Resilience Evil: cómo sobrevivir a una infección de ransomware

La resiliencia es un concepto que poco a poco va tomando sentido en el mundo informático y sobre todo en el de la seguridad: un concepto que podemos asociar a “resistencia” o a “contingencia”. En ocasiones, para estar realmente preparados para defender nuestros sistemas necesitamos recurrir a un plan B, plan C, D, E, F…

Para sobreponerte ante una infección debes contar con un backup que garantice la recuperación de datos

Estas alternativas pueden ser copias de seguridad, planes de recuperación ante desastres o procedimientos de continuidad de negocio, entre otras. Todas estas terminologías las empleamos a diario en el mundo de la administración de sistemas informáticos, y todos conocemos la importancia de salvaguardar los datos y asegurar su disponibilidad.

Cuando hablamos de resiliencia en el ámbito corporativo, hablamos de resiliencia operativa:

Habilidad de una organización para perseguir su misión y aprovechar oportunidades, incluso en circunstancias no idóneas o adversas como un incidente de seguridad o una crisis financiera. Esta habilidad tiene como propósito fundamental mantener los procesos de negocio y los servicios que soportan de manera directa la misión de la organización.

Y ¿cómo puedes aplicar este concepto? Con este artículo queremos darte una pequeña guía de consejos para que prepares tus sistemas ante una posible infección por ransomware o, yendo más allá, ante cualquier desastre que conlleve una pérdida de información.

Nuestro primer consejo, como siempre, es contar con una protección antivirus actualizada, pero vamos a ir un paso más adelante con esta guía de buenas prácticas.

Resiliencia: cómo volver al ruedo fortalecidos después de un sobresalto

Tomemos como ejemplo a la saga Resident Evil de CAPCOM, que inspiró el título de este post; sabemos que en su historia hay un laboratorio que desarrolla armas biológicas y un grupo de seguridad que intenta impedir sus planes de dominación mundial.

La resiliencia en el videojuego está por doquier: las investigaciones de la Corporación Umbrella (los villanos), a pesar de que sus intenciones son malignas, representan el trabajo diario de los científicos. Generan un descubrimiento, un nuevo tipo de zombi en este caso, aunque al final de las aventuras siempre son destruidos.

La resiliencia implica sobreponerse a situaciones adversas

¿Dónde está la resiliencia? Precisamente en su poder de sobreponerse a estas situaciones y volver, en cualquiera de las múltiples secuelas, con ideas superadoras y monstruos más fortalecidos y mortíferos, habiendo aprehendido de los encuentros anteriores.

En el mismo sentido, los héroes cada vez deben ser más inteligentes y estrategas para salvar al mundo de estas amenazas, puesto que cada encuentro es más difícil que el anterior y la derrota no es una opción para ellos.

La importancia de las copias de seguridad

La situaciones descritas arriba se repiten en múltiples escenarios de la vida informática hogareña y en el trabajo. Ante un imprevisto, se repite el ciclo de aprendizaje para, al final del día, sobreponerse a una situación crítica y salir fortalecidos.

Para lograrlo ante una infección de ransomware, por ejemplo, debes contar con un conjunto de copias de seguridad (backups) que garantice la total recuperación de los datos. Este es un trabajo previo que debes hacer en forma proactiva. Nuestro consejo es realizar un análisis de qué datos quieres salvaguardar.

De buenas a primeras, si preguntamos a un usuario de empresa nos remitirá a “Mis Documentos”, “Escritorio” y las típicas ubicaciones de ficheros. Una buena medida para preparar esta parte es listar los archivos modificados en los últimos tres meses, para no olvidar ninguna ubicación ni programas de diseño de video, de música o similares. ¡Imagina perder el proyecto de video de la boda de tus amigos!

Un correcto ciclo de copias de seguridad ayuda a no consumir recursos innecesarios

Hay entornos complejos en los que existe un directorio o servidor de ficheros con cantidades ingentes de información, gigas y gigas, terabytes incluso. Adaptar la frecuencia de las copias de seguridad es otro punto que debemos tener en cuenta en el éxito de nuestra misión.

