Llegamos a ustedes gracias a:



Reportajes y análisis

¿Sus respaldos lo protegerán del ransomware?

Rasomware, respaldo de datos

[29/06/2016] En teoría, nadie debería pagar dinero a los extorsionistas de ransomware. ¿Acaso nadie tiene respaldos en estos días? Hasta los consumidores tienen acceso a una amplia variedad de servicios de respaldo gratuitos o de bajo costo.

Pero los titulares están llenos de reportes sobre instituciones como hospitales y estaciones de policía, organizaciones que deberían tener planes de continuidad de negocio establecidos con estrategias de respaldo sólidas.

Aun así, de acuerdo al FBI, se han realizado pagos por más de 209 millones de dólares por causa del ransomware en Estados Unidos en el primer trimestre del 2016 -una cifra superior a los solo 25 millones de dólares de todo el 2015.

¿Qué está sucediendo? ¿Por qué no están funcionando los respaldos?

Para ahorrar dinero, algunas organizaciones no incluyen todos sus archivos importantes en los respaldos, o no ejecutan sus respaldos con la debida frecuencia. Otros no prueban sus respaldos y no descubren que los sistemas no funcionan hasta que es demasiado tarde. Finalmente, algunas compañías ponen sus respaldos en unidades de red, donde el ransomware los puede encontrar con facilidad y bloquear mediante codificación.

¿Cuántos respaldos son suficientes?

Siempre hay un balance entre precio y seguridad, y la mayoría de organizaciones tiene que priorizar sus gastos.

"Generalmente, lo que hemos visto históricamente en el mercado de respaldo de datos de clientes es que, cuando las áreas de TI ven el costo de almacenamiento para guardar los datos, las organizaciones se muestran un poco reacias a invertir, señala David Konetski, director ejecutivo de la oficina de soluciones para el cliente del CTO en Dell. "Pero eso fue antes de que el costo de almacenamiento bajara exponencialmente en los últimos 10 años. Ahora estamos en un mundo con almacenamiento y almacenamiento de nube realmente barato.

Adicionalmente, podría no ser suficiente solo respaldar los documentos y los datos importantes. Máquinas completas podrían necesitar respaldo, si es que son críticas para el negocio.

Por ejemplo, en el Hollywood Presbyterian Medical Center, que recientemente pagó el equivalente a 17 mil dólares a los criminales cibernéticos, el ransomware no solo cifró archivos, sino que afectó severamente las operaciones por casi 10 días, forzando al personal a recurrir a registros físicos y máquinas de fax. Organizaciones de periodismo locales reportaron que algunos pacientes de emergencia fueron redirigidos hacia otros hospitales.

"El malware bloqueó el acceso a ciertos sistemas de cómputo y evitó que compartiéramos comunicaciones electrónicamente, indicó el CEO Allen Stefanek en una carta pública.

Para el hospital, la forma más rápida de restaurar los sistemas fue pagar el ransomware.

Esto no siempre resuelve el problema. Ha habido reportes de hospitales que pagan el ransomware y no obtienen las llaves, o se les cobra una cantidad mayor.

Si imágenes limpias de las máquinas afectadas hubiesen estado listas, el hospital hubiese podido eliminar por completo el hardware infectado y lo hubiese podido restaurar, terminando en la última versión buena. Y las organizaciones no tienen que almacenar copias múltiples completas de todos los sistemas -los sistemas de respaldo incremental guardan solo los cambios más recientes, por lo que son muy eficientes.

"Si el sistema completo ha sido afectado, podría regresar al inicio, señaló Stephen Spellicy, director senior de administración de productos, protección de datos corporativos y administración móvil de la información en HPE.

Poner a prueba los respaldos

Crear una estrategia de respaldo completa exhaustiva es un proceso de involucramiento, especialmente para las empresas grandes con múltiples tipos de datos, archivos y sistemas que deben ser protegidos.

Esa complejidad es una razón por la que los respaldos no están funcionando, señala Stephen Cobb, investigador de seguridad senior en ESET. Otra razón es que los respaldos podrían tener un proceso de recuperación demasiado difícil.

"Una de las razones principales por la cual las organizaciones están siendo víctimas de ransomware es que no han tenido una prueba reciente de su proceso de recuperación, señala. Ellos han estado haciendo respaldos, pero no se les ha preparado sobre cómo recuperarlos -y existe evidencia anecdótica sobre cómo algunos administradores preguntan, '¿Qué tan trabajoso sería restaurar desde un respaldo versus pagar el ransomware?'

Muchas compañías no están probando adecuadamente sus respaldos, confirmó Spellicy de HPE.

"Una de las razones principales por las que encontramos clientes es porque estos han intentado realizar las recuperaciones con otro proveedor, y están buscando una nueva solución porque no les ha funcionado, afirmó. "Cuando lo necesite, tiene que funcionar. Eso es bastante crítico -si no puede volver a él, entonces no sirve.

