El 52% de las organizaciones internacionales con datos cifrados pagaron el rescate y recuperaron sus datos con éxito, pero una de cada cuatro que pagó, no pudo recuperarlos
Pero, aunque muchas organizaciones se apresuran a pagar el rescate cuando son atacadas, esta opción sigue sin ofrecer ninguna garantía de que se vayan a recuperar sus datos. Según el Informe de Tendencias de Ransomware 2022 de Veeam, el 52% de las organizaciones internacionales con datos cifrados pagaron el rescate y recuperaron sus datos con éxito, pero una de cada cuatro que pagó, no pudo recuperarlos. Como resultado, el debate sobre si pagar o no sigue siendo muy polémico. Mientras que algunos pagan para intentar volver a estar activos rápidamente y reanudar sus operaciones, otros que han previsto lo inevitable, pueden recuperarse sin pagar.
Sin embargo, necesitamos que todas las organizaciones lleguen a un punto en el que no tengan miedo, en el que tengan el poder de rechazar el pago con la seguridad de que su copia de seguridad de datos es lo suficientemente fiable y robusta como para garantizar que el tiempo de recuperación es bajo y la pérdida de datos es nula.
Los peligros de decir que sí
Antes de que las organizaciones puedan llegar a este punto de no tener miedo, hay muchos pasos que se deben dar; el primero, considerar por qué pagan las demandas y entender el peligro de decir "sí" a las mismas.
Fundamentalmente, están asustadas y tratan de evitar varias consecuencias perjudiciales. El daño reputacional es uno de los principales, así como la preocupación de los departamentos de seguridad por las repercusiones en sus puestos de trabajo. Esto lleva a muchas organizaciones a realizar esos pagos con la esperanza de mantenerse fuera de las noticias y que el desastre se resuelva de forma más discreta posible.
En un tono más serio, los métodos utilizados por los delincuentes de ransomware a menudo hacen que las organizaciones sientan que realmente no tienen otra opción. Las bandas de ransomware atacan las copias de seguridad, dejando a las compañías en una posición difícil: aunque hayan hecho una copia de seguridad de sus datos, ésta formaba parte del ataque. Si nos adentramos en la mente de un delincuente, podemos entender por qué se dirigen a las copias de seguridad -después de todo, son los datos más valiosos, sensibles y críticos para el negocio-, por lo que los atacantes saben que lo que están consiguiendo es crucial para el funcionamiento del negocio, en lugar de datos prescindibles para estas.
"Pagar el rescate no significa que los datos se vayan a recuperar de forma satisfactoria y el caso se cierre"
Por desgracia, como sabemos, pagar el rescate no significa que los datos se vayan a recuperar de forma satisfactoria y el caso se cierre. De hecho, en muchos casos pagar el rescate desencadena en una reacción en cadena. Si pagas las peticiones de rescate, estás diciendo a tus atacantes que harás todo lo que te pidan, y esto les lleva a explotarte aún más. Sólo una de cada cuatro organizaciones sufrió un solo ataque, en cambio muchos actores maliciosos volvieron a por más, lanzando nuevos ataques y haciendo más peticiones. Esto se conoce como doble o triple extorsión.
La doble extorsión también se conoce a veces como "extorsión de nombre y vergüenza", y esto transmite claramente por qué puede ser una amenaza para las organizaciones, y por qué pagan con la esperanza de evitarla. Este tipo de ataque de ransomware implica no sólo el robo y el cifrado de datos, sino también su difusión. Los atacantes extorsionarán a sus objetivos amenazando con compartir los datos robados con sus competidores, por ejemplo.
"La triple extorsión añade más presión a la táctica de la doble extorsión al amenazar también con un ataque DDoS si no se paga a tiempo"
La triple extorsión añade más presión a la táctica de la doble extorsión al amenazar también con un ataque de denegación de servicio distribuido (DDoS) si el pago no se realiza a tiempo. Cuando esto ocurre, las organizaciones pueden sentirse realmente desesperadas: no sólo se les han filtrado y encriptado los datos, sino que también se enfrentan a su publicación, así como al cierre total de su negocio si se produce un ataque DDoS.
Por desgracia, la mayoría de las veces esto es lo que ocurre cuando se pagan las demandas del ransomware, y la mejor manera de evitarlo es asegurarte de que tu estrategia de copia de seguridad es lo suficientemente fuerte como para poder decir que no.
Qué implicaciones legales tiene pagar las demandas de ransomware
Leer más
Construir una copia de seguridad férrea
"Los repositorios de copias de seguridad fueron el objetivo del 94% de los ataques, y casi el 70% de los eventos cibernéticos vieron afectados al menos algunos repositorios"
La copia de seguridad es la última línea de defensa contra los ataques de ransomware, pero no todas las copias de seguridad son iguales. No basta con tener una copia de seguridad: como hemos visto, las copias de seguridad son el objetivo de los atacantes. Los repositorios de copias de seguridad fueron el objetivo del 94% de los ataques, y casi el 70% de los eventos cibernéticos vieron afectados al menos algunos repositorios.
