Ransomware: una plaga moderna

El ransomware es un tipo de software malicioso que amenaza con publicar los datos de la víctima o bloquear permanentemente el acceso a los mismos, a no ser que se pague un rescate (ransom en inglés) – para las organizaciones modernas que confían en los datos para funcionar y crecer, este tipo de ataque puede ser catastrófico.

En marzo de 2020, McAfee ya había informado de que los ataques de ransomware se habían más que duplicado en un año y la compañía de seguros Beazley afirmaba que los ataques se habían incrementado un 25% en el primer trimestre de 2020 respecto al cuarto trimestre de 2019. Los datos de muchas otras fuentes fiables también apuntan a un incremento de las amenazas de ransomware.

Un panorama de amenazas en aumento

La pandemia de la COVID-19 ha supuesto un trastorno enorme para las empresas y ha creado una nueva normalidad en la que ahora operan numerosas organizaciones. De repente, la mayoría de los trabajadores han tenido que empezar a teletrabajar y esto es algo que se mantendrá durante algún tiempo.

Esta situación ha sido inevitable y ha generado nuevas oportunidades para los hackers, que ahora pueden explotar o aprovechar el hecho de que potencialmente hay mucha gente trabajando en redes y sistemas domésticos inseguros, realizando más llamadas y reuniones virtuales importantes para las empresas, con fallos de seguridad vulnerables a los ataques. Por lo tanto, no es nada sorprendente que la COVID-19 haya provocado un aumento repentino de los ataques de ransomware y, por ello, muchas empresas de seguridad están ofreciendo asesoramiento y nuevas medidas de protección a los clientes. Sin embargo, algo que no se suele mencionar con tanta frecuencia en relación con el ransomware es que el almacenamiento puede desempeñar un papel clave a la hora de reducir el riesgo.

La prevención ya no es suficiente

Para tener una estrategia de ciberseguridad sólida, las empresas ya no pueden confiar únicamente en los sistemas contra intrusiones. Si bien contar con las precauciones adecuadas para prevenir un ataque es vital, las organizaciones también tienen que planificar la recuperación por si se acaba produciendo un ataque. Esto significa que hay que implementar una estrategia que también tenga en cuenta la recuperación necesaria para que los datos se restauren lo más rápidamente posible.

En la gran mayoría de los casos, cuando una empresa se ha infectado con ransomware, ya es demasiado tarde para pararlo. Si todo el mundo está de acuerdo en que no se debe pagar el rescate, los datos, una vez cifrados, son irrecuperables. En este caso, los equipos informáticos son los responsables de restaurar los datos a partir de las copias de seguridad, que pueden no estar actualizadas, con lo que se acaban perdiendo datos. Este enfoque también implica asumir que las copias de seguridad están disponibles y no han sido cifradas o borradas por el propio ataque de ransomware.

Sin embargo, últimamente los hackers apuntan cada vez más a las copias de seguridad para borrarlas, por lo que reconocen que estas copias de seguridad son la última línea de defensa de una organización. Cuando esto ocurre, es imposible recuperar los datos, lo que obliga a las empresas a pagar el rescate o a resignarse a la pérdida de dichos datos, lo que puede provocar un daño irreparable. Incluso cuando se paga el rescate, nada garantiza que se recuperen los datos o que se esté protegido frente a futuros ataques y extorsiones. No hay que olvidar que los hackers son delincuentes experimentados.

El uso de las copias instantáneas para combatir el ransomware

Aquí es donde entran en juego las copias instantáneas avanzadas. Las copias instantáneas están diseñadas para proteger los datos del mismo modo que las copias de seguridad, pero con el objetivo de minimizar la pérdida de datos y los tiempos de restauración. Son como un índice detallado y protegen los metadatos, que funcionan como una guía para restaurar los sistemas de una organización, lo que acelera el proceso considerablemente. Con Pure, las copias instantáneas eficientes en cuanto al espacio y automatizadas mediante políticas de protección de extremo a extremo proporcionan la flexibilidad y la confianza necesarias para operar sin preocupaciones. Purity CloudSnap también permite la portabilidad de las copias instantáneas desde las instalaciones locales hasta un sistema secundario o la nube.

Pure lleva el concepto más lejos con su plataforma FlashBlade de almacenamiento rápido unificado de archivos y objetos a través de las copias instantáneas SafeMode. Estas copias instantáneas únicas, de solo lectura, son inmutables y evitan que quienes atacan con ransomware borren las copias de seguridad que están almacenadas en FlashBlade. Una vez habilitadas, las copias instantáneas automatizadas en FlashBlade se conservan durante un periodo de tiempo especificado por el cliente y no pueden ser borradas por el propio cliente y ni siquiera por alguien que tenga acceso como administrador al sistema FlashBlade o al software de realización de copias de seguridad.

Además, solo un miembro técnico autorizado de una organización podrá cambiar la configuración de las copias instantáneas, siempre que contacte con su homólogo del servicio de asistencia técnica de Pure para verificar su identidad y desbloquear el sistema. Por lo tanto, aunque la cuenta del administrador de la empresa esté afectada, los hackers no podrán tocar las copias instantáneas. Gracias a todo ello, si se produce un ataque de ransomware, los datos pueden restaurarse fácilmente.

La velocidad de restauración – el factor diferenciador subestimado

En el actual entorno empresarial acelerado, las organizaciones, incluso cuando cuentan con copias instantáneas inmutables, se ven limitadas por la velocidad a la que pueden restaurar los datos para tenerlos de nuevo instalados y en funcionamiento. Imagine que una gran empresa de comercio electrónico estuviera fuera de servicio tan solo una hora; el coste que le supondría sería de varios miles o incluso millones. Si se viera afectada por un ataque de ransomware, esta empresa querría restaurar sus datos seguros lo más rápidamente posible.

Las organizaciones deberían exigir soluciones de realización de copias de seguridad que puedan restaurar los datos a una velocidad de cientos de terabytes por hora, para una resolución a la máxima velocidad y para tener una tranquilidad casi total en relación con los ataques de ransomware. Con una estrategia de ciberseguridad sólida, reforzada con copias instantáneas avanzadas y una solución de restauración rápida, la fase de restauración después de un ataque de ransomware puede reducirse y pasar de varias semanas a tan solo unas horas.