La mayoría de las organizaciones creen estar preparadas para el
ransomware, pero probablemente no lo estén. Es cierto que todo parece estar en orden:
copias de seguridad, un plan de recuperación ante desastres y el seguimiento
del objetivo de tiempo de recuperación (RTO) y el objetivo de punto de
recuperación (RPO).
Pero cuando se produce un ataque real, muchas no logran recuperarse en
plazos aceptables, o directamente no lo logran.
No porque falten copias de seguridad, sino porque no son fiables o no se
pueden recuperar con la suficiente rapidez.
Ahí radica la diferencia entre las copias de seguridad y la verdadera
ciberresiliencia. Las copias de seguridad no sirven de mucho sin una
recuperación rápida y fiable.
Según Gartner, el costo promedio de una interrupción del servicio de TI es de U$S5.600 por minuto. Las operaciones comerciales varían según el tipo de empresa; en el extremo inferior, el costo de una interrupción puede llegar a ser de hasta U$S140.000 por hora.
¿Qué sucede realmente cuando ataca el ransomware y comienza la recuperación?
Un incidente de ransomware real rara vez se manifiesta como una interrupción
repentina. Se desarrolla gradualmente.
Día 0: Compromiso inicial.
-
Los ciberdelincuentes roban credenciales mediante phishing o servicios
expuestos.
Día 3: Movimiento lateral.
-
Los atacantes se mueven entre endpoints y servidores utilizando herramientas
legítimas.
Día 7: Escalamiento de privilegios.
-
Los ciberatacantes obtienen acceso de administrador de dominio. Los sistemas
de respaldo se vuelven visibles.
Día 10: Comienza el ataque a los respaldos. Los atacantes:
- Deshabilitan los agentes de respaldo.
- Modifican las políticas de retención.
- Eliminan o corrompen los archivos.
Día 14: Se activa el cifrado.
- Los sistemas de producción se cifran en todo el entorno.
- Comienza el intento de recuperación.
- Aquí es donde las expectativas se alejan de la realidad.
- Existen respaldos, pero están incompletos.
- Faltan puntos de restauración recientes.
- Los repositorios de respaldo están parcialmente cifrados.
La organización se enfrenta ahora a un problema mucho más complejo que la
simple recuperación del sistema. Los profesionales de TI deben determinar si
la recuperación es siquiera posible. Es en este punto donde muchos planes de
recuperación ante ransomware fracasan.
¿Por qué fallan o se cifran los sistemas de copia de seguridad durante un
ataque de ransomware?
- Los operadores de ransomware atacan las copias de seguridad, que a menudo:
- Están conectadas a la misma red que los sistemas de producción.
- Se gestionan con las mismas credenciales.
- Se puede acceder a ellas mediante privilegios de dominio.
-
Todo esto hace que las copias de seguridad sean vulnerables. El fallo tiene
un alto coste, pero es demasiado común. Algunos patrones de fallo comunes
incluyen: -
Repositorios de copia de seguridad cifrados junto con las cargas de trabajo
de producción. - Archivos eliminados antes de que se lance el ataque.
-
Procesos de copia de seguridad que fallan silenciosamente después de que se
deshabilitan los agentes.
Por eso, muchas organizaciones experimentan fallos en las copias de seguridad
durante incidentes de ransomware, incluso cuando su estrategia de copias de
seguridad parece sólida. Proteger las copias de seguridad del ransomware
requiere aislamiento, inmutabilidad y acceso controlado, no solo
almacenamiento.
¿Puede el ransomware propagarse a los sistemas de copia de seguridad? Sí, así
es como sucede.
Sí, el ransomware puede propagarse a los sistemas de copia de seguridad, y
a menudo lo hace.
Una vez que los atacantes obtienen el control del dominio, tratan la
infraestructura de copias de seguridad como un objetivo prioritario. Como
parte del proceso, los atacantes generalmente:
-
Descubren los servidores de copia de seguridad y las ubicaciones de
almacenamiento. Acceder a las consolas de administración de copias de
seguridad. - Escalar privilegios dentro de los sistemas de copia de seguridad.
- Deshabilitar, eliminar o cifrar los datos de recuperación.
La infraestructura de copias de seguridad está especialmente expuesta porque
necesita un amplio acceso a través de los sistemas. Sin visibilidad en los
puntos finales, servidores y capas de copia de seguridad, las organizaciones
no pueden rastrear cómo se propaga el ransomware ni dónde se está almacenando.
Por esta razón, las herramientas de seguridad y copia de seguridad aisladas
tienen dificultades y a menudo fallan durante los ataques activos.
¿Por qué fallan los planes de recuperación ante desastres durante los ataques
de ransomware?
La mayoría de los planes de recuperación ante desastres están diseñados
para interrupciones del servicio, no para ataques.
