Considere esta situación: su organización acaba de sufrir un ciberataque y todos los datos de los que depende para funcionar son inaccesibles de repente. Sus archivos están bloqueados, encriptados por el pirata informático, que ahora exige un cuantioso pago para restaurarlos. ¿Paga? ¿Tiene una copia de seguridad?
Por desgracia, para los profesionales de IT, esta situación es cada vez más frecuente. El año pasado, el ransomware volvió a ser la forma más común de ciberataque en todo el mundo, costando a las víctimas una media de 4 millones de dólares por brecha de seguridad. Estos ataques —que emplean malware para bloquear los datos de una organización hasta que se pague un rescate— están ganando importancia rápidamente: según algunos analistas, el ransomware va camino de superar los 250.000 millones de dólares en daños acumulados para 2031.
En respuesta, las organizaciones han estado dedicando cada vez más recursos de seguridad a la prevención del ransomware y otras violaciones de datos; sin embargo, muchas no planifican adecuadamente la recuperación de sus datos después de que se haya producido un ataque. Se trata de un descuido crítico, ya que el tiempo de recuperación de una brecha puede alargarse durante meses, paralizando las operaciones empresariales por el camino.
Minimizar el impacto de los ataques de ransomware exige un cambio de mentalidad: en lugar de limitarse a reforzar las defensas con soluciones y servicios de seguridad y esperar que nunca se produzca una brecha, las organizaciones deben empezar a tratar estos ataques como algo inevitable. Esto requiere un plan de resiliencia de datos; específicamente, uno en el que los archivos estén protegidos de forma que sean invulnerables a los ciberdelincuentes. Gracias a la tecnología moderna, incluida la inteligencia artificial (IA), este tipo de defensa es más fácil de establecer y gestionar de lo que podría pensarse.
Demasiadas puertas
Asegurar a una organización contra los ataques solía ser mucho más sencillo. Se establecía un perímetro y se protegía. Ahora, con el auge del trabajo híbrido y el crecimiento sin fin de dispositivos conectados, cada individuo dentro de la organización es un vector de ataque potencial. Los ciberdelincuentes pueden introducirse a través de infecciones de puntos finales —cuando un empleado conecta a la red un teléfono o un portátil infectado—, de despliegues de puertas traseras —que utilizan malware para acceder a ordenadores remotos— o de una serie de otros esquemas.
Además, los hackers son cada vez más rápidos a la hora de llevar a cabo sus ataques. De hecho, el tiempo medio necesario para completar un ataque de ransomware se ha reducido un 94% en los últimos años. Gracias al modelo de «ransomware como servicio» que están adoptando las empresas de ciberdelincuentes, que hace que el código malicioso sea aún más accesible para los malos actores con herramientas predesarrolladas disponibles bajo demanda, los ataques de ransomware que antes tardaban meses en ejecutarse por completo ahora pueden llevarse a término en menos de 4 días.
En pocas palabras, ahora hay más vías de entrada a los activos de datos de una organización que nunca, y las estrategias de defensa proactivas por sí solas no son suficientes.
Copias de seguridad indefensas
Aceptando que las filtraciones son inevitables, el reto consiste en minimizar su impacto en las operaciones. Durante décadas, la práctica común para la resiliencia de los datos ha consistido en sistemas de copias instantáneas de volumen. Se realizan copias de seguridad de los datos en un archivo a intervalos fijos y, cuando algo va mal con la copia local, los administradores pueden simplemente volver atrás y tirar de los datos limpios más recientes para sustituir cualquier archivo problemático.
Pero, con el tiempo, los ataques de ransomware se han vuelto más sofisticados y pueden infectar no sólo los datos de trabajo, sino también las copias instantáneas de volumen. Esto deja a las organizaciones comprometidas con una difícil decisión: pasar incontables horas revisando las copias de seguridad en busca de datos no infectados, o simplemente pagar el rescate.
