Un sistema de respaldo que pueda bloquear los datos para que no sean modificados, y una solución eficaz de recuperación ante desastres pueden ayudarle a enfrentar el riesgo de ransomware.
Imagine que llega a la oficina por la mañana, inicia sesión en su computadora, y al abrir sus programas para trabajar, no encuentra ninguno de sus datos. En lugar de eso, se abre una ventana en la pantalla, que dice: "Si desea sus datos de nuevo, deberá pagar...".
Seguramente usted, o uno de sus colegas, hizo clic en un enlace incorrecto de internet, y descargó un virus de malware. Durante la noche, el virus invadió sus equipos a través de la red, y encriptó los archivos de datos, incluyendo sus archivos en línea de copia de seguridad; ahora los archivos están detenidos, aún dentro de sus sistemas. La oferta es que, una vez que pague el rescate, recibirá la clave de cifrado que desbloquee sus datos. El terror se apodera de usted. No sabe cuánto tiempo ha estado este virus en sus sistemas, qué parte de los datos se ha visto afectada, o la forma de librarse de él.
Obviamente, la pérdida de acceso a sus datos sería un evento crítico para la mayoría de organizaciones, pero puede ser aún más grave si le sucede a un banco, un hospital o una agencia gubernamental.
Este problema, llamado ransomware –también conocido como virus crypto-locking–, está propagándose en todo el mundo. La petición de rescate puede ser de miles o incluso millones de dólares estadounidenses, en pagos de bitcoin, que permite el seguimiento de la transacción, pero no de los autores.
Una vez que su organización está infectada por ransomware, básicamente tiene tres opciones:
- Pagar el rescate y rezar para recibir la clave de descifrado (también rezar para que esto no vuelva a suceder).
- Pasar días o semanas restaurando datos de las copias de seguridad fuera de línea (si es que existen) y volver a crear los datos nuevos desde la última copia de seguridad fuera de línea (si es posible).
- Renunciar y alejarse.
Según la encuesta Executive Application and Network Security 2016 de Radware, realizada por Merrill Research, cerca de la mitad (43%) de las firmas encuestadas que fueron atacadas por ransomware sí pagaron el rescate.
La prevención es la mejor opción
Tener una alta capacidad antivirus, junto con procedimientos que controlen el comportamiento en línea de los empleados, puede ser algo eficaz para evitar ser infectado por ransomware. Pero las personas mal intencionadas están desarrollando continuamente nuevas maneras de engañar al software y a los seres humanos para acceder a sus datos.
Algunos expertos recomiendan un enfoque de “air gap”, en el que el sistema que realiza la copia de los datos esté separado físicamente de la red. Esto tiene sentido, excepto que el sistema de protección tiene que conectarse periódicamente para copiar los nuevos datos; en ese tiempo, estará en riesgo de infección, y los delincuentes son conscientes de ello. Además, se puede tardar días o semanas en copiar los datos a sus sistemas. El impacto financiero durante este tiempo de inactividad es tremendo.
Por ello, también se necesita una capacidad de recuperación rápida y efectiva. Además, necesita proteger la copia de los datos recientes de las aplicaciones comunes, del control del sistema de copia de seguridad, y contra empleados potencialmente deshonestos. La solución es aplicar un bloqueo, por un período de tiempo, a una copia basada en matrices del volumen de datos. Así, si sus datos están encriptados por ransomware, solo tiene que restaurarlos desde la instantánea (snapshot) o clonar de nuevo al volumen original, y podrán estar funcionando en pocos minutos, sin importar el tamaño de los datos.
Como parte de la estrategia de recuperación, se puede implementar también sitios y sistemas remotos, para proporcionar la separación no solo lógica, sino también física, de los volúmenes de datos protegidos.
Adicionalmente, diferentes tipos de datos tienen un valor diferente para la organización, y deben tener diferentes niveles de protección. Además de proteger los datos de las aplicaciones básicas y críticas del negocio, hay que considerar también los datos históricos y de usuario.
Si su entorno de TI tiene acceso a internet, debe preocuparse por la amenaza del ransomware. Aún no hay manera de detenerlo, y es casi imposible atrapar a los criminales. Además de tratar de proteger a su empresa con una estrategia de seguridad que incluya el último software antivirus, y la formación sólida de los empleados, debe contar con una eficiente capacidad de recuperación, rápida y eficaz, por si sus sistemas llegaran a infectarse.