Muchas empresas, confían en sus procesos e infraestructura de DRP para asegurar su continuidad de negocio. Otras menos maduras, se limitan a crear copias de su información para el caso de una contingencia. Pero ¿esta acción es a prueba de ransomware?
La respuesta es no. Imaginemos a Jorge, el responsable de TI en su empresa, quien busca poder recuperar su operación tecnológica en una contingencia, y para lo cual realiza respaldos constantes de su información, asegurando así que podrá reponerse de alguna eventiualidad. Un día, Jorge, al llegar a la oficina y encender su equipo recibe un mensaje, el cual se lee: “Tus archivos han sido encriptados y deberás pagarnos para recuperarlos”.
Cualquiera se asustaría. Jorge no. Él se sentirá tranquilo porque tienen un respaldo de datos, así que cree que no tendrá que pagar ningún rescate a los cibercriminales a cambio de que liberen sus archivos. Pero puede que Jorge esté muy equivocado, porque su estrategia de backup no ha sido suficiente.
De acuerdo con un informe de Avast, tan sólo en el segundo trimestre del 2022 aumentaron en un 24% los ataques de este tipo, respecto al trimestre anterior a nivel mundial, el incremento para las empresas mexicanas fue del 14%. Por su parte, Fortinet, registró 137 mil millones de intentos de ciberataques en América Latina; y de acuerdo con su informe, de toda la región, México fue el país más atacado, alcanzando los 85 mil millones de ataques de ransomware.
Las cifras nos indican que es probable que ninguna empresa esté a salvo de ser una víctima más, incluso empresas grandes que realizan altas inversiones en ciberseguridad ya han sido golpeadas, algunos de los casos más famosos, los de Accenture, NBA, Acer, entre muchas otras.
En el caso de Accenture durante su famoso ciberataque de ransomware en el 2021, la empresa lanzó un comunicado que decía:
“Inmediatamente contuvimos el asunto y aislamos los servidores afectados. Hemos restaurado completamente nuestros sistemas afectados por la copia de seguridad. No ha habido impacto en las operaciones de Accenture ni en los sistemas de nuestros clientes».
La pregunta inquietante al evaluar casos como el de Jorge (por el cual han pasado muchas empresas) y el caso de Accenture es: ¿por qué la estrategia de respaldo para Accenture funcionó y en el caso que enfrentó Jorge no?
¿Por qué el Ransomware afecta al DRP?
Hacer un respaldo de datos o sincronizarlos hacia el sitio secundario es la práctica más común del DRP y la Continuidad de Negocio. No obstante, aunque haya distancia de por medio, la data secundaria no está exenta de contaminarse con ransomware cuando el sitio primario lo está. Si copiamos ransomware y lo transmitimos en la réplica, el sitio secundario también se verá infectado.
Así es que, al revisar su backup, Jorge se dio cuenta que su estrategia había fallado, ya que las copias que realizaron también fueron infectadas, debido a que se copiaron del mismo servidor donde reside la información raíz. Al hacerlo, los ciberatacantes pudieron extender su ataque a las copias de seguridad, dejando a Jorge N y a su compañía en una muy mala posición frente al ciberataque.
Recordemos que un respaldo de información puede fallar o infectarse, y es vital tener esto en mente al delinear nuestro DRP, considerando distintos puntos de recuperación, aun que afecten negativamente el RPO del plan.
¿Cómo protegerse ante esta situación?
A continuación algunas recomendaciones que podemos hacer para contar con una estrategia de DRP efectiva y evitar que el secuestro de la información afecte a la operación de una empresa al 100%.
- Resguardo electrónico en ambientes aislados. Lo primero es no guardar las copias en el mismo ambiente, sino en otro servidor aislado de la información original almacenada en servidores de producción.
- Sin importar si se cuentan con copias de seguridad en la nube, se debe agregar un medio físico para almacenar las copias de seguridad, esto siempre reforzará la seguridad.
- Realizar pruebas de comprobación para asegurar que estas funcionan. Esto incluso ayuudará a identificar si se está gestando un ataque porque se podrá notar por caracterísitcas relevantes en térmminos de comportamiento y de espacio.
- Realizar respaldos considerando la frecuencia de retención y criticidad del dato de manera que pueda obtener muchos puntos de retorno.
- Utilizar herramientas antiransomware en el sitio primario, para una deteccción temprana.
- Involucrar a los usuarios para que se vuelvan la primera línea de defensa frente al ransomware.
- Aplicar la regla 3-2-1: Tres copias, en dos medios distintos y uno fuera de sitio.
- Un DRP con sistema automático de corte de réplica frente a malware. No todo DRP cuenta con ello, pero algunos servicios de DRP pueden detener la réplica cuando detectan una amenaza en el sitio primario.
En su caso, Jorge la va a pasar muy mal; su información no podrá ser desencriptada, según las estadísticas, incluso si paga el rescate no será liberada. La buena noticia es que usted no es Jorge ¿cierto?