Sathya Sankaran, Head of Cloud-Products HYCU at IT Press Tour
Pocas empresas cumplen los requisitos de copia de seguridad necesarios para recuperarse de un ataque de ransomware sin pagar. Una nueva guía de HYCU detalla dónde falla la preparación y qué cinco pasos importan durante un incidente.

Por qué pagar rara vez compensa

Transferir el rescate parece, para muchas empresas afectadas, el camino más rápido de vuelta a la normalidad. Las cifras recopiladas por HYCU en una guía reciente sobre recuperación ante ataques de ransomware cuentan otra historia: entre las empresas que pagan una primera demanda de rescate, el 60 por ciento recupera inicialmente el acceso a sus datos, el 32 por ciento debe realizar pagos adicionales antes de lograr la recuperación, y el 8 por ciento nunca recupera sus datos. Incluso cuando llega una clave de descifrado, restaurar los sistemas suele llevar varias semanas, según HYCU.

El proveedor señala cuatro factores de coste adicionales. Muchas pólizas de ciberseguro excluyen la cobertura en cuanto se paga un rescate, mientras que las primas en Estados Unidos ya han subido en torno a un 35 por ciento de media. El Departamento del Tesoro estadounidense también ha advertido de que los pagos a entidades sancionadas pueden derivar en sanciones de la OFAC, independientemente de la intención. Las empresas que pagan quedan marcadas dentro del ecosistema criminal y suelen ser atacadas de nuevo, en ocasiones por el mismo grupo, y cada pago contribuye a financiar la siguiente campaña.

A nivel mundial, el 84,5 por ciento de las empresas afectadas se recuperó sin pagar, según HYCU. Ese camino, sin embargo, depende de una preparación que comienza mucho antes del ataque.

Tres condiciones para copias de seguridad resilientes

Una copia de seguridad que no cumpla alguna de tres condiciones puede quedar cifrada junto con el resto de la infraestructura, sostiene HYCU. En primer lugar, el almacenamiento debe ser inmutable: los datos no pueden ser modificados ni eliminados por nadie, ni siquiera por administradores, hasta que expire el periodo de retención. HYCU utiliza almacenamiento WORM con la función Object Lock activada en sistemas compatibles con S3. En segundo lugar, las copias deben estar aisladas del entorno de producción mediante un air gap, separadas por segmentación de red, sin credenciales ni relaciones de confianza compartidas; el appliance virtual del proveedor usa una imagen base de Linux reforzada, sin acceso root y con SSH deshabilitado. En tercer lugar, el acceso debe estar restringido: el control de acceso basado en roles, la multiarrendabilidad y la separación de funciones buscan impedir que incluso los superadministradores puedan eliminar copias manualmente.

La preparación sigue siendo la excepción

Junto con ActualTech Media, HYCU encuestó a responsables de TI sobre el estado de su preparación frente al ransomware. El 65 por ciento afirmó no confiar plenamente en sus soluciones de backup actuales. Entre los afectados, el 52 por ciento sufrió pérdidas de datos medibles y el 63 por ciento interrupciones operativas. Solo el 41 por ciento aísla sus copias mediante air gap, solo el 47 por ciento las prueba con regularidad y apenas el 35 por ciento considera adecuadas sus herramientas actuales. Al mismo tiempo, el 77 por ciento de los consejos de administración participa ya activamente en debates sobre prevención de ransomware: el interés existe, pero las correcciones arquitectónicas suelen quedar rezagadas.

«Dados los costes multimillonarios asociados a los ataques de ransomware, sin mencionar el daño a la marca y a la moral de los empleados, las empresas no pueden permitirse no tener un plan», declara Simon Taylor, fundador y CEO de HYCU, según el comunicado.

Cinco etapas de la recuperación

HYCU describe la recuperación como una secuencia de cinco etapas, en las que la rapidez de cada una determina el alcance del daño: detección de cambios inusuales en archivos y anomalías en las copias de seguridad, contención mediante el aislamiento inmediato de los sistemas afectados y la interrupción de la replicación, evaluación del daño y del último punto de recuperación intacto, recuperación aplicación por aplicación según el orden de dependencias, y finalmente el refuerzo mediante el cierre de la vulnerabilidad explotada, la revisión de las políticas de acceso y una revisión posterior del incidente.

Autoevaluación gratuita

A través de R-Score, disponible en getrscore.org, HYCU ofrece una evaluación gratuita que califica la capacidad de recuperación ante ransomware de una empresa mediante un modelo similar a una puntuación crediticia. Evalúa la arquitectura de backup, el proceso de recuperación, la frecuencia de las pruebas y la preparación organizativa. Según HYCU, la mayoría de las empresas obtiene peores resultados de los que esperaba.

 

Por Jakob Jung

El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM. Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Aviso sobre Cookies en WordPress por Real Cookie Banner