- Los ataques de ransomware no se producen de inmediato, tras el click a un enlace malicioso pueden permanecer latentes en un sistema durante años hasta que la demanda de rescate se hace evidente.
- La capacitación continua del personal, la implementación de un sistema de acceso y permisos para la información crítica, y la disponibilidad de soluciones de recuperación de datos, son componentes esenciales de una sólida estrategia de ciberseguridad.
Los ataques de ransomware representan una amenaza creciente para individuos y organizaciones en todo el mundo. Según el Informe de Tendencias de Protección de Datos de 2024 de Veeam, el 77% de las empresas admitió haber experimentado al menos un ataque de este tipo en el año 2023. Ante esta realidad, es crucial comprender su funcionamiento y contar con un plan de acción efectivo para hacerles frente.
El inicio de un ataque de ransomware
Estos ataques no ocurren de inmediato; no se limitan a un enlace malicioso seguido de un bloqueo. Por el contrario, pueden extenderse durante años, desde las primeras observaciones y robos hasta la declaración del rescate. La fase del rescate es la única parte visible del proceso, pero puede transcurrir años entre bastidores.
En primer lugar, los atacantes inician una fase de observación, recolectando información sobre la organización objetivo, incluyendo su personal, procesos y tecnología. Esta fase puede durar meses. Una vez recopilada suficiente información, los hackers se infiltran en el sistema del objetivo, generalmente a través de un ataque preliminar como un correo electrónico de phishing.
Lo que ocurre durante el ataque
Una vez dentro, los atacantes se establecen en la infraestructura informática de la organización, creando una base de operaciones para elevar su nivel de acceso y realizar movimientos laterales. Durante esta fase, causan daños significativos revisando información clave y comprometiendo objetivos de alto valor. Pueden tomarse su tiempo para garantizar una explotación máxima.
Luego, dedican esfuerzos a detener la capacidad de recuperación, alterando las rutinas de copia de seguridad, documentación y sistemas de seguridad para dificultar o negar la restauración. Para cuando la organización se da cuenta del ataque, suele ser demasiado tarde para recurrir a sus copias de seguridad.
Esto lleva a un punto crítico con la declaración del rescate, donde los ciberdelincuentes cifran los datos de la víctima y eliminan registros y copias de seguridad. Todo este proceso puede extenderse durante un año o más. Según el informe anteriormente mencionado, solo el 13% de las empresas logra restaurar sus datos con éxito durante una situación de recuperación de desastres.
La fase de recuperación
Descubrir que agentes maliciosos han estado presentes en los sistemas durante un período prolongado puede ser desalentador. Sin embargo, con la preparación adecuada y una estrategia de copia de seguridad sólida, esto puede evitarse. “Es esencial considerar los ataques de ransomware como un caso de "cuándo" en lugar de "si", lo que implica la necesidad de utilizar copias de seguridad para restaurar los datos críticos cuando sea necesario”, comenta Dmitri Zaroubine, director Senior de Ingeniería de Sistemas de Veeam para LATAM.
La regla de oro de las copias de seguridad (3-2-1-1-0) es esencial en este contexto. Esta estrategia implica mantener tres copias de los datos almacenados en dos medios diferentes, uno de los cuales debe ser externo e inmutable, y asegurarse de que ninguna de ellas contenga errores. Implementar esta práctica no es un evento único; debe ser vigilada y probada de manera constante para garantizar su eficacia.
Además, la integración de soluciones que ofrecen recuperación de datos, como Veeam Data Cloud, es un componente clave en una estrategia de seguridad, ya que permite una restauración rápida que minimiza el tiempo de inactividad de una organización, reduciendo así las posibles pérdidas monetarias. Además de la estrategia de recuperación de datos, es fundamental invertir, en general, en seguridad de datos, y realizar una evaluación exhaustiva de la brecha de seguridad para evitar futuros incidentes.
Recomendaciones para prevenir incidentes de ransomware:
- Capacitación: ofrecer una capacitación de manera constante al personal sobre seguridad informática logrará educar a los empleados sobre los riesgos del ransomware y les presentará medidas preventivas. También se pueden realizar simulacros para comprobar la efectividad de las capacitaciones.
- Accesos y permisos: implementar una política de acceso y permisos estricta es fundamental para reducir el riesgo de propagación del ransomware en caso de un ataque. Limitar los privilegios de acceso de los colaboradores a lo esencial para sus responsabilidades y establecer políticas de acceso a la información crítica basadas en el cargo del empleado son medidas clave en esta estrategia.
- Actualización de parches de seguridad: Mantener todos los sistemas operativos y software actualizados con los últimos parches de seguridad ayudará a reducir el riesgo de un ataque.