El tiempo apremia: lo que las empresas aún deben entender sobre los ataques de ransomware

  • Opinión
Rick Vanover Veeam

El ransomware ha dominado la conversación sobre seguridad en los últimos años. Pero a pesar de esto, muchas personas y organizaciones aún no entienden cómo se desarrollan estos ataques.

Los ataques de ransomware no ocurren instantáneamente, no se trata de un enlace malicioso y luego un bloqueo. En cambio, los ataques pueden tardar años en producirse, desde las observaciones iniciales y los robos hasta la declaración del rescate. Por ejemplo, los informes sugieren que ransomware como Clop puede haber estado aprovechando su exploit MOVEit desde 2021. Entonces, ¿cuál es el recorrido de un ataque de ransomware y por qué las empresas deben entenderlo para mejorar su resistencia a él? 

Descripción del recorrido de un ataque

Es un error común pensar que los ataques de ransomware surgen de la nada. A los ciberdelincuentes les suele gustar tomarse su tiempo, recorrer las diferentes rutas a través de una empresa y conocerla a fondo.

La fase del rescate es la única parte visible del proceso. Es entonces cuando los atacantes anuncian su presencia, pero, como han puesto de relieve las investigaciones sobre el hackeo de MOVEIt de este año (el mayor hackeo de 2023 hasta la fecha), pueden pasar años entre bastidores. Entonces, ¿qué ocurre en el período previo a la solicitud de rescate?

En primer lugar, los atacantes comienzan con una fase de observación. Durante este periodo de tiempo se dedican a recopilar la mayor cantidad de información posible sobre la organización que tienen como objetivo, incluido su personal, procesos y tecnología. Esto podría llevar meses. Una vez que se haya recopilado suficiente información, los atacantes se moverán para infiltrarse en el sistema de su objetivo, obteniendo acceso a través de un ataque preliminar, comúnmente un correo electrónico de phishing.

Tras entrar en la organización, los agresores acampan en su infraestructura informática y crean una base de operaciones desde la que pueden aumentar su nivel de acceso y realizar movimientos laterales. En esta fase son capaces de producir algunos de los daños más importantes, husmeando sin ser detectados y comprometiendo objetivos identificados de alto valor. Pueden tomarse su tiempo, realizando tantos movimientos como sea posible para garantizar la máxima explotación.

Después de esto, los atacantes dedican tiempo a paralizar la capacidad de recuperación de la empresa. Esto implica alterar las rutinas de copia de seguridad, la documentación y los sistemas de seguridad para reducir o negar por completo las capacidades de restauración. Así, antes de que la organización sea siquiera consciente del ataque, ya es demasiado tarde para recurrir a su copia de seguridad. En esta etapa se llega finalmente a un punto crítico con la declaración del rescate. Además de anunciar su presencia y hacer peticiones, en esta fase final los ciberdelincuentes cifrarán los datos de su víctima y borrarán todos los registros y copias de seguridad. Todo este proceso puede durar un año o incluso varios.

Copia de seguridad a prueba de balas

Descubrir que los agentes maliciosos pueden habitar en los sistemas sin ser detectados durante un año o más sin que las empresas se enteren puede resultar desalentador. Pero es un conocimiento crucial y permite crear una sensación de urgencia a la hora de implantar una sólida estrategia de seguridad de datos. Cada minuto que pasa una empresa sin ponerse en marcha es un minuto más en el que los ciberdelincuentes pueden llevar a cabo el trabajo preliminar que más tarde le causará más daño. Entonces, con estos conocimientos, ¿qué medidas deben tomar las empresas? La mayor preocupación es la utilidad de las copias de seguridad para la recuperación tras un ataque. Supongamos que su sistema tuvo una brecha hace un año sin que lo supiese. En ese caso, es muy probable que sus copias de seguridad se vean afectadas, lo que significa que intentará restaurar sus datos utilizando una copia de seguridad comprometida. Afortunadamente, esto puede evitarse con la preparación adecuada y la estrategia de copia de seguridad correcta.

