Recuperación tras un ataque de ransomware: la guía completa
La llamada del domingo por la mañana
Un domingo a principios de 2021, el director de operaciones de una empresa de servicios profesionales del sureste de EE. UU. llamó al servicio de asistencia de HYCU. Dos horas antes, el ransomware RYUK se había activado en todo su entorno. Todas las estaciones de trabajo. Todos los servidores. Los archivos de copia de seguridad en sus unidades de red. La copia replicada en su centro de recuperación ante desastres, situado a 100 millas de distancia, ya que el entorno de producción había estado replicando sin problemas mientras el malware cifraba los archivos en el origen.
Habían perdido 50 servidores, 10 millones de archivos y 30 terabytes de datos médicos regulados por la HIPAA. Los atacantes exigían 92 bitcoins, lo que equivalía aproximadamente a un millón de dólares en aquel momento. El director de operaciones tenía de plazo hasta el miércoles.
Lo que les salvó fue un archivo de caché en el dispositivo virtual de HYCU al que el ransomware no había llegado. Nuestro equipo trabajó en ello durante toda la noche del domingo. El lunes por la mañana, todas las máquinas virtuales estaban de nuevo operativas. El director de operaciones nos dijo después: «Fue un milagro recuperar todos nuestros sistemas y datos».
Pienso a menudo en aquella llamada, porque casi todo lo que importaba para su recuperación se decidió semanas antes de que se produjera el ataque. Esa es la parte que la mayoría de los equipos subestiman.
Por qué le digo a la gente que no pague
Pagar parece el camino más rápido para volver a la normalidad. Según mi experiencia, rara vez lo es, y los datos lo corroboran.
De las empresas que pagan la primera demanda de rescate, el 60 % recupera el acceso inicial a sus datos. Al 32 % se le exige pagar rescates adicionales antes de recuperarse. El 8 % nunca se recupera en absoluto. Incluso cuando llegan las claves de descifrado, la reconstrucción de los sistemas suele llevar semanas.
Hay otros cuatro costes que hacen que el pago resulte peor de lo que parece. Muchas pólizas de seguro cibernético excluyen la cobertura cuando se paga un rescate, y las primas en EE. UU. han subido una media del 35 %, por lo que pagar puede anular la cobertura justo cuando más la necesita. El Tesoro de EE. UU. ha advertido de que los pagos a entidades sancionadas pueden dar lugar a sanciones de la OFAC, independientemente de la intención. Las organizaciones que pagan quedan marcadas en el ecosistema delictivo y vuelven a ser blanco de ataques, a menudo por parte del mismo grupo. Además, cada pago subvenciona la siguiente campaña.
El 84,5 % de las organizaciones de todo el mundo que sufrieron ataques de ransomware se recuperaron sin pagar. Esa vía existe. Simplemente hay que prepararla antes del ataque.
Los tres elementos que toda copia de seguridad necesita para sobrevivir al ransomware
Nuestro equipo de ingeniería ha codificado lo que hemos comprobado que funciona realmente en tres principios. Una copia de seguridad que incumpla cualquiera de ellos es una copia de seguridad que puede ser cifrada junto con todo lo demás.
Almacenamiento inmutable
Las copias de seguridad deben almacenarse en un sistema en el que los datos no puedan modificarse ni eliminarse hasta que expire el periodo de retención. Ni siquiera un administrador puede hacerlo. Esto significa utilizar WORM en un almacenamiento de objetos compatible con S3 con Object Lock habilitado. El almacenamiento WORM es matemáticamente incapaz de atender una solicitud de eliminación antes de que expire el plazo de retención. El ransomware que consiga credenciales de administrador seguirá sin poder acceder a las copias de seguridad inmutables.
Copias de seguridad aisladas
El entorno de copias de seguridad debe estar aislado físicamente del entorno de producción. Separado mediante segmentación de red, sin credenciales compartidas, sin servicios compartidos y sin confianza compartida. Si el entorno de producción se ve comprometido, no debe poder accederse a la copia de seguridad. Nuestro dispositivo virtual se suministra reforzado de forma predeterminada, con una imagen base de Linux reforzada en materia de seguridad, sin acceso de root y con SSH desactivado.