Para las organizaciones de sectores en los que el tiempo de inactividad es especialmente problemático, esto se convierte en un dilema menor, ya que a menudo no tienen más remedio que optar por la segunda opción. De hecho, los hospitales regionales se encuentran entre las empresas más atacadas por el ransomware, dada la sensibilidad de sus datos y la intolerancia a cualquier tiempo de inactividad. Sin embargo, incluso en sectores que operan bajo menos tensión, el coste de llevar a cabo un esfuerzo de recuperación prolongado puede superar el precio de simplemente pagar a los atacantes. E incluso, cuando se tiene éxito, se pierde una cantidad significativa de datos entre el inicio de la brecha y el final de la recuperación.
Remediación asistida y recuperación inteligente
Afortunadamente, están surgiendo nuevas tecnologías que ayudan a reducir el alcance del daño que los atacantes pueden infligir a las copias de seguridad de los datos, haciendo que el proceso de recuperación sea mucho más rápido y sencillo.
Entre estos nuevos métodos está el uso de la IA para ayudar en la detección de ciberataques a los datos. Cuando los datos se escriben en un dispositivo de almacenamiento, las piezas caen en su lugar con una aleatoriedad constante, denominada entropía. Cuando se producen infecciones de ransomware, el patrón de aleatoriedad cambia a medida que los atacantes empiezan a corromper los archivos. Aplicando algoritmos de IA y entropía en tiempo real a medida que se escriben los datos (lo que se conoce como detección de corrupción de datos en línea), es posible detectar alteraciones en los patrones de escritura de datos a nivel de la unidad de disco, lo que permite a los administradores sellar inmediatamente las copias de seguridad para evitar daños mayores.
Los mejores sistemas de copia de seguridad, sin embargo, emplean lo que se conoce como copias instantáneas inmutables o snapshots para preservar los datos de forma impermeable a los ciberataques. Desarrollado por primera vez para el sector financiero, este método implica la creación de una copia permanente e inalterable dentro de la matriz de almacenamiento a la que ninguna máquina o individuo puede acceder directamente. Estos archivos sólo pueden alterarse mediante una copia del snapshot, dejando siempre intacto el original. El aprendizaje automático también entra en juego para comprobar la copia de la copia instantánea inmutable y validar que no haya corrupción. En caso de violación, los administradores pueden simplemente extraer una copia limpia de la snapshot para restaurar su conjunto de datos. Además de servir como el escudo más formidable contra las intrusiones maliciosas, las copias de seguridad o backups inmutables también son extremadamente valiosas en caso de alteraciones accidentales de los datos, como la corrupción de archivos y los errores humanos.
Naturalmente, este proceso puede consumir una cantidad significativa de espacio de almacenamiento; para hacerlo factible, las instantáneas inmutables sólo se capturan a intervalos determinados, como una vez por hora. Por lo tanto, la estrategia ideal de resiliencia de datos implica una combinación de algoritmos de entropía y snapshot. De esta manera, los esfuerzos de recuperación pueden comenzar inmediatamente después de una brecha de seguridad, evitando la pérdida de cualquier dato nuevo creado en el intervalo entre la creación de copias de seguridad inmutables.
Cubrirse las espaldas
A medida que aumenta la importancia de los datos para organizaciones de todo tipo, es demasiado lo que está en juego como para confiar únicamente en métodos de seguridad proactivos. Ha llegado el momento de planificar cuándo se producirá una brecha, no de evaluar si el ataque se producirá, porque sin duda terminará ocurriendo.
El primer paso para cubrir sus bases de datos debería consistir en una evaluación exhaustiva de su infraestructura de copia de seguridad de datos, seguida de una inversión en soluciones modernas que incluyan IA y empleen salvaguardas como copias instantánea de volumen, algoritmos de entropía y restauraciones de datos validadas que puedan automatizarse. A continuación, puede empezar a desarrollar una estrategia integral para volver a poner en marcha su organización.
Juan Castillo, Vice President Infraestructure, IBM Spain, Portugal, Greece and Israel