¿Imaginas una copia completa de 800Gb que se realice cada semana? Quizá falte espacio en las instalaciones para almacenar los discos duros, cintas o dispositivos empleados. Pero diseñar un correcto ciclo de copias de seguridad, a pesar de ser complicado, satisface las necesidades del negocio y ayuda a no consumir recursos innecesarios.

Algunas reflexiones: ¿es necesario guardar una carpeta de documentos pasivos de hace tres años, una vez por semana? ¿Es necesario para el negocio recuperar el trabajo de las últimas dos horas de una persona?

Todas estas reflexiones deberán ser aplicadas según el contexto de cada entorno, y sabrás adaptar las soluciones a tus necesidades. Pero tener un buen conjunto de copias de seguridad solo es importante si funciona: realiza una prueba de restauración periódicamente para garantizar que todo cumple con tus expectativas.

Dónde deberías hacer tu backup y bajo qué consideraciones

Imagina un equipo conectado a un disco duro USB en el que cada una hora se hace una copia de seguridad de la información modificada. Existen docking stations que incluso hacen un RAID con dos discos para aumentar la resistencia del dispositivo ante fallos. Si se rompe el equipo, se podrá recuperar la información rápidamente ya que está el disco duro.

¿Y si se produce un incendio de la habitación y acaban en llamas tanto el equipo como el disco duro?

Coincidirás con nosotros en que esa solución no sirve para este caso. Tampoco sirve si durante el fin de semana entran a robar a la oficina y roban tanto el equipo como el disco duro de backup. ¿Comprendes la importancia de seleccionar bien para qué queremos usar el backup?

Para el caso del ransomware ocurre lo mismo. Si usas un disco duro conectado permanentemente a un equipo, que “replica” la información cada cierto tiempo, corres el riesgo de que se produzca la infección, esta se replique hacia el disco duro conectado, y pierdas la información tanto en origen como en destino.

Si el disco duro está conectado permanentemente al equipo, la infección podría replicarse en él

Recomendamos realizar el proceso de copias de seguridad en un dispositivo que no sobrescriba la información de la última copia de seguridad, como suelen realizar estos equipos. Esto significa tener un “pasivo” por días, semanas o meses de toda la información, para poder volver al estado deseado en forma granular.

Otra recomendación es que este dispositivo no esté conectado constantemente al equipo, sea por conexiones “físicas” USB o similares, conexiones de red o tipo carpeta compartida.

El proceso de copia de seguridad siempre debe ser “bajo demanda” para el equipo, es decir, que se conecte al almacenamiento puntualmente, bien sea por ftp, smb, ssh, etc., pero nunca con conexión persistente.

Cómo proteger tu backup una vez realizado: ¡que no te cifren también la copia!

Una vez realizado el backup de los datos, estos deben permanecer en el dispositivo de copia como solo lectura. Siendo datos de respaldo no debes modificar nada, y de esta manera puedes evitar que un ransomware efectúe “su trabajo” y cifre la copia de seguridad.

Para más tranquilidad, puedes usar la opción de cifrado de la copia de seguridad. Sumando los permisos de solo lectura y las opciones de cifrado del backup, se aumenta en varias capas la seguridad de los datos.

Una solución sencilla para estos menesteres es el uso de tecnologías cloud o en la nube, es decir, usar como medio de almacenamiento recursos que están en Internet. De esta manera te aseguras la disponibilidad de los datos ante problemas físicos.

El uso de un buen proveedor de cloud para el backup puede ofrecerte las capacidades de detección y mitigación de estas compañías, y aprovechar sus servicios de seguridad para proteger tus datos.

Todas estas medidas van orientadas a resistir ante una infección.

En próximos capítulos hablaremos de la detección, empleando técnicas de FIM (File Integrity Monitor) y señuelos, y cómo detectar una infección a tiempo para minimizar el contagio.

¿Te animas a comentar tus trucos de seguridad para los backups?

Sigue leyendo: Guía de Backup

Créditos imagen: Residentevil.net

Autor , ESET

Síguenos