Recuperación de ransomware: una completa guía para proteger sus datos

Resumen

Los ataques de ransomware están en auge y afectaron al 85 % de las empresas encuestadas en 2022. Aunque algunas empresas optaron por pagar el rescate, un número significativo de dichas empresas no pudieron, aun así, recuperar sus datos, y varias fueron víctimas de un segundo ataque. El ransomware puede paralizar una empresa, por lo que es fundamental que se prepare mediante la implementación de sólidas medidas de ciberseguridad, una estrategia de backup integral y un robusto plan de respuesta ante incidentes. Las empresas deberían comprobar de forma rigurosa la integridad del backup y hacer ensayos con su plan de respuesta. Deben conocer cómo recuperar tras un incidente de ransomware de la manera más rápida y efectiva posible.

Aprenda más sobre cuáles son las mejores prácticas frente al ransomware y cómo proteger a su organización.

¿Qué es la recuperación de ransomware?

Una de las amenazas más importantes a las que se enfrentan las empresas actualmente es el ransomware. Según el informe de tendencias de protección de datos de 2023, el número de empresas atacadas con éxito aumentó del 76 % en 2021 al 85 % en 2022. Alarmantemente, solo el 55 % de los datos cifrados pudieron recuperarse. De media, las empresas afectadas perdieron el 45 % de sus datos.

Existen diversos tipos de ransomware. Habitualmente los cibercriminales bloquean el acceso de los usuarios a sus equipos y cifran los datos para pedir en forma de rescate importantes sumas de dinero. El scareware y el doxware son otros tipos de ransomware que amenazan con filtrar información sensible y confidencial a no ser que las víctimas paguen un rescate.

La recuperación de ransomware es un conjunto de acciones intencionadas que las empresas acometen para mitigar el impacto de los ataques de ransomware. En base al supuesto de que los ciberdelincuentes conseguirán cifrar los datos de la empresa, las organizaciones implementan un sistema de backups de datos y snapshots de la configuración que le permitirán reconstruir sus sistemas. Tener éxito en la recuperación de ransomware depende de la efectividad de los procesos de backup y protección de datos de una organización y de lo que se haya visto afectado durante el ataque de ransomware.

Prepárese frente a los ataques de ransomware

La preparación frente al ransomware forma parte de la planificación de la continuidad de negocio, y el riesgo de sufrir un ataque es alto. Un ataque que tenga éxito podría provocar una pérdida de datos importante e impedir que su empresa pueda seguir funcionando con normalidad.

Prepararse para afrontar un ataque de ransomware requiere contar con un plan de recuperación detallado. Este plan debe revisarse y probarse a fondo de forma periódica.  Debería incorporar las mejores prácticas de prevención del ransomware, e incluir medidas de ciberseguridad sólidas y una estrategia integral de backup.

Implementar fuertes medidas de ciberseguridad

Su primer paso deberá ser reforzar su red contra accesos no autorizados y proteger sus sistemas frente a los ciberdelincuentes.  Los pasos principales incluyen:

• Protección de endpoints. Proteja todos los dispositivos endpoint, como portátiles, máquinas virtuales (VM), servidores, dispositivos integrados y dispositivos móviles. Implemente un sistema de autenticación multifactor (MFA), aplique políticas de contraseñas seguras y cifre sus datos.  Instale software de seguridad para endpoints y adopte los principios de seguridad de confianza cero (Zero Trust).
• Seguridad de red. Proteja su red frente a accesos no autorizados.  Use cortafuegos sólidos para protegerse de los ciberdelincuentes. Use redes privadas virtuales (VPN) para segmentar su red y minimizar el alcance de una vulneración de seguridad.
• Seguridad del correo electrónico. Implemente soluciones de protección contra amenazas avanzadas para proteger las cuentas de los usuarios. Forme a los usuarios en materia de seguridad del correo electrónico y sobre cómo reconocer las señales que indican un ataque de phishing.
• Aplicar las revisiones de software (parches). Instale rápidamente las revisiones de seguridad para reducir el riesgo de que los ciberdelincuentes puedan aprovechar las posibles vulnerabilidades.