Esconder los respaldos de los chicos malos

Los extorsionadores cibernéticos saben que los respaldos son su enemigo Nro. 1 y están adaptando sus ransomware para buscarlos.

"Muchas familias de ransomware destruyen todo el Shadow Copy y los datos sobre los puntos de restablecimiento en los sistemas Windows, indicó Noah Dunker, director de laboratorios de seguridad de RiskAnalytics. "Muchas familias de ransomware tienen como objetivo todas las unidades adjuntas, y cifran los respaldos también, aunque probablemente no se deba al diseño.

El respaldo de sus datos

Un enfoque de tres niveles para realizar respaldos más confiables

1. Respaldos diarios

Use un servicio de sincronización de archivos en línea para realizar respaldos constantes de los archivos con los que están trabajando sus empleados. Otra opción es realizar la sincronización en su propia red, pero haciendo uso de protocolos propietarios para que el respaldo no sea visible para los atacantes. O, si no hay nada más a su disposición, los empleados deberían adoptar el estilo de la vieja escuela y formar el hábito de sacar un puerto USB de sus cajones una o dos veces al día, respaldar sus archivos importantes, y guardar el puerto de nuevo en sus cajones.

De esa manera, si el ransomware infecta sus computadoras, el empleado puede continuar trabajando desde otra locación mientras resucitan a sus computadoras.

2. Respaldos a mediano plazo

Almacene respaldos regulares de las computadoras de los usuarios en dispositivos de almacenamiento de fácil acceso que estén lógicamente aislados del resto de la red. Úselos rápidamente para restaurar las máquinas de los usuarios, regresando a su último estado de trabajo.

3. Respaldos a largo plazo

Use un almacenamiento offline, físicamente aislado del resto de su compañía, para respaldos menos frecuentes, pero más completos de todo lo que su compañía necesite recuperar en caso de una emergencia.

Todo archivo que se encuentra adjuntado a una máquina infectada es potencialmente vulnerable, así como los discos duros adjuntados externamente y puertos USB conectados.

"Para hacer que sus respaldos sean a prueba de ransomware, debería usar una unidad que no esté montada en una estación de trabajo en particular, sostuvo Sam McLane, director de ingeniería de seguridad de ArcticWolf Networks."Por ejemplo, hacer fluir los datos, a través de la red, hacia otra estación de trabajo o dispositivo de almacenamiento que use una aplicación de respaldo. Asegúrese de mantener este dispositivo de almacenamiento o unidad protegida e inaccesible para las estaciones de trabajo de los usuarios, especialmente si éstas tienen acceso a Internet.

Debe haber controles de seguridad para separar a los usuarios de los respaldos, indicó Todd Feinman, CEO de la firma de clasificación de datos Identity Finder. También es una buena práctica tener respaldos fuera de las instalaciones, bien asegurados y cifrados.

"No necesita tener acceso diario -esos respaldos son solo para una emergencia, cuando todo lo demás se desmorone, señala.

Para un uso diario, como cuando los empleados borran archivos importantes por error y necesitan restaurarlos, existen muchos servicios de sincronización de archivos disponibles, agrega.

Estos sistemas van a monitorear los cambios en los archivos constantemente. Pero si un malware se introduce en la computadora y cifra todos los archivos, el cifrado también será copiado por el sistema de respaldo.

Afortunadamente, las versiones previas de los archivos usualmente se guardan.

"Una vez que los archivos actuales se hayan cifrado, los respaldos serán cifrados y la empresa tendrá que retroceder hacia un respaldo anterior que no estaba cifrado, afirma Craig Astrich, director de Deloitte Cyber Risk Services.

Sin embargo, el propio ransomware podría esconderse en los archivos cifrados cuando son respaldados.

"Si un archivo cifrado es respaldado como parte del proceso de respaldo, podría volver a cifrar el ambiente una vez que los archivos hayan sido restaurados, señala Scott Petry, cofundador y CEO de Authentic8. "Esto podría llevar a un círculo continuo de respaldo-restauración-cifrado. Cualquier proceso de respaldo debería ser implementado junto con el escaneo del malware para poder identificar estas explotaciones malignas antes de respaldar o restaurar.

No se trata solo de datos

Como si perder los archivos y ser excluido de los sistemas de misión crítica no fuese suficiente, el ransomware podría estar causando más daño aún.

Podría estar cubriendo otros ataques.

"Los hackers podrían estar usando el ransomware como una infección secundaria o para contrarrestar la respuesta a los incidentes, anota Tom Kellermann, CEO en Strategic Cyber Ventures.

Y ellos podrían hasta secuestrar las comunicaciones o página web de la compañía para esparcir más el ransomware.

Maria Korolov, CSO (EE.UU.)