A menudo repetimos como un mantra la necesidad de asegurar la información de la empresa. Mis clientes de toda la vida saben lo tozudo que me pongo cuando hablamos de las copias de seguridad y en estas conversaciones, muchos me afirman en forma de pregunta: ¿pero eso de las cintas no es muy viejo?

Debemos dejar claro que antiguo no tiene que significar lo mismo que viejo. Si tiene su utilidad, porque denostar esa tecnología. En la época del cloud, las soluciones de antaño parece que no han de usarse y algunas veces es por un concepto de esnobismo tecnológico que no responde a una razón real. ¿Por qué  no usar los medios de los que disponemos? Aunque procedan de tecnología del siglo pasado. Si es útil, úsalo.

Los ataques por ramsomware están siendo cada día más frecuentes, más metódicos y más exhaustivos. Como ejemplos recientes estarían Mapfre o Garmin, pero no atacan solo a grandes empresas y corporaciones, estos ataques también se producen en pymes y micro-empresas.

Voy a contar un caso muy reciente y cercano, así como las  sospechas de cuál  ha sido el modus operandi.

  1. Infiltración. El primer paso, buscar los resquicios y debilidades. Ver cuál es la superficie de ataque más débil y explotar la vulnerabilidad.
  2. Espionaje. Una vez dentro, todo es más fácil. Buscar no solo las debilidades exteriores, es hora de recabar los datos necesarios para poder hacer el mayor daño posible. ¿Y qué es lo que se busca. Todo, absolutamente todo. Todas las infraestructuras susceptibles de atacar, las debilidades que presentan para ser atacadas, el sembrar las herramientas necesarias para conseguir las credenciales adecuadas, la manera de como desplegar su malware en la red para ser lo más dañino posible, la posibles conexiones a otras sedes e información de otras empresas o filiales para poder extender su ataque. Las conexiones a las distintas nubes públicas para poder atacar todos los servicios que allí se encuentren disponibles. Si has llegado a leer hasta aquí, supongo que empezaras a estar preocupado. Y si no, deberías.
  3. Coordinación. Roma no se construyó en un día, y un ataque así no lo puede ejecutar una sola persona para ser efectivo.
  4. Ataque. Varios compañeros opinan que los casos más recientes y sonados se han dado en periodo estival, cuando la guardia y el personal está bajo mínimos. Los «cacos» no se toman vacaciones. Aunque creo que este punto es cuanto menos, debatible.

Bueno, pues en el caso que os pongo como ejemplo, solo se han librado unas pocas unidades de cinta. Bien porque no les dio tiempo, o se encontraron algún impedimento infranqueable, fue lo único que resistió el ataque. Igual con una mejor estrategia de cintas el daño hubiera sido mucho menor.

¿Qué hay de los backups en la nube? Pues bien, como idea en sí, es buena. Pero puede tener un agujero de seguridad importante si consiguen las credenciales adecuadas, ¿o pensáis que el cibercriminal no tiene los medios necesarios una vez infiltrado obtener alguna cuenta privilegiada que pueda eliminar los backups, snapshots o cualquier otro mecanismo implementado de salvaguardia de datos y estados?

¿Y cómo puedo defenderme si deciden atacarme de esta manera?

Desde luego hay multitud de fabricantes que ofrecen multitud de herramientas para la protección, aunque el coste de todas ellas juntas, probablemente no se lo pueden permitir todas las empresas: anlizadores de comportamiento de usuarios, antimalwares, firewalls y cualquier otra solución del mundo empresarial.

Así que desde luego, si me las puedo permitir, por favor, ponerlas. Si no, atengámonos a los básicos como serían:

  • Concienciación y formación de nuestros usuarios.
  • Actualizaciones periódicas de los parches de seguridad de nuestros sistemas, de todos ellos, aplicaciones e hypervisores incluidos.
  • Política seria de cambios de contraseñas. En muchas empresas el que más manda es el más peligroso, ya que tiende a molestarle el tener que cambiar las contraseñas de manera regular.
  • Un firewall perimetral y el antivirus en el puesto del usuario y en los servidores. Por supuesto, revisado regularmente, no vale con tenerlo, hay que asegurarse que se actualiza.

¿Y estos cuatro básicos garantizan mi protección? La respuesta es dolorosa y es contundente. No, ni por asomo. Pero si ni siquiera cumplimos estos preceptos básicos, les daremos oportunidad de agravar los daños.

Yo personalmente para la empresa que no puede acometer las mismas inversiones que la gran empresa, voy a seguir recomendando cualquier dispositivo de copia que pueda ser regularmente rotado e intercambiado por otro. Llámalo cintas, dispositivos USB o varias NAS que pueda apagar y encender de manera alterna.

También comentar que existen alternativas en cloud en cuanto a copias inmutables se refiere. Es decir, yo contrato un espacio en cloud en el cual deposito los datos a los cuales podré acceder en modo de lectura, pero no podré modificar o borrar esos datos hasta que no se haya cumplido un periodo de tiempo dado. Como solución de archivado de backups o de retención de datos por motivos legales me parece una buena solución.

Veremos cómo evolucionan estos tipos de ataques, pero cada vez es más necesario una política seria y ordenada en nuestras empresas de realización de backups, rotación y verificación.

Leave a Reply