NAKIVO > Blog > Multiplatform

Ransomware Backup Best Practices

Actualizado: mayo 6, 2024

Written by: NAKIVO Team

Según Security Intelligence, los hackers apuntan a los datos de backups en alrededor del 93% de los ataques de ransomware. Esto ha provocado que los datos de backups se pierdan y no puedan recuperarse y que las organizaciones se muestren más proclives a pagar el rescate con la esperanza de restablecer el acceso a los sistemas.

Ya no basta con aplicar medidas de ciberseguridad y hacer backup de datos para garantizar la recuperación tras incidentes de ransomware. Los antivirus pueden proteger los ordenadores y sus datos en una primera fase, pero si los virus y el ransomware han infectado los ordenadores y destruido los datos, el único método para restaurarlos es hacer un backup de los mismos. Con los repositorios de backups en la nube accesibles a través de Internet, las copias de seguridad corren un riesgo aún mayor de sufrir ransomware. Por eso hay que tomar medidas adicionales para proteger los backups además de los datos primarios.

Esta entrada del blog explica cómo crear una estrategia eficaz de defensa contra el ransomware.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

¿Se puede restaurar desde un backup tras un ataque de ransomware?

La investigación realizada por Sophos muestra que la recuperación de datos tras un incidente de ransomware utilizando backups es más rápida que seguir el camino del pago del rescate. Los backups correctamente configurados pueden utilizarse para recuperar datos y máquinas tras un ataque de ransomware. Si dispone de una copia de backup fiable y no infectada, podrá restaurar los datos y minimizar el tiempo de inactividad relacionado con incidentes.

Considere las siguientes acciones para restaurar los sistemas después de un incidente de ransomware:

  • Aísle el sistema infectado. En cuanto detectes una infección de ransomware, desconecta la máquina infectada de la red para evitar una mayor propagación del malware.
  • Elimina el ransomware. Utiliza un antivirus o antimalware de confianza para eliminar el ransomware de tu sistema. Asegúrese de que las definiciones de su antivirus están actualizadas para tener más posibilidades de éxito. La alternativa es formatear las unidades de disco afectadas por el ransomware y restaurar los datos de los backups en estas unidades (los backups no deben estar afectados).
  • Evalúa la disponibilidad de los backups. Comprueba tus sistemas de backups para asegurarte de que no se han visto afectados por el ataque de ransomware.
  • Restaurar datos. Puede iniciar el proceso de restauración de datos con su solución de backups de datos. Esto puede implicar la selección de archivos específicos, carpetas o imágenes del sistema para restaurar. Sigue las instrucciones proporcionadas por tu software de backups o proveedor de servicios.
  • Prueba de datos restaurados. Una vez finalizada la restauración, prueba los datos recuperados para asegurarte de que son accesibles y están intactos. Esto es crucial para verificar que las copias de backups no fueron comprometidas por el ransomware.
  • Parche y seguro. Antes de volver a conectar el ordenador infectado a la red, aplique los parches, actualizaciones y mejoras de seguridad necesarios para aumentar la seguridad del sistema y reducir el riesgo de otro ataque.
  • Investigar e informar. Investiga cómo entró el ransomware en tu sistema para prevenir futuros ataques. Informe del incidente a las autoridades, por ejemplo, a las fuerzas de seguridad o a las organizaciones de ciberseguridad.

Recuerde que la eficacia de su recuperación depende de tener backups actualizados y seguros con regularidad. Si sus backups están comprometidos o desactualizados, es posible que no pueda recuperar completamente sus datos. Es crucial mantener una sólida estrategia de protección contra el ransomware basada en backups como parte de sus medidas generales de ciberseguridad para mitigar el impacto de los incidentes de ransomware.

¿Puede el ransomware atacar un backup?

Los backups no son inmunes a las infecciones de malware. El ransomware puede atacar y cifrar (destruir) los archivos de backup si se puede acceder directamente a las copias de seguridad desde el sistema infectado o si el ransomware está diseñado específicamente para atacar los sistemas de backup.

Los grupos delictivos que se dedican al ransomware saben que las organizaciones confían en los backups para restaurar los sistemas en lugar de pagar rescates. Por esta razón, los backups pueden ser uno de los principales objetivos del ransomware.

Los backups almacenados en los siguientes recursos accesibles desde un ordenador infectado están en peligro:

  • Unidades compartidas
  • Almacenamiento en red (NAS)
  • Unidades de disco externas conectadas a una máquina infectada
  • Almacenamiento en la nube accesible desde máquinas infectadas

Aunque es posible que el ransomware tenga como objetivo los backups, hay medidas proactivas que puede tomar como parte de su estrategia de protección contra el ransomware para asegurar y proteger los datos de backups. De este modo, se asegura de disponer de una opción de recuperación fiable en caso de ataque.