Acceso restringido
Ni siquiera los superadministradores autorizados deberían poder eliminar manualmente las copias de seguridad. El control de acceso basado en roles integrado con AD y LDAP, la multitenencia y la estricta separación de funciones mantienen las copias de seguridad a salvo tanto del malware como de las amenazas internas. Desactivamos la eliminación manual de copias de seguridad por diseño. Fue una disyuntiva que debatimos internamente, y tomamos la decisión de dar prioridad a la recuperación frente a la flexibilidad.
Lo que realmente muestra el estudio de HYCU con ActualTech
Realizamos una encuesta entre responsables de TI de grandes empresas, en colaboración con ActualTech Media, sobre el estado de preparación frente al ransomware. Las cifras revelan una realidad que la mayoría de los consejos de administración aún no han asimilado.
El 65 % no confía plenamente en sus soluciones de copia de seguridad heredadas. Entre las víctimas del ransomware, el 52 % sufrió una pérdida cuantificable de datos y el 63 % experimentó interrupciones operativas. Solo el 41 % aísla físicamente sus copias de seguridad. Solo el 47 % las somete a pruebas de forma rutinaria. Solo el 35 % considera que sus herramientas actuales son suficientes para su entorno.
Mientras tanto, el 77 % de los consejos de administración de las empresas participa ahora activamente en los debates sobre la prevención del ransomware. La atención de los consejos de administración está ahí. Las soluciones arquitectónicas, en su mayoría, no lo están.
«Dados los costes multimillonarios asociados a los ataques de ransomware, por no mencionar el impacto negativo en la marca y la moral de los empleados, las empresas no pueden permitirse el lujo de no contar con un plan». — Simon Taylor, fundador y director ejecutivo de HYCU
El manual de 5 etapas que realmente funciona
La recuperación no es una acción aislada. Se trata de una secuencia, y cuanto más rápido se ejecute cada etapa, menos se perderá.
Etapa 1: Detección. Identifique el ataque en curso. Busque patrones inusuales de modificación de archivos, eventos de cifrado inesperados y comportamientos irregulares en las copias de seguridad. Las herramientas de ciberseguridad señalan algunos de estos indicios. La detección de anomalías en las copias de seguridad detecta el resto, a menudo con mayor antelación.
Fase 2: Contención. Aísle inmediatamente los sistemas afectados. Desconecte los terminales comprometidos. Detenga la replicación hacia los sitios de recuperación ante desastres. Si la replicación sigue en marcha, estará copiando datos cifrados sobre sus copias de seguridad intactas.
Etapa 3: Evaluación. Determine el alcance. ¿Qué sistemas están cifrados? ¿Qué copias de seguridad siguen intactas? ¿Cuál es el punto de restauración válido más reciente del que se tiene constancia? Aquí es donde la visualización del patrimonio de datos marca la diferencia en el tiempo de recuperación. No se puede recuperar lo que no se ve.
Fase 4: Recuperación. Restaure a partir de la copia de seguridad más reciente que no esté dañada. Aplicación por aplicación, en orden de dependencia. Verifique cada restauración antes de pasar a la siguiente.
Fase 5: Fortalecimiento. Cierre el vector de entrada. Aplique parches a lo que haya sido objeto de explotación. Revise las políticas de acceso. Realice un simulacro sobre lo que acaba de ocurrir. El plan de respuesta ante incidentes más útil es aquel que se revisa tras el incidente real.
Por qué fracasan la mayoría de los planes de respuesta ante incidentes
Un estudio de Ponemon reveló que el 77 % de las empresas carece de un plan formal de respuesta ante incidentes. De las que sí lo tienen, solo el 32 % lo describe como maduro. El 57 % afirma que el tiempo de resolución de los incidentes cibernéticos se está alargando. El 65 % señala que la gravedad de los ataques está aumentando.