Crear una estrategia de backup integral

Los ciberdelincuentes reconocen la importancia de los backups y por ello se dirigen a ellos y a los servidores de backup. Cree una estrategia de backup segura y completa, y tenga en mente estos puntos a la hora de desarrollar su propio plan de backup.

• Regla 3-2-1-1-0: Es una evolución de la regla del backup 3-2-1 original. Requiere hacer tres copias de los datos, además de los datos originales. Estas copias deberán guardarse al menos en dos tipos de soporte diferentes, con una copia fuera de las instalaciones y otra desconectada de la red (offline). En esta nueva versión de la regla, el cero significa que hay que comprobar los backups para verificar que no existen errores.
• Tipo de backup: su estrategia de backup puede incluir backups completos, incrementales o diferenciales. Habitualmente, los backups completos se realizan una vez por semana, y los incrementales o diferenciales a diario. Un backup incremental es una copia de seguridad independiente que almacena todos los cambios realizados desde el último backup completo o incremental. Un backup diferencial es ligeramente distinto, ya que lo que hace es una copia de seguridad de todos los cambios desde el último backup completo. Con cada copia diferencial el tamaño del backup aumenta.
• Copias de seguridad externas y en la nube: Al menos una copia de los backups deben almacenarse fuera del sitio, bien sea en un servidor remoto reforzado o en una instalación protegida en la nube como por ejemplo el almacenamiento de objetos en la nube Amazon S3.
• Backups inmutables: Los backups deberían ser inmutables. La inmutabilidad significa que estos backups son de sólo lectura y no pueden ni modificarse ni eliminarse, normalmente durante un periodo de tiempo definido previamente. Los backups inmutables ofrecen una mejor protección contra el ransomware.

Cómo detectar los incidentes de ransomware

Es fundamental detectar de forma anticipada una infección de ransomware ya que puede evitar un ataque de ransomware en toda regla. Los ataques de ransomware se producen en varias fases. Estas incluyen la entrada o infección inicial, el reconocimiento y puesta en escena y, por último, el cifrado de los datos. Si puede detectar esta actividad, es posible aislar las máquinas afectadas y reducir al mínimo posible el impacto de un ataque. Aquí tiene tres técnicas útiles:

• Identificar los síntomas e indicadores de un ataque de ransomware. Los primeros síntomas de un ataque frecuentemente implican una actividad inusualmente elevada de la CPU y de lectura y escritura en los discos duros.
• Supervise y analice las anomalías de la red. Entre los indicios más comunes de actividad maliciosa se incluyen un tráfico de red inusual, picos de tráfico, reducción del ancho de banda de la red y peticiones de red atípicas.
• Use soluciones de administración de eventos e información de seguridad (SIEM): gracias al uso de técnicas de aprendizaje automático, el software SIEM puede analizar los datos del registro de eventos e identificar amenazas y actividades sospechosas en tiempo real.

Qué hacer al responder a un ataque de ransomware

Ante un ataque de ransomware responda con rapidez y decisión. Cuanto más rápido responda, mejor, sobre todo si puede actuar antes de que el ciberdelincuente lleve a cabo del cifrado de sus datos. Aquí tiene cinco pasos que puede dar para responder:

• Implemente su plan de respuesta a incidentes: Active de inmediato su plan de contención, aislamiento y respuesta ante ransomware y comuníquelo a la dirección y a todos los responsables que participen en el plan de respuesta.
• Aísle y contenga los sistemas infectados: Determine qué sistemas se han visto afectados y aíslelos de su red interna y de Internet. Capture snapshots e imágenes del sistema de todos sus dispositivos infectados.
• Notifique la situación a las autoridades pertinentes y a las fuerzas de seguridad: Dependiendo de su jurisdicción, deberá informar sobre el ataque a las autoridades reguladoras y a las fuerzas del orden como por ejemplo el FBI o la Agencia de Ciberseguridad de Estados Unidos (CISA).
• Trabaje con la ayuda de expertos externos: Póngase en contacto con empresas especializadas en ciberseguridad y soporte informático como Veeam para obtener ayuda en la respuesta ante una emergencia de ransomware.
• Evalúe las implicaciones legales y éticas de su respuesta a un incidente de ransomware: Determine e informe a todas las partes afectadas. Establezca las consecuencias legales de la protección de datos, las leyes de privacidad y sus responsabilidades éticas.

