar la restauración granular de los mensajes o documentos de los usuarios afectados.

Nube públicy privada: para las empresas que tienen toda o parte de su infraestructura en una nube pública como Microsoft Azure o AWS, existen soluciones provistas por los mismos proveedores como Azure Backup y AWS Backup que permiten proteger los tipos de recursos específicos de cada plataforma. Adicionalmente, soluciones de terceros como Acronis Cyber Protect Cloud, Veeam Backup and Replication, o AvePoint Cloud

Backup permiten proteger máquinas virtuales y/o también servidores on-premises y utilizar como ubicación de los respaldos espacios de almacenamiento en la nube o locales.

Como una práctica recomendada de la industria, para que el proceso de respaldo sea más seguro, se recomienda aplicar la estrategia 3-2-1, es decir, tener tres copias de la información, en dos medios de almacenamiento diferentes, y una copia en un sitio externo si es posible, off-line.

 

2.3         Recuperación de desastres

Para poder acceder a tiempos de recuperación más cortos, una estrategia más adecuada es poder contar con un sitio de contingencia que permita retomar la operación del negocio con una infraestructura que ha sido previamente replicada a partir del centro de datos principal de la organización. En este caso, soluciones como Azure Site Recovery, AWS Elastic Disaster Recovery, Acronis Cyber Protect Cloud, o Veeam Backup y Replication pueden realizar una copia exacta de todos los servidores en un centro de datos local o en la nube y ponerlos en operación desde una ubicación remota, pública o privada, en minutos.

Muchas de estas herramientas también permiten la organización de las tareas de recuperación de la infraestructura ante una emergencia, incluso, llegando a automatizar ciertos pasos, para que el proceso sea sencillo de aplicar, sin tener conocimientos avanzados de la arquitectura protegida.

En caso de un desastre que requiera el levantamiento de un sitio alterno para proporcionar continuidad a las operaciones de negocio, también hay que tomar en cuenta la conectividad. Es decir que la red entre los usuarios finales (internos y externos) debe tener también la redundancia adecuada para acompañar al proceso de recuperación. 

 

2.4         Planes de respuesta

Para que una organización esté preparada para recuperarse rápidamente de un ataque y volver a brindar servicios después de una interrupción de sus operaciones, es necesario desarrollar un plan de respuesta integral, el cual debe considerar varios puntos:

  1. Proveedores y terceros: incluir en la estrategia de recuperación del negocio todos los sistemas y servicios contratados con externos que puedan ser críticos o que tengan acceso a la información interna. Se debería solicitar información de los planes de continuidad de los proveedores, sus SLAs y puntos de contacto para complementar el plan de respuesta.
  1. Pruebas de fallas: todo plan de recuperación debe incluir pruebas periódicas, al menos una cada año, o de acuerdo con el tipo y requerimientos del negocio. Durante este proceso, se debe verificar que los sistemas protegidos puedan ser accedidos por los usuarios afectados y documentar todos aquellos procedimientos y modificaciones que se deban realizar para acelerar la transición hacia un sitio de contingencia.
  1. Plan de comunicación: tanto durante la fase de pruebas como en la documentación del plan de contingencia, hay que incluir las comunicaciones oportunas tanto a usuarios internos, stakeholders, clientes externos e incluso a autoridades legales según el caso.
  1. Capacitación y concientización: los empleados de una organización deben conocer los mecanismos para reportar actividades sospechosas que puedan estar relacionadas con un ataque de ransomware. Así mismo, el personal de TI debe estar capacitado para conocer qué acciones tomar en una situación real.

Durante las pruebas de fallas, las herramientas de respaldo, la recuperación de desastres, y los planes de comunicación y conocimiento de usuarios y personal de TI se validan para identificar puntos de mejora y realizar las correcciones respectivas al proceso.

 

  1. Próximos pasos a seguir

 

Si estás interesado en proteger tu infraestructura para poder recuperarte rápidamente ante un ataque de ransomware, te sugerimos los siguientes pasos:

 

  1. Empieza por identificar, junto con los principales stakeholders de la organización cuál es el impacto de la pérdida de información o caída de servicios y la infraestructura tecnológica más crítica en cada caso.
  2. Busca los tipos de soluciones más adecuados para poder proteger los activos identificados en el punto anterior.
  3. Selecciona la herramienta adecuada dependiendo de las necesidades de la empresa, ubicación de los activos a proteger y presupuesto existente.
  4. Implementa la herramienta seleccionada y realiza pruebas de funcionamiento para asegurarte que se pueda lograr la recuperación de la información y restauración de servicio.
  5. Provee capacitación para el personal de TI que administrará las herramientas y realiza una campaña de concientización con todo el personal de la empresa para saber como actuar ante un ataque.
  6. Documenta los procedimientos relacionados y realiza revisiones periódicas para garantizar que estos se encuentren actualizados.

 

Por último, es necesario recordar que en una estrategia de defensa completa no debe faltar la parte de seguridad para poder prevenir o disminuir el impacto de un ataque. Por lo tanto, también se debe considerar la seguridad de:

Identidades (ejm: autenticación multifactor, auditoría de accesos)

Infraestructura de red (ejm: filtrado de tráfico, detección y/o prevención de intrusiones) Información (ejm: cifrado de archivos, prevención de pérdida de datos)

Correo electrónico (ejm: anti spam, anti phishing, anti malware) Protección de endpoints (ejm: antivirus, EDR)

Aplicaciones (ejm: Cloud Access Security Broker o CASB) Seguridad física (ejm: control de accesos, video vigilancia)

Un partner de soluciones te puede brindar asesoría para escoger la mejor opción según tus requerimientos y presupuesto. Si necesitas ayuda para definir una estrategia adecuada para poder proteger y recuperar tu información, diseñar una arquitectura, o entender qué soluciones del mercado son las más adecuadas, por favor no dudes en contactarnos a través de nuestro sitio web Conoce más sobre Intcomex Cloud aquí.

🌐 ¡Explora el conocimiento en la nube!  Descubre insights y tendencias en nuestro Blog de Intcomex Cloud

Loading...