Por Alexis de Pablos, director técnico de Veeam Software Iberia
Pagar el rescate para recuperar el acceso a los datos con la vaga esperanza de que los delincuentes liberen los archivos que mantienen como rehenes es un fenómeno conocido que sigue siendo noticia en los medios. En la actualidad, con el auge del ransomware, ninguna empresa quiere verse obligada a pagar de forma habitual el dinero del rescate para poder acceder a sus propios servicios.
Las amenazas de ransomware alcanzaron un máximo histórico en 2016, registrando un incremento del 752% comparado con el año anterior, lo que representa una pérdida de 815 millones de libras para las empresas, de acuerdo con el estudio realizado por Trend Micro y la Zero Day Initiative. Esto coincidió con el incremento del número de familias de ransomware, incluyendo variantes conocidas como Bit Crypt, CryptoWall, Cerber y Jigsaw, que pasaron de 29 a 247 en ese mismo periodo de tiempo. Mientras que el estudio del CyberEdge Group descubrió que prácticamente dos tercios de las empresas han sido víctimas de un ataque de ransomware durante el año.
Esto suscita la pregunta: ¿Cómo pueden protegerse las empresas ante la creciente amenaza del ransomware?
El auge del ransomware
El ingrediente vital en el sorprendente aumento del ransomware es el dinero. La magnitud de la recompensa disponible es tal que es capaz de convencer incluso a aquellos con unos valores morales intachables para que cometan un delito. De repente, los empleados deshonestos ya tienen un motivo por el que vale la pena correr un riesgo y los que conocen los procesos de negocio de la empresa pueden atacar conscientemente los sistemas que contienen los datos más valiosos para así garantizar que la empresa quiera pagar y además esté dispuesta a desembolsar una suma importante.
El otro factor clave en este caso es que el malware, o software malicioso, hasta hace poco era solo obra de hackers habilidosos; sin embargo, dado que ahora crear ransomware es un proceso que casi no requiere esfuerzo, utilizar el malware y esperar a que paguen el rescate resulta, en teoría, una tarea fácil para cualquiera con un ordenador. En efecto, existe un servicio llamado Satan en Tor, un portal en la web oscura, que permite a cualquiera crear y configurar una variante de malware. Permite elegir entre diversas técnicas, seleccionar la nota para pedir el rescate, decidir cuál va a ser la persona de contacto y rastrear la cantidad de dinero obtenida.
Tipos de malware o troyanos como Locky, TeslaCrypt y CryptoLocker son los que se utilizan con más frecuencia para atacar a empresas. A menudo, aprovechan las brechas de seguridad en los navegadores de internet y sus plugins o los adjuntos de correo electrónico que se abren por error y, una vez dentro de la empresa, el ransomware puede propagarse a una velocidad de vértigo y empezar a cifrar datos valiosos. El FBI ha recomendado que las empresas implanten estrategias sólidas de backup y recuperación ante los ataques con ransomware para ofrecer una protección eficaz contra la pérdida de datos provocada por el uso de CryptoLocker o cualquier otro troyano.
Repeler el ransomware
Aplicar un sistema estricto de permisos para acceder a los datos está muy bien pero, desde un punto de vista realista, no va a ayudar al negocio, dado que se pueden obtener las credenciales a través de software tipo keylogger o de la ingeniería social. En lugar de eso, para protegerse de las amenazas internas y del ransomware, las empresas deben utilizar el enfoque “air-gap” en sus backups, que es en esencia hacer backup offline en sistemas separados físicamente de la red para que no puedan ser manipulados o borrados a distancia.
Al ser tan fundamentales las cargas de trabajo y los datos dentro de los entornos de empresa, es necesario aplicar la regla del 3-2-1, que indica que 3 copias de los datos de la empresa deben guardarse en 2 medios diferentes y 1 copia debe estar en un medio externo.
A continuación, vamos a ver cuatro opciones para realizar un backup de datos de forma eficaz:
1. Backup Copy Job a disco
La primera opción es trasferir los datos de una ubicación a otra utilizando Backup Copy Job. De este modo, no solo se copia un archivo, sino que los puntos de restauración individuales del backup se leen y escriben en un segundo disco. En caso de que el backup principal quede cifrado o se dañe, Backup Copy Job dará fallo, puesto que el proveedor no podrá interpretar los datos.
En esos casos, la única esperanza radica en el segundo repositorio de backup separado del resto del entorno TI. También se puede usar un repositorio de backup basado en Linux para protegerse de los troyanos de Windows.
2. Discos duros extraíbles
Otra opción es utilizar un dispositivo de almacenamiento extraíble como repositorio secundario. Normalmente, se usan unidades de disco duro extraíbles como discos USB externos, que no se suelen recomendar por motivos de seguridad, pero que si se almacenan en un lugar seguro pueden ser una opción viable para evitar ataques con ransomware. Además, cuando se trata de la rotación de medios, es posible detectar cuando un medio antiguo se ha vuelto a insertar y, de ese modo, garantizar de forma automática que los archivos de backup antiguos se eliminen e iniciar una nueva cadena de backup.
3. Cinta
La opción de la cinta, que en su día fue criticada, se está convirtiendo en una solución muy popular en los departamentos TI ante la amenaza de los troyanos que cifran datos. Las cintas no permiten el acceso directo a los datos y, por eso, ofrecen protección contra el ransomware. Igual que los medios que se pueden rotar, hay que exportar las cintas a una ubicación segura para una protección óptima.
4. Snapshots de almacenamiento y VMs replicadas
Las empresas pueden disfrutar de una mayor disponibilidad y modos de aplicar la regla del 3-2-1 gracias a snapshots de almacenamiento y VMs replicadas. Estos son datos que se encuentran semi offline y que pueden ofrecer resistencia ante la propagación del malware.
No pague un rescate nunca más
Disponer de la capacidad para restaurar datos significa que las empresas ya no tienen que pagar un rescate. Sin embargo, no se debe dar nada por sentado en el espacio de la ciberseguridad, dado que las amenazas cambian de forma constante y el número de superficies de ataque aumenta con cada dispositivo que se añade a la red.
Las empresas deben asumir que es cuestión de saber cuándo se va a producir el ataque y no de si se va a producir. Para seguir siendo ágil y no perder el control ante las amenazas nuevas y emergentes, la seguridad ya no puede operar como una función TI aislada, debe ser es un proceso y facilitador de negocio fundamental.
Es necesario evitar los ataques con ransomware siempre que sea posible, detectar si han obtenido acceso a los sistemas y contenerlos para reducir el daño. Las empresas solo podrán confiar en que sus datos están tan seguros y disponibles como sea posible a través de un enfoque colaborativo e integrado, que garantice que las políticas de seguridad y los contratos de nivel de servicio (SLAs) están alineados con los objetivos de negocios. Hacer esto les ofrece la mejor oportunidad de mantener la empresa un paso por delante de los ciberdelincuentes, mientras aprovechan los beneficios de la digitalización.