Esto significa que sólo puedes decir no a las demandas del ransomware si proteges los datos correctos de la manera adecuada. Para poder hacerlo, hay que estar muy atento a la clasificación de los datos. Hoy en día, las organizaciones tienen, y siguen produciendo, muchos datos. Parece sencillo, pero provoca algunos retos considerables. Fundamentalmente, cuando te enfrentas a una cantidad aparentemente interminable de datos, es difícil saber cuáles son las partes importantes y dónde residen. Cuando se trata de reforzar la estrategia de protección de datos para poder decir no a las demandas, hay que asegurarse de saber qué datos se tienen y de qué hay que hacer una copia de seguridad.
"Si se quiere proteger los datos de misión crítica, primero habrá que identificarlos"
Los datos no clasificados no están etiquetados ni son identificables, lo que también dificulta la asignación de un nivel de riesgo a los conjuntos de datos. Si se quiere proteger los datos de misión crítica, primero habrá que identificarlos. Además, etiquetar los datos de alta prioridad es también una parte fundamental de la recuperación de datos. A menudo, las empresas no pueden estar seguras de cuáles de sus conjuntos de datos han sido vulnerados en un ataque, y este es otro motivo que les lleva a pagar el rescate, ya que no pueden descartar la posibilidad de que sus datos más sensibles se hayan visto comprometidos, además de no poder localizar conjuntos específicos para recuperarlos.
Además de garantizar la clasificación de los datos, es esencial seguir la regla de oro de las copias de seguridad "3-2-1", pero con un giro. Hemos desarrollado esta antigua regla, que insiste en tres copias de cada conjunto de datos, guardadas en un mínimo de dos soportes diferentes, y con una de las copias almacenada fuera de las instalaciones. Hemos añadido algunos números más al final de esta regla, convirtiéndola en "3-2-1-1-0". Además de los pasos habituales, consideramos que hay otras cosas que no son negociables.
En primer lugar, una copia de seguridad debe estar alojada offline, otra debe estar air-gapped o ser inmutable y, en general, debe haber cero errores en la fase de prueba. Puede parecer un punto sencillo, pero a menudo se pasa por alto: la copia de seguridad sólo es útil (en caso de ataque, o de forma más general) si se verifica para asegurarse de que no hay ningún error. De lo contrario, no podrá recuperarse como estaba previsto. Esto se consigue con una supervisión diaria: las copias de seguridad no deben dejarse como algo guardado para una emergencia, sino que deben considerarse como algo vivo y que necesita una atención constante.
"Las empresas deberían asegurarse de que aprovechan las ventajas de la heterogeneidad para su estrategia de protección de datos"
Esto refleja cambios más amplios en la actitud de las empresas hacia la protección de datos, así como sus requisitos cambiantes. El informe 2022 de Veeam sobre las tendencias en la protección de datos analizó las prioridades de las empresas en la actualidad y descubrió que la heterogeneidad es crucial. Por "heterogeneidad", me refiero a una estrategia de protección de datos optimizada para proteger la carga de trabajo moderna, que se reparte entre los servidores en la nube y en las instalaciones. Dado que las empresas están dando cada vez más este paso, también deberían asegurarse de que aprovechan las ventajas de este hecho para su estrategia de protección de datos.
El 72% de las administraciones públicas y locales han sido víctimas de ransomware
Leer más
Centrarse en la recuperación
Hoy en día, los ataques de ransomware son inevitables. No es una cuestión de "y si…", sino de "cuándo". Incluso si has implementado tu estrategia de copias de seguridad, estás a solo a mitad de camino.
Las organizaciones tardan una media de 18 días en completar la restauración de sus datos
La otra mitad tiene que ver con asegurarse de que estás preparado para optimizar el objetivo de tiempo de restauración y recuperación de datos (RTO). Este es un proceso que absorbe mucho tiempo. Las organizaciones tardan una media de 18 días en completar la restauración de sus datos, pero para el 15% de las organizaciones, este proceso puede durar varios meses (entre 1 y 4 meses). Además de requerir mucha mano de obra, esto también quiere decir que el funcionamiento de la empresa se interrumpe durante este tiempo de inactividad. Para evitar que esto ocurra, es importante asegurarse de que se dispone de la infraestructura adecuada para apoyar una rápida recuperación.
Una vez más, esto puede ser ayudado por un enfoque moderno del backup de los datos. Si haces un backup de tus datos en la nube y en la sede central, tendrás la capacidad de recuperar los datos de ambos servidores a la vez. Y lo que es más importante, también tiene una línea de defensa adicional, ya que el 40% de los servidores experimentan cortes inesperados. Si tienes esto en cuenta y elaboras una estrategia en consecuencia, podrás dar a tu organización más poder para decir no a las peticiones de rescate, con la seguridad de que tienes varias copias de seguridad a tu alcance.
Las organizaciones tienden a confiar en la recuperación incremental de datos, ya que se considera una opción más económica. Sin embargo, a medida que aumenta el coste de los ataques de ransomware, merece la pena emprender el trabajo necesario para apoyar la recuperación a gran escala. Esto implica el rediseño de la infraestructura para que pueda permitir a las organizaciones recuperar los datos a gran velocidad, permitiendo que puedan volver a su actividad habitual en un plazo mucho más corto que 18 días.
Una vez que se abordan los factores que conducen a los pagos por ransomware, resulta mucho más fácil generar la fuerza necesaria para rechazarlos. De cara al futuro, las organizaciones deben dejar atrás el miedo, empoderadas y fortalecidas por una estrategia de copia de seguridad renovada que garantice su tranquilidad.
Autor: Edwin Weijdema, Global Technologist en Veeam
Si (
No(
