Qué pueden hacer las empresas para defenderse de los crecientes ciberataques

Según datos de la Agencia Española de la Protección de Datos, en 2021 se notificaron 1.647 brechas de seguridad en España. De ellas, 643 fueron incidentes relacionados con ransomware y cifrado de información.Esto supone un 20,2% de brechas de información más que en 2020. En 2021 empresas como MediaMarkt o Meliá Hoteles e instituciones públicas como la Universidad Autónoma de Barcelona o el propio Servicio Público de Empleo (SEPE) fueron víctimas de ataques de ransomware.

Las organizaciones que se ven afectadas por un ataque de ransomware se encuentran entre la espada y la pared.

Por un lado, pueden pagar y volver a tener acceso a sus datos. Sin embargo, es muy poco recomendable hacerlo, ya que puede acabar teniendo un coste muy alto. Un reciente estudio de la empresa de ciberseguridad Palo Alto Networks ha dado a conocer que el rescate medio pagado por las empresas afectadas por un ataque en 2020 fue de 312.493 dólares estadounidenses — lo que supone un aumento del 170% comparado con el año anterior —.

Para empeorar aún más las cosas, no hay ninguna garantía de que se vayan a recuperar los datos después de pagar el rescate. De hecho, el pago del rescate puede hacer que la víctima sea más propensa a sufrir un segundo ataque, ya que ahora los atacantes saben que es vulnerable y que está dispuesta a rascarse el bolsillo.

Por otro lado, los departamentos de TI pueden trabajar sin descanso para tratar de recuperarse del ataque. Pero esto es más fácil de decir que de hacer. Incluso los equipos de TI mejor preparados necesitan de diez a catorce días para lograr que una organización se recupere de un ataque de ransomware. Y para el resto de compañías, estos ciberataques se han convertido en algo demasiado complicado de gestionar con sus propios medios.

En un momento en que los ataques de ransomware importantes siguen acaparando titulares, puede parecer que las organizaciones que intentan adelantarse a estos ataques no tienen nada que hacer, ya que es solo cuestión de tiempo que acaben siendo víctimas de estos agentes malintencionados.

Algunas organizaciones pueden tratar de invertir más en herramientas de seguridad, pero ni siquiera esto garantiza la protección. Todas las organizaciones tienen brechas de seguridad y vulnerabilidades y los ataques de ransomware han demostrado ser muy hábiles saltándose los sistemas de detección y atravesando las ciberdefensas tradicionales.

En base a nuestra experiencia, siempre recomendamos una triple estrategia de protección de datos moderna, para prepararse, minimizar los efectos y recuperarse de un ataque:

En primer lugar, para protegerse de un ataque y detectarlo más rápidamente, los departamentos de TI tienen que asegurarse de que mantienen el software y los sistemas operativos actualizados y con los últimos parches instalados. Hay que formar a todo el personal para que sean capaces de detectar los enlaces y los documentos adjuntos potencialmente maliciosos que se incluyen a veces en el correo electrónico, sobre todo en los mensajes no solicitados y en aquellos que proceden de fuera de la organización.

En este caso, es fundamental saber cuál es el funcionamiento “normal” de una infraestructura. De lo contrario, se pueden tardar semanas en ver algo “anormal” que indique que los datos o los sistemas pueden estar en peligro.

En segundo lugar, para minimizar el impacto de un ataque de ransomware es esencial hacer copias de seguridad de los datos periódicamente y mantenerlas en “Modo Seguro”. Es decir, hay que asegurarse de que están protegidas y cifradas y de que son inmutables. La inmutabilidad es especialmente importante, ya que mantiene los datos protegidos de las modificaciones o el borrado, incluso frente a las personas que pueden acceder a los sistemas como administradores.

En tercer lugar, para permitir una recuperación rápida tras un ataque, los responsables tecnológicos deben fijarse en los Acuerdos de Nivel de Servicio (SLA) para los datos de restauración y en la realización de las copias de seguridad de estos, a la hora de elegir a los proveedores de almacenamiento. Una “Restauración Rápida” de los datos es algo absolutamente imprescindible para lograr que la empresa vuelva a operar con normalidad lo antes posible.

Un ataque de ransomware no es un caso de recuperación normal, en el que hay unos cuantos archivos perdidos o una base de datos dañada. Es posible que todos los archivos y las bases de datos de una organización estén afectados, lo que hace que los departamentos de TI se enfrenten a una tarea de recuperación de una magnitud muchísimo mayor que la de las tareas que suelen tratar normalmente.

Por ejemplo, hay que tener en cuenta que se pueden tardar unas diez horas o más en restaurar una sola base de datos y que para muchas de estas restauraciones se necesitan más de 24 horas. Una organización puede tener que restaurar decenas e incluso cientos de estas bases de datos, una tarea titánica hasta para los departamentos de TI mejor equipados.

En resumen, las organizaciones que han sufrido ataques de ransomware han aprendido a la fuerza lo importante que es implantar una estrategia de protección de datos moderna. Con una combinación de medidas preventivas adecuadas, copias de seguridad de los datos en tiempo real y una solución de restauración rápida, las organizaciones que se vean afectadas por un ataque de ransomware estarán en mejores condiciones para volver a funcionar con normalidad rápidamente.

Adela de Toledo, Country Manager Pure Storage Iberia