Parten de la premisa de que:
- Los sistemas están limpios.
- Los servicios de identidad están intactos.
- Los entornos de recuperación son confiables.
- El ransomware rompe estas premisas. Los puntos de fallo incluyen:
- Active Directory comprometido que impide la autenticación.
- Dependencias de red que bloquean los flujos de trabajo de recuperación.
-
Procedimientos de recuperación que nunca se probaron en condiciones de
ataque.
Incluso cuando existen copias de seguridad, la recuperación ante desastres
después de un ciberataque se vuelve impredecible. Por lo tanto, la diferencia
entre copia de seguridad y recuperación ante desastres no es solo una
distinción técnica. La copia de seguridad almacena datos. La recuperación ante
desastres debe restablecer las operaciones bajo presión. Una copia de
seguridad sin recuperación simplemente no es suficiente.
¿Por qué no se cumplen el RTO y el RPO en la recuperación tras un ataque de
ransomware?
El RTO y el RPO rara vez se alcanzan durante incidentes reales de ransomware.
Existen varias razones principales para ello:
Desafíos del RPO
-
El tiempo de permanencia del ataque implica que las copias de seguridad
pueden contener datos comprometidos. -
Los retrasos en la detección aumentan la pérdida de datos más allá de los
umbrales previstos.
Desafíos del RTO
-
La recuperación se ralentiza debido a la incertidumbre sobre los puntos de
restauración limpios. - Los procesos manuales reemplazan los flujos de trabajo automatizados.
- Los sistemas requieren validación antes de su puesta en línea.
El resultado son objetivos no alcanzados y tiempos de inactividad prolongados.
Para comprender el impacto del ransomware en el RTO y el RPO, es necesario
reconocer que los atacantes degradan activamente las condiciones de
recuperación.
Cómo recuperarse de un ataque de ransomware cuando las copias de seguridad
están comprometidas
Cuando tanto los sistemas de producción como las copias de seguridad se ven
afectados, la recuperación se convierte en un proceso limitado. Los requisitos
clave incluyen:
- Copias de seguridad inmutables que no se pueden alterar ni eliminar.
- Copias externas o en la nube aisladas del ataque.
-
Identificación de copias de seguridad limpias y validadas para una
recuperación más rápida a producción. - Priorización de sistemas críticos para una recuperación por etapas.
- Coordinación entre la respuesta a incidentes y las operaciones de TI.
Aquí es donde los escenarios de recuperación ante desastres por ransomware se
vuelven más complejos. Las organizaciones sin opciones de recuperación
aisladas a menudo no pueden restaurar las operaciones comerciales rápidamente,
o incluso no pueden hacerlo en absoluto.
Cómo debería ser un plan de recuperación ante ransomware hoy en día
Un plan moderno de recuperación ante ransomware debe contemplar la posibilidad
de una vulneración de seguridad. Los principios fundamentales incluyen:
-
Proteger las copias de seguridad del ransomware mediante la inmutabilidad y
el aislamiento. -
Garantizar la visibilidad en todos los puntos finales, servidores y sistemas
de copia de seguridad. - Automatizar los flujos de trabajo de recuperación para reducir las demoras.
-
Probar periódicamente la recuperación ante desastres en condiciones de
ataque simuladas.
Esta es la base de la ciberresiliencia. Una estrategia de copias de seguridad
contra ransomware debe garantizar la supervivencia, no solo la retención.
Cómo proteger las copias de seguridad de los ataques de ransomware
Proteger las copias de seguridad requiere cambios arquitectónicos, no
correcciones incrementales. Los enfoques eficaces incluyen:
-
Almacenamiento de copias de seguridad aislado e inaccesible desde los
entornos de producción. - Controles de acceso robustos y separación de credenciales.
- Almacenamiento inmutable que impide la modificación o eliminación.
- Análisis antimalware y validación de copias de seguridad.
-
Monitorización de los sistemas de copia de seguridad como parte de la
estrategia de seguridad.
Las organizaciones que no protegen sus copias de seguridad suelen descubrir
demasiado tarde que la recuperación no es viable.
Repensando la continuidad del negocio tras un ataque de ransomware
La continuidad del negocio durante un ataque de ransomware depende de la
integración.
La seguridad, las copias de seguridad y la recuperación ante desastres deben
funcionar conjuntamente durante un ataque, no como herramientas separadas.
Tras comprender esto, muchas organizaciones están adoptando enfoques
unificados que permiten la continuidad del negocio.
El objetivo no es solo almacenar datos, sino garantizar la recuperación en
condiciones reales de ataque. Porque cuando se produce un ataque de
ransomware, no basta con tener copias de seguridad. Lo que importa es poder
recuperarse del ataque rápidamente y con datos fiables.
Fuente:
THN