Acabamos de presenciar uno de los ataques de ransomware más devastador y público jamás registrado. El viernes 12 de mayo de 2017, aproximadamente 200.000 damnificados en 150 países fueron víctimas de un ataque de ransomware mundial a una escala sin precedentes.
El Servicio Nacional de Salud (NHS) del Reino Unido estaba en la lista de víctimas conocidas. La interrupción de los servicios fue intensa. Muchos hospitales se vieron forzados a cancelar tratamientos y citas. En los noticieros, se instaba a la gente a no asistir al hospital a menos que su problema de salud pusiera en riesgo la vida.
La epidemia del ransomware
Aunque no hemos experimentado un ataque mundial de esta naturaleza anteriormente, el ransomware no es algo nuevo. Existe hace varias décadas. Sin embargo, lo nuevo es el nivel de dependencia que la mayoría de las empresas ahora tiene sobre las aplicaciones y los datos del área de TI. Cuanto más dependemos de las aplicaciones y los datos para brindar servicios cruciales, mayor es la oportunidad para los delincuentes cibernéticos.
De acuerdo con Cyber Edge Group, el 61 % de las empresas fue víctima de un ataque de ransomware durante el último año. Un tercio de esas víctimas supuestamente pagó para recuperar sus datos. El año pasado, el FBI calculó que los pagos por ransomware se acercaban a mil millones de dólares en 2016, y la cifra aumenta. Mil millones de dólares pagados a delincuentes debido a que la víctima no tiene manera de acceder o recuperar los datos de los que dependen para realizar su trabajo o brindar servicios críticos.
Medidas prácticas que puede tomar ahora mismo
Podríamos hablar mucho sobre la importancia de asegurar su red, actualizar todos los sistemas, educar a los usuarios e invertir en la solución más sofisticada de detección de amenazas y prevención. Todo eso es muy importante. Sin embargo, se ha comprobado repetidas veces que, independientemente de que crea que está bien protegido, no siempre es posible vencer a los delincuentes cibernéticos.
En mi opinión, es aún más importante asegurarse de contar con una estrategia de recuperación que le permita reanudar los servicios críticos con una pérdida de datos mínima y sin ningún impacto para los usuarios finales, incluso si usted es víctima del ataque de ransomware más sofisticado.
Me gusta simplificar las cosas. De modo que, cuando se trata de respaldo y recuperación (con respecto al ransomware) creo que hay tres cosas simples que puede hacer para asegurarse de que nunca deberá pagar un solo dólar a los delincuentes ni arriesgarse a los daños a la reputación que surgen cuando es víctima del ataque informático más reciente.
1. Proteja sus datos con frecuencia.
Eso puede parecer obvio. Pero no hablo de realizar un respaldo completo todos los días. Hablo de tomar instantáneas continuamente durante el día a intervalos regulares. Afortunadamente, existen muchos productos que permiten que el área de TI tenga este nivel de protección frecuente. Por ejemplo, los productos como Rapid Recovery se pueden configurar para tomar instantáneas hasta cada cinco minutos, si es necesario. Si lo desea, puede tomar instantáneas incrementales hasta 288 veces durante 24 horas. De esta manera, si fuera víctima de un ataque de ransomware, solo tendría que preocuparse por perder cinco minutos de datos como máximo.
2. Reduzca sus tiempos de recuperación
En épocas pasadas, era aceptable tener un SLA de recuperación de horas o incluso días en las aplicaciones empresariales y los datos. ¡Pero ya no más! Las expectativas de los usuarios y las partes interesadas de la empresa con respecto al tiempo de actividad de la aplicación y la disponibilidad se han ido por las nubes en los últimos años. Se calcula que el 35 % de los servidores tienen un SLA de recuperación inferior a 15 minutos.
En un informe de investigación reciente de V3 (The Cost of Doing Nothing [El costo de no hacer nada]) se confirmó que el 77 % de los equipos del área de TI estaban preocupados por no poder cumplir con las expectativas de recuperación de datos de sus empresas mediante sus estrategias y herramientas actuales. Afortunadamente, existe la tecnología que permite que el área de TI reduzca sus tiempos de recuperación a solo minutos. Por ejemplo, Rapid Recovery utiliza una función denominada Virtual Standby que fundamentalmente crea una VM por duplicado que se actualiza continuamente para reflejar la máquina de producción. La VM en espera se puede alojar en la misma ubicación, en una ubicación fuera del sitio o incluso en la nube. Si el servidor principal queda sin conexión debido a una falla o un ataque, se podrá activar la VM en espera y se podrán reanudar los servicios normales en cuestión de minutos. Este es solo un ejemplo de una función simple. Rapid Recovery tiene muchas otras funciones, como Live Recovery, Bare Metal Restore, etc., diseñadas para reducir los tiempos de recuperación de la aplicación y de los datos en cuestión de minutos.
3. Los datos de garantía se pueden recuperar
Un viejo amigo mío con frecuencia decía: “Nunca he visto que despidan a alguien por no hacer un respaldo de datos, pero he visto a mucha gente perder sus trabajos por no poder recuperarlos”. Una cosa es hacer respaldos frecuentes de datos, pero los respaldos son inútiles si no se pueden recuperar los datos correctamente.
Durante años, los equipos del área de TI han luchado con las herramientas de respaldo y recuperación de datos que fallaban con demasiada frecuencia. Muchas empresas realizan pruebas periódicas de recuperación ante desastres para simular un desastre y verificar que todos los sistemas, las aplicaciones y los datos se puedan recuperar en caso de un ataque importante o una interrupción. Otra medida simple es utilizar herramientas que prueben y verifiquen automáticamente que cada respaldo se puede recuperar. Por ejemplo, Rapid Recovery tiene una función integrada denominada Verified Recovery que prueba automáticamente cada respaldo al ejecutar una recuperación de prueba "detrás de escena". El software monta cada instantánea automáticamente y verifica que los datos estén intactos y se pueden recuperar correctamente, si es necesario.
Hay buenas noticias
Sí, los ataques de ransomware están aumentando y todos, desde los consumidores hasta las grandes corporaciones mundiales están en riesgo de sufrir un ataque. Pero también hay buenas noticias.
Es posible adoptar una estrategia de recuperación que garantice que nunca tendrá que pagar un centavo a los delincuentes cibernéticos. Mediante las herramientas que le permiten hacer las cosas enumeradas anteriormente (proteger sus datos con frecuencia, reducir los SLA de recuperación, verificar los respaldos) podrá dormir tranquilo sabiendo que, incluso si sucede el peor caso posible y usted es "víctima" de un ataque, podrá obtener sistemas, aplicaciones y datos completos nuevamente en línea en solo cuestión de minutos sin ningún tipo de impacto para los usuarios finales, como si el ataque nunca hubiera sucedido.
No confíe en mi palabra. Presentamos unas cuantas citas de algunos de nuestros clientes quienes sufrieron ataques, pero pudieron recuperarse de manera rápida y sencilla.
“Recuperamos varias VM del servidor que se habían visto comprometidas debido a un virus criptográfico en cuestión de horas”.
— Adam Boggs, analista de sistemas en red, FFR Merchandising
“Cuando restaura un sistema crítico en menos de 15 minutos, se convierte en héroe”.
— Leonardo Silva, analista de TI, InovTI Tecnologia
“Quest nos salvó de un ataque de ransomware”.
— Todd Wollin, ingeniero, Rogers Memorial Hospital
“Recuperación de CryptoWall (¡guau!), qué más se puede decir”.
Próximos pasos
Si está interesado en obtener más información sobre las estrategias y herramientas disponibles para protegerse del ransomware, le recomiendo que vea este seminario web informativo a pedido: The Cost of Doing Nothing: A Ransomware Story (El costo de no hacer nada: una historia de ransomware). Este seminario web cubre varios temas, incluidos los siguientes:
- Cómo funciona el ransomware
- Cómo reducir el riesgo de sufrir ataques de ransomware
- Cómo responder cuando el ransomware ya ha penetrado en su red
- Herramientas y recursos disponibles para evitar ataques y limitar daños a la reputación