Estrategias de recuperación de ransomware

Su estrategia de recuperación puede verse influenciada por diversos factores, entre los que se incluyen:

• El tiempo que necesitará para recuperar
• El impacto económico en el negocio
• La amenaza de revelar información confidencial a menos que se pague un rescate

Aquí analizamos diversas opciones, incluyendo el uso de backups, pagar el rescate, herramientas de descifrado de ransomware y proveedores de servicios antiransomware.

Restaurar los datos desde los backups

• Restauración de datos: restaurar los datos a partir de los backups de Veeam es un proceso relativamente sencillo. Puede elegir entre restaurar sus servidores originales o restaurar a una máquina virtual (VM). Esta segunda opción significa que puede recuperar rápidamente tras un ataque de ransomware mientras su equipo de TI trabaja para limpiar y reinstalar sus servidores. Veeam le permite crear una réplica a partir de su backup y configurar una VM a la que puede hacer failover (conmutar) en caso de que se produzca un ataque de ransomware. Otras opciones de recuperación incluyen snapshots y repositorios basados en memoria flash.
• Garantice el control e integridad de los datos: es fundamental asegurarse de que sus backups no estén infectados y sigan siendo utilizables. Por ejemplo, la función de restauración segura (Secure Restore) de Veeam lleva a cabo automáticamente un análisis antivirus de sus imágenes de backup antes de realizar la restauración.
• Recuperación de datos de los backups inmutables: no puede modificar los backups inmutables durante el periodo de inmutabilidad, lo que le protege contra el ransomware. Los backups inmutables proporcionan una mayor inmunidad frente a los ataques de ransomware.

Estudie el pago del rescate

La decisión de pagar el rescate es siempre una cuestión complicada y las empresas afectadas tienen que sopesar los riesgos y las consecuencias de hacerlo. Aunque el FBI no apoya el pago de un rescate, el Informe de Tendencias de Ransomware 2023 de Veeam demuestra que, aun así, el 80 % decidieron pagarlo. Entre los motivos para negociar con los operadores de ransomware se incluyen:

• Backups cifrados. Es probable que no pueda acceder a backups limpios. En el informe se indica que los ataques de ransomware afectaron al 75 % de los repositorios de backup.
• Coste de oportunidad. Cada día que su empresa está fuera de servicio, pierde dinero y credibilidad. El coste total del proceso de restauración podría superar el importe del pago del rescate. 
• Datos confidenciales. La amenaza de divulgar datos perjudiciales y confidenciales es una realidad, y es posible pensar que sea es más seguro pagar el rescate y recuperar esos datos. 

Sin embargo, hay muchas evidencias que demuestran que con el pago del rescate no se acaba con el problema. El 25 % de las empresas que pagaron el rescate no pudieron recuperar sus datos. Por si esto fuera poco, el 80 % de las empresas que pagaron el rescate fueron víctimas de un segundo ataque de ransomware posterior.

Las empresas deberían investigar opciones que eliminen cualquier necesidad de pagar el rescate.

Usar herramientas y técnicas de descifrado

En algunas ocasiones es posible descifrar los archivos codificados por el ransomware, pero el éxito de ello depende en gran medida del tipo de ransomware y de la disponibilidad de las herramientas adecuadas.  Kaspersky, Avast y Bitdefender disponen de herramientas de descifrado que pueden ser de utilidad con algunos tipos de ransomware. Sin embargo, los ciberdelincuentes más fructíferos usan métodos de cifrado fuertes con herramientas de cifrado de 128 y 256 bits. Romper ese nivel de cifrado es prácticamente imposible. En cualquier caso, los expertos han descubierto debilidades en determinadas formas de ransomware que permiten a los usuarios descifrar sus archivos.