Cinco componentes distinguen a los planes que se sostienen en la práctica de los que solo parecen buenos sobre el papel. Funciones y autoridad decisoria designadas por nombre, no por cargo. Un árbol de comunicación con plantillas preelaboradas para la notificación interna, a los clientes y a las autoridades reguladoras. Una secuencia de recuperación que dé prioridad a los sistemas de nivel 1 y en la que se identifiquen las dependencias. Un protocolo para confirmar que el punto de restauración elegido está libre de amenazas antes de que comience la recuperación. Y una cadencia de simulacros trimestrales como mínimo. Los planes que no se ponen en práctica son mera documentación, no protección.
Cuánto tiempo lleva realmente la recuperación
Hay tres factores que determinan el tiempo de recuperación: el estado de las copias de seguridad, el alcance del impacto y los simulacros. Esto es lo que he observado en los ataques documentados.
| Escenario | Tiempo de recuperación típico |
| Copias de seguridad inmutables, aisladas y con IRP probado | De unas horas a un día |
| Existen copias de seguridad, sin aislamiento físico, sin IRP | De una a cuatro semanas |
| Copias de seguridad cifradas, solo en cinta | De cuatro a doce semanas, a menudo parciales |
| No hay copias de seguridad limpias | A menudo irrecuperables, se requiere una reconstrucción |
Colonial Pipeline pagó un rescate de 5 millones de dólares y, aun así, tardó días en volver a estar operativo. El pago no acelera la recuperación. La arquitectura sí lo hace.
Cómo evaluar su propio nivel de preparación
Para ello, hemos creado R-Score. Se trata de una evaluación gratuita, disponible en getrscore.org, que puntúa el nivel de preparación para la recuperación ante un ataque de ransomware siguiendo un modelo similar al de la puntuación crediticia. Evalúa la arquitectura de copias de seguridad, el proceso de recuperación, la frecuencia de las pruebas y la preparación de la organización, y a continuación le ofrece recomendaciones específicas para mejorar.
La mayoría de las organizaciones obtienen una puntuación inferior a la que esperaban. Esa brecha entre la preparación percibida y la preparación real es lo que hace que los ataques de los domingos por la mañana sean devastadores.
Preguntas frecuentes que recibo sobre la recuperación ante el ransomware
¿Debería pagar el rescate si no tengo otra opción?
No. Los datos indican que el 60 % recupera el acceso, el 32 % vuelve a pagar y el 8 % nunca se recupera. El pago también le expone a sanciones de la OFAC, puede anular el seguro cibernético, le convierte en objetivo de nuevos ataques y financia la próxima campaña. Si no tiene otra opción, el fallo reside en su arquitectura de copias de seguridad, y pagar no lo solucionará.
¿Con qué rapidez puede producirse la recuperación con la configuración adecuada?
Con copias de seguridad inmutables, una infraestructura de recuperación aislada físicamente y un plan de respuesta ante incidentes probado, la recuperación suele tardar entre unas horas y un día. El caso del domingo por la mañana con el que comencé permitió recuperar 30 TB en 50 servidores de la noche a la mañana a partir de un único archivo de caché sin cifrar.
¿Qué diferencia a una copia de seguridad de una copia de seguridad preparada para el ransomware?
Una copia de seguridad estándar puede ser cifrada si es accesible desde el entorno de producción. Una copia de seguridad preparada para el ransomware es inmutable, está aislada y tiene el acceso restringido. La diferencia radica en si su copia de seguridad sobrevive al ataque que ha afectado a sus datos de producción.
¿Cubre el seguro cibernético el pago de rescates?
En ocasiones, pero muchas pólizas excluyen la cobertura cuando se paga el rescate, y las primas en EE. UU. han aumentado considerablemente. Algunas pólizas exigen una autorización previa. Lea atentamente su póliza antes de que se produzca un incidente, no durante el mismo.
Comience por la evaluación
Si no hace nada más tras leer esto, realice la evaluación R-Score en getrscore.org. Es gratuita, dura unos 15 minutos y le indicará dónde se encuentran realmente las deficiencias. A partir de ahí, las soluciones son concretas.
Obtenga las últimas novedades y actualizaciones
By submitting, I agree to the HYCU Acuerdo de suscripción , Terms of Usage , and Política de privacidad .