Skip to main contentScroll Top

Cómo un sistema de backup te ayudará a evitar el ransomware y sus consecuencias

Tiempo de lectura: 4 minutos

Si eres el responsable de IT de una empresa con una alta dependencia de su sistema de información, quizá te sientes incómodo ante la posibilidad de que no esté correctamente protegido ante posibles ataques de ransomware.

Y esta incomodidad crecerá al sumar algunas de estas circunstancias

  • Cuanto más expuesta esté tu marca al público, más probabilidad de ser atacada.
  • Los antecedentes de cesión al chantaje aumentan las probabilidades de volver a ser atacado de nuevo.
  • En la medida que tus proveedores de seguridad hacen gala de tu fidelidad, están dando pistas a quienes organizan los ataques maliciosos para aprovechar vulnerabilidades conocidas

Como ya sabrás, el ransomware es un tipo de malware cuya infección tiene como consecuencia el ‘secuestro’ de tu infraestructura o de tus datos hasta que se produce el pago del rescate exigido pro los ciberdelincuentes.

El secuestro se puede producir de dos formas: la primera de ellas es el bloqueo de todo dispositivo de entrada al sistema, por lo que desaparece cualquier posibilidad de interaccionar con el sistema, quedando este bloqueado.

En la segunda modalidad, toda la información del sistema queda encriptada e inaccesible para su propietario.

¿Cómo suele ser la infección de un software ransomware?

Usualmente utiliza tres canales de entrada. El más común es el envío de un anexo a un email pero también puede esconderse en descargas de software ilegal o gratuito, videos, etc…

Consecuencias derivadas de una infección imprevista de ransomware

  • Bloqueo operativo de la organización.
  • Creación de un sistema paralelo de gestion, basado en copias de seguridad, totales o parciales, y equipos no conectados a la red principal.
  • Estudio y decisión sobre la solución a tomar
    • Pago del rescate, aunque nunca podamos estar seguros de que realmente desbloquearán el Sistema, como prometen.
    • Formateado y borrado de equipos, con la pérdida de información correspondiente.
    • Disponer de técnicos de primer nivel que trabajen en la eliminación del Código malicioso.
  • Revisión de protocolos de seguridad.
  • Cálculo del impacto económico y de reputación derivado de la infección.
  • Determinación de responsables y asunción de responsabilidades.

¿Deseas contactar con un especialista en productos Veeam?

¿Qué medidas preventivas pueden tomarse ante el ransomware?

Vistas las consecuencias que tiene una infección imprevista de ransomware y sabiendo que cualquier organización que utilice medios digitales para conectarse al mundo exterior (o sea todas) está expuesta, lo conveniente es trazar un plan de contingencia.

  1. Formar a todo nuestro personal en las amenazas existentes y cómo son parte fundamental en la estrategia de protección.
  2. Dotar a todos los equipos de un software de protección ante virus y malware. Aunque esta medida no nos asegura al 100% el bloqueo de las amenazas, es un paso muy importante ya que detectará y bloqueará muchas de ellas.
  3. Disponer de un sistema UTM/XTM correctamente configurado y actualizado o incorporar esta tecnología a nuestra arquitectura de seguridad. Esta tecnología, junto a la protección derivada en el punto 1, será decisiva para detener cualquier intento de infección desde el exterior.
  4. Revisar nuestros protocolos de seguridad.
  5. Disponer de un sistema de copias de seguridad a prueba de ransomware.

Cómo un sistema de copias de seguridad a prueba de ransomware puede ser decisivo en caso de infección

Detectando ransomware en estados iniciales

Veeam One es capaz de detectar posibles infecciones de ransomware en estados iniciales mediante el análisis del uso de la CPU, la velocidad de escritura en el almacén de datos y la cantidad de transmisión en la red (suele ser actividad ligada a la encriptación  de información). En caso de que la alarma salte, puede desencadenar la ejecución de un script predeterminado y, al mismo tiempo, generando un aviso para el responsable de seguridad, quien deberá revisar la máquina y determinar la posible infección.