Trabaje con servicios de recuperación de ransomware

Si desea intentar descifrar sus archivos, es mejor que trabaje con un proveedor profesional de servicios de recuperación de ransomware. Algunas empresas han logrado una excelente reputación en este campo, pero hay muchas que no. Por ello, antes de contratar este tipo de servicios, evalúe su experiencia. Es preferible tratar con profesionales reputados que analicen su situación y puedan ofrecerle una respuesta honesta sobre si van a poder o no recuperar sus datos. Los mejores proveedores de servicios operan a nivel mundial con múltiples laboratorios de investigación. Dicho esto, este tipo de servicio es caro, y no hay plenas garantías de que vaya a recuperar sus datos.

Mejores prácticas de recuperación de ransomware

A pesar de todos estos obstáculos, es posible recuperarse de un ataque de ransomware. Aquí tiene cuatro buenas prácticas de recuperación de ransomware que pueden marcar la diferencia entre el éxito y el fracaso.

• Pruebe y valide los backups: los backups seguridad no sirven para nada si estos no funcionan. Lleve a cabo pruebas periódicamente para comprobar si están dañados, o si contienen virus o malware.  Monte los backups en una máquina virtual y asegúrese de que funcionan.
• Prepare un plan de respuesta a incidentes de ransomware: diseñe un plan detallado de respuesta a incidentes que defina responsabilidades de manera específica. Enumere los pasos que debe dar su equipo para llevar a cabo una recuperación antes de que se produzca un ataque.
• Simule y practique la recuperación del ransomware: compruebe que su plan funciona simulando un ataque de ransomware. Evite la interrupción de los servicios usando una máquina virtual desconectada (offline). Practique su proceso de recuperación hasta que todos los participantes sepan qué tienen que hacer.
• Capacite al personal en tácticas de prevención del ransomware: forme a su personal para que sepa reconocer los ataques de phishing y otras tácticas utilizadas por los ciberdelincuentes.

Qué hacer tras un ataque de ransomware

Posteriormente al ataque y una vez que se haya recuperado, realice una inspección postmortem detallada para analizar lo sucedido.  

• Evalúe el impacto y el alcance del ataque de ransomware: dirija un estudio y evaluación posterior a la recuperación. Descubra el alcance total del ataque y mida su impacto en términos de tiempo de inactividad y pérdidas económicas. Determine cómo accedieron los ciberdelincuentes a sus sistemas y si lograron comprometer sus backups.
• Aborde las vulnerabilidades: identifique y corrija todas las vulnerabilidades de hardware y software. Forme nuevamente a sus empleados.
• Refuerce la seguridad: fortalezca sus sistemas y revise los permisos. Configure VPN adicionales para aislar mejor los sistemas. Implemente prácticas de autenticación MFA.
• Ponga en marcha estrategias de mitigación de riesgos a largo plazo: colabore con organizaciones de ciberseguridad como NIST y CISA. Aprenda a reducir sus riesgos, mejorar la seguridad y proteger sus sistemas.

Conclusión

La recuperación de ransomware es factible. No es aconsejable pagar el rescate, dado que la mayoría de las empresas que lo pagan, no pueden recuperar todos sus datos. El factor más importante para conseguir una recuperación exitosa es la correcta preparación ante los ataques de ransomware. Esta preparación incluye la implementación sólida de medidas de seguridad y el disponer de una estrategia de backup apropiada. Se necesita una estrategia coherente de respuesta ante ransomware y un equipo totalmente formado, y la detección temprana del ransomware es fundamental. Otro factor importante es contar con una estrategia sólida de backup con múltiples copias inmutables. Es importante, igualmente, darse cuenta de la necesidad de una iniciativa de mejora continua para poder adaptarse a la evolución de las amenazas.

Obtenga más información sobre la recuperación de ransomware con esta breve serie de vídeos sobre las tendencias del ransomware en 2023. Estos vídeos muestran de forma práctica cómo prepararse y recuperarse de un ataque de ransomware.

Contenido relacionado

• Informe de tendencias de ransomware 2023
• ¿Cómo deberían las empresas gestionar el ransomware?
• Recuperarse del ransomware: análisis de tendencias 2023