Ransomware Backup Best Practices (Prácticas recomendadas para hacer backup de ransomware)

Las prácticas recomendadas para hacer backups de ransomware están diseñadas para garantizar la integridad de los datos y su recuperación en caso de ataque de ransomware. Cubren enfoques de backups así como estrategias para proteger esos backups de ser comprometidos en caso de que sus sistemas primarios sean infectados.

Estrategia de backups 3-2-1

La columna vertebral de su estrategia de defensa contra el ransomware es la regla 3-2-1 de backups. Se trata de un enfoque sólido para hacer backup de datos que puede ayudar a protegerse contra los ataques de ransomware garantizando la redundancia, la diversidad y el aislamiento de las copias de seguridad. La norma dicta que hay que tener al menos 3 copias de los datos, 2 de ellas en soportes diferentes y 1 almacenada de forma externa. La estrategia 3-2-1 de backups de ransomware puede ampliarse a 3-2-1-1 para incluir copias aisladas de la red o inmutables.

A continuación, puede ver cómo una estrategia de backups 3-2-1 puede proteger sus datos contra el ransomware:

  • 3 copias de los datos:
    • Copia primaria. Estos son tus datos en vivo, los archivos originales y los datos con los que trabajas a diario.
    • Local backups. Cree una segunda copia de sus datos almacenados localmente, como en un disco duro externo, un servidor de copias de seguridad o un dispositivo de almacenamiento conectado a la red(NAS). Esto proporciona un acceso rápido y cómodo a sus backups en caso de pérdida o corrupción de datos.
    • Backups externos. La tercera copia debe almacenarse en un lugar externo, lejos de su ubicación principal. Esto puede hacerse en una ubicación física diferente, normalmente mediante el uso de almacenamiento en la nube, copiando el backup de datos a la ubicación secundaria a través de la red o transportando físicamente los backups a una ubicación externa con regularidad.
  • 2 soportes diferentes. Los distintos medios de almacenamiento utilizados para cada copia de backup pueden mejorar la resiliencia. Por ejemplo, si tiene un backup local en una unidad de disco duro física, utilice un tipo de soporte diferente para su backup externo, como el almacenamiento en la nube u otro dispositivo físico. Esta diversidad ayuda a protegerse contra el mismo tipo de ransomware que afecta simultáneamente a sus backups locales y externos.
  • 1 soporte se almacena de forma externa. Almacenar una copia de backups externa permite restaurar los datos en caso de que el sitio principal quede destruido por un desastre como un incendio, una inundación, un huracán, etc.
  • 1 copia aislada de la red o inmutable. Un backup aislado de la red no es accesible directamente a través de Internet ni está conectado a tu sistema principal. Mientras que un backups inmutable se almacena en repositorios inmutables que pueden ser modificados o borrados. Esto significa que aunque un ransomware se infiltre en su red, no podrá cifrar esos backups.

    Asegúrese de que su backup aislado de la red (backup offline) se actualiza periódicamente, pero desconéctelo de la red o retírelo de la ubicación física cuando no esté en uso. Este aislamiento hace que el backup sea muy resistente a los ataques de ransomware.

La estrategia 3-2-1 de backups de ransomware protege contra el ransomware de la siguiente manera:

  • Redundancia de datos. En caso de ataque de ransomware contra tus datos primarios, dispones de dos copias adicionales (local y externa) desde las que restaurar los datos sin pagar el rescate.
  • La diversidad. Utilizar diferentes medios de almacenamiento garantiza que, si el ransomware pone en peligro un tipo de backups, los demás no se vean afectados. Esta diversidad hace que sea más difícil para el ransomware corromper todas las copias de sus datos.
  • Aislamiento. La copia aislada de la red, almacenada fuera de línea o en un entorno aislado, sirve como última línea de defensa. Aunque el ransomware acceda a la red o a los backups locales, no podrá llegar a la copia aislada de la red.
  • Flexibilidad para la recuperación. Puede restaurar rápidamente desde la copia local en caso de pérdidas de datos menores, y si se produce un ataque grave de ransomware, dispone de las copias externas y aisladas de la red para recurrir a ellas.

El enfoque de protección de datos 3-2-1-1 es una buena estrategia de backups de datos contra el ransomware si se complementa con otras medidas de seguridad y se aplica correctamente.

Planificación y pruebas de RD

La planificación y las pruebas de recuperación ante desastres desempeñan un papel fundamental en la protección contra los ataques de ransomware, ya que garantizan la preparación, minimizan el tiempo de inactividad y facilitan la recuperación eficaz de los datos en caso de ataques de ransomware. La planificación de la recuperación ante desastres no sólo tiene en cuenta la recuperación de datos, sino también la continuidad de las operaciones esenciales. Esto significa disponer de sistemas y procesos de backups para mantener la empresa en funcionamiento incluso durante un incidente de ransomware. Un plan de recuperación ante desