En los últimos años, los ataques de ransomware han crecido de forma preocupante, causando grandes daños a organizaciones de todas las industrias, incluido el Retail. Apuntan a datos críticos y los hacen inaccesibles para los propietarios, hasta que pagan por su rescate. En muchos casos, incluso después del pago, los datos no se restauran y los ciberdelincuentes siguen reteniéndolos bajo su poder.
¿Imagina una situación así para el sector minorista durante la próxima temporada de ventas online con descuentos, que en México será del 15 al 23 de mayo entrante? Según la Asociación Mexicana de Ventas Online (AMVO), creadora de la iniciativa, este año se espera superar 14,000 millones de órdenes de compra y 12,000 millones de compradores. Los retailers y demás negocios involucrados en la dinámica tienen mucho en juego, y el escenario es retador: el Informe de Tendencias de Ransomware 2023, de Veeam, destaca que 1 de cada 7 empresas vio afectados más del 80% de sus datos como resultado de este tipo de malware, y según el Informe de Tendencias de Protección de Datos 2024, también de Veeam, el 76% de las organizaciones globales fueron atacadas con ransomware al menos una vez durante los últimos 12 meses, y sólo el 13% lograron orquestar exitosamente la restauración con recuperación ante desastres (DR).
Los respaldos limpios y seguros son cruciales para sobrevivir al ransomware, de forma que contar con un plan de respaldo sólido que incluya procesos de recuperación preprogramados y automatizados, es fundamental. Las organizaciones deben confiar en su capacidad para recuperarse rápidamente de un ataque de cualquier magnitud. En Veeam consideramos que no sólo es esencial seguir incorporando respaldo y recuperación de ransomware en los programas de seguridad para garantizar que los datos sean resistentes y estén protegidos, sino que los negocios deberían considerar la creación de un programa de seguridad integral (que combine gente, procesos y tecnología) centrado en la mejora continua, para pasar de una defensa reactiva a una postura proactiva.
Un plan de recuperación preprogramado y automatizado minimiza el tiempo de inactividad ante un ataque de ransomware y automatiza el proceso para reducir el riesgo de una mayor inactividad y una posible reinfección. Antes de sufrir ataques, las empresas deben asegurarse de estar equipadas con el conjunto de capacidades más completo disponible en el mercado. Para contrarrestar cualquier amenaza potencial, considere estos 7 pasos:
1. Lograr la resiliencia de los datos
En relación con la protección de datos, el enfoque estándar de la industria es la Regla 3-2-1, que muchas organizaciones practican de manera predeterminada. Pero, aun cuando funcionó muchos años, ya no es suficiente en la era del ransomware: hay que dar un paso más allá y asegurarse de tener una copia inmutable de los datos, así como hacer pruebas exhaustivas para garantizar que no haya errores, por lo que el nuevo estándar de la industria ahora es la Regla 3-2-1-1-0.
2. Diseñar para una recuperación ágil
En tiempos de crisis, respaldar es sólo el primer paso hacia la recuperación. La inactividad provoca pérdidas financieras y daños a las empresas. Para que las operaciones comerciales estén en funcionamiento lo antes posible, es crucial diseñar una estrategia sólida con soluciones resilientes.
3. Aplicar seguridad multicapa
Cualquier profesional de la seguridad tiene claro que lo primero es cerrar la puerta de entrada; sea física o metafórica, hay que usar una estrategia defensiva a profundidad. Con este fin, Veeam brinda una serie de herramientas para ayudar a los negocios de Retail y en general a levantar sus escudos contra las amenazas. La autenticación multifactor (MFA) debe habilitarse siempre que sea posible. Desde la perspectiva del sistema operativo, los componentes de la infraestructura (como los servidores proxy, los repositorios y el propio servidor de respaldo) deberían requerir algún tipo de MFA para iniciar sesión.
4. Monitorear las amenazas emergentes e identificar los accesos y cambios no autorizados
Los atacantes suelen dejar marcadores en su entorno, para verificar que sus credenciales robadas sean válidas y comprobar qué permisos tienen y en qué sistemas. Esto se puede rastrear e identificar, como parte de un programa de prevención y evaluación de riesgos. Al ejecutar y revisar periódicamente un informe de cambios de infraestructura, es posible detectar cambios en el entorno virtual rastreándolos en máquinas virtuales, hosts y almacenes de datos, donde se obtienen detalles como cuáles y cuántos cambios se produjeron, quién los realizó y cuándo. Recibir alertas y actuar al respecto puede marcar la diferencia entre ganar o perder la batalla contra el ransomware.
5. Automatizar la documentación, seguridad y pruebas
Aunque es crucial, mantener actualizados los planes de DR es un reto que afecta a empresas de todos los tamaños. Ningún área de TI quiere enfrentarse a ejecutar un plan de DR sólo para descubrir que la documentación está desactualizada, faltan pasos o, incluso, es completamente incorrecta y no ayuda a que las operaciones comerciales se mantengan en funcionamiento. Cuando se produce un ataque de ransomware, los respaldos son la última y, a la vez, la mejor línea de defensa. Con todo, el malware suele persistir en los entornos. Hay un determinado tiempo antes del ataque donde éste se propaga en segundo plano, esperando ser activado. Los respaldos pueden contener, sin saberlo, una copia de la amenaza, por lo que existe el riesgo de que la restauración de los respaldos reintroduzca amenazas en el medio ambiente. Poder comprobar que las copias estén limpias antes de restaurarlas es 100% necesario.
6. Utilizar la detección de amenazas basadas en API
Un desafío común que enfrentan las empresas es el impacto de hacer un escaneo de detección que consume muchos recursos en las cargas de trabajo de producción. Analizar archivos buscando amenazas o indicadores puede provocar un uso excesivo del CPU y degradar el rendimiento del disco, inconvenientes que se evitan al escanear en busca de amenazas contra respaldos con el escaneo offline. Uno de los diferenciadores clave que ofrecemos con Veeam Recovery Orchestrator es su capacidad para restaurar cargas de trabajo de VMware y respaldos de Veeam Agent directamente en Microsoft Azure, así como en entornos VMware. Las empresas pueden planificar la recuperabilidad creando planes de orquestación para combatir los tiempos de inactividad, sean debidos al ransomware o a sus consecuencias (como las restricciones impuestas por las autoridades).
7. Planificar un centro de datos inaccesible
Tener un sitio para restaurar las cargas de trabajo es una tarea crítica que debe planificarse con anticipación. Tanto si los servidores de producción están offline por una investigación forense o si no se cuenta con recursos disponibles para restaurarlos en su centro de datos, las empresas deben asegurarse de que pueden volver a estar online lo antes posible.
Con estos pasos, los ejecutivos pueden estar seguros de que su negocio estará bien preparado ante un ataque de ransomware exitoso, tanto durante la campaña de ventas de este mes de mayo como en cualquier momento, y que podrán recuperarse con rapidez sin pagar un rescate. Aunque no hay una forma infalible de prevenir el ransomware, comprender con claridad las mejores prácticas para proteger los datos y los pasos necesarios para recuperarse con éxito de éste, reducirá la superficie de ataque y le dará a la empresa visibilidad de las amenazas emergentes. El resultado final: un equipo de respuesta mejor equipado, con el conocimiento adecuado y las herramientas vitales para defender los datos mediante una resiliencia radical que proteja cualquier organización del riesgo latente del ransomware.
Por Mauricio González, vicepresidente de Veeam para Latinoamérica