Protegiendo las copias de seguridad de la infección

Un sistema como Veeam puede generar una copia denominada ‘Copia inmutable’ de forma que, cualquier modificación sobre la copia, debe ser aprobada explícitamente, mediante controles estrictos de varios niveles.

Esta característica funciona sobre Microsoft Azure, Amazon Web Services (AWS), IBM nube y el resto de plataformas que admitan almacenamiento de objetos.

Pantalla de Ransomware
Pantalla de Ransomware

Garantizando copias de seguridad libres de ransomware

Determinar que las copias de seguridad del sistema contienen el ransomware atacante es una de las peores noticias que podemos tener en el momento de su restauración.

Por ello, VEEAM escanea las copias en el momento de su generación a fin de asegurarse de que estén libres de cadenas sospechosas de malware, convirtiéndolas en copias confiables para su restauración en el futuro.

Garantizando que las copias de seguridad libres están libres en su restauración

Es posible que no hayamos detectado aún la amenaza al estar ‘durmiente’, esperando a algún evento para destapar su poder destructivo. Veeam dispone de un sistema que analiza la copia en el momento de ser respaldada, al igual que lo hace en el momento de su creación, escaneando el contenido en busca de posibles cadenas de virus.

Disponiendo de un espacio aislado para la restauración de sus copias, análisis y limpieza de ficheros

El entorno de VEEAM nos ofrece SureBackup y DataLabs, que nos ayudarán a realizar la restauración en una máquina virtual aislada en la que podremos iniciar los análisis mediante nuestro antivirus de preferencia.

Preguntas frecuentes sobre ransomware y copias de seguridad

El ransomware es un tipo de malware que bloquea el acceso a los sistemas o cifra la información de una organización con el objetivo de exigir un rescate económico a cambio de su recuperación.

Las vías de entrada más habituales son correos electrónicos con archivos adjuntos maliciosos, descargas de software no confiable, enlaces fraudulentos o vulnerabilidades de seguridad sin corregir en sistemas conectados a Internet.

Un sistema de backup permite recuperar la información y restaurar los servicios afectados sin depender del pago de un rescate. Esto reduce el tiempo de inactividad y minimiza el impacto económico y operativo del incidente.

Las copias inmutables son backups protegidos contra modificaciones o eliminaciones durante un periodo determinado. Incluso si un atacante obtiene acceso al entorno, no podrá alterar ni cifrar estas copias protegidas.

Sí. Soluciones como Veeam ONE pueden identificar comportamientos sospechosos relacionados con ransomware, como incrementos anómalos en el uso de CPU, actividad de escritura o tráfico de red, permitiendo actuar antes de que la infección se propague.

Las soluciones avanzadas de backup pueden analizar automáticamente las copias durante su creación y almacenamiento, detectando posibles indicios de malware o ransomware y evitando que se utilicen respaldos comprometidos.

Algunas amenazas permanecen latentes antes de activarse. Por ello, es recomendable que las soluciones de backup vuelvan a analizar las copias durante los procesos de restauración para detectar posibles infecciones que no fueron visibles inicialmente.

Un entorno aislado permite recuperar y verificar los datos sin poner en riesgo la infraestructura principal. Además, facilita la ejecución de análisis antivirus y la validación de los sistemas antes de devolverlos a producción.

No existe ninguna garantía de que el pago permita recuperar los datos o desbloquear los sistemas. Contar con una estrategia sólida de copias de seguridad reduce significativamente la necesidad de considerar esta opción.

La formación de los usuarios, el uso de antivirus y antimalware, la implantación de soluciones UTM/XTM, la actualización constante de los sistemas y la revisión periódica de los protocolos de seguridad son elementos clave para una protección integral frente al ransomware.

Otros artículos que podrían interesarte