Ser vulnerado por un ataque de ransomware es casi inevitable para la empresa moderna, dado que ya en 2022 el 85% de las organizaciones había experimentado al menos un ciberataque, casi un 10% más que el año anterior. Además, como los ciberdelincuentes apuntan cada vez más a las copias de seguridad, el camino hacia la recuperación puede ser más largo que nunca.

Es necesario pensar más en el cuándo si hablamos sobre ataques de ransomware, dado que de esta forma será posible reconocer que es necesario utilizar una copia de seguridad para restaurar sus datos críticos cuando llegue el momento. Reconocer esto debería impulsar a las empresas a invertir tiempo y recursos serios para garantizar que sus copias de seguridad son férreas.

Esto es posible siguiendo la regla de oro de las copias de seguridad: 3-2-1-1-0. Esto requiere tres copias de los datos almacenados en dos soportes diferentes, uno externo y otro inmutable. En todas estas copias tiene que haber cero errores. Partir de la base de que los ciberdelincuentes atacarán las copias de seguridad significa tomar precauciones para conservar al menos una copia intacta que pueda utilizarse para la recuperación. Es como guardar el dinero en un banco y hacer copias de los documentos esenciales en caso de que roben en casa: los ladrones atacarán su caja fuerte, por lo que almacenar los objetos de valor fuera de las instalaciones y hacer copias proporciona tranquilidad.

Poner en práctica una estrategia de copia de seguridad 3-2-1-1-0 no es cosa de una sola vez. Es necesario supervisar y probar constantemente las copias de seguridad, comprobando si hay errores y limpiando los datos si fuese necesario. Los ciberdelincuentes confían en que las empresas no lo hagan: pero es necesario ir un paso por delante siendo estricto en la estrategia de datos.

Controlar el caos

El ransomware es un desastre, y la recuperación ante desastres lleva tiempo. Según el último Ransomware Report de Veeam, la mayoría de las empresas tardan al menos tres semanas en recuperarse de un ataque de ransomware. Es importante tener en cuenta que este tiempo de recuperación comienza después de que la empresa haya realizado el proceso de selección. Esta etapa de investigación puede ser extensa, y su impacto en los plazos de recuperación es difícil de predecir y sobrestimar. En esta fase, la empresa necesita identificar el origen del ataque y el alcance de los daños, e incluso puede enfrentarse a trámites burocráticos si los organismos gubernamentales tienen que dirigir la investigación.

Durante este tiempo, la empresa sigue estando en peligro. En el peor de los casos, podría verse obligada a cesar por completo sus operaciones mientras se investiga y se resuelve la brecha. No sería necesario decirlo, pero es evidente que si una empresa no funciona no puede ganar dinero. Peor aún, los costes se disparan, ya que la recuperación de un ataque a gran escala exige muchos recursos, con los departamentos de TI y los principales interesados trabajando sin descanso, y hay que tener en cuenta los honorarios legales y los costes de indemnización, así como los daños de reputación.

Es difícil predecir cuánto durará un proceso de recuperación porque el ransomware es un desastre, salvo por un detalle. Supongamos que se está recuperando de un desastre natural como un incendio. En ese caso, puede confiar en tus últimas copias de seguridad o réplicas conocidas y utilizarlas para iniciar la recuperación inmediatamente, sabiendo con seguridad que las copias de seguridad no han sido interferidas. No ocurre lo mismo con un desastre como el ransomware, que alarga considerablemente el tiempo de recuperación. Lleva tiempo identificar qué servidores están infectados y determinar si las copias de seguridad y réplicas también están afectadas (si lo están, pueden reintroducir el ransomware en su infraestructura, enviándole de vuelta al punto de partida).

Sin embargo, aunque el ransomware es una amenaza grave y puede causar daños generalizados, hay medidas que las empresas pueden tomar para reducir el tiempo de recuperación y el grado en que pueden verse comprometidas. Como ya se ha mencionado, la regla de oro de las copias de seguridad 3-2-1-1-0 es una herramienta fundamental en su arsenal. Aunque los ataques de ransomware son inevitables y las copias de seguridad son cada vez más un objetivo, mediante la aplicación de una sólida estrategia de copia de seguridad de datos, siempre tendrá una copia limpia de sus datos a la que recurrir.

Por Rick Vanover, Senior Director of Product Strategy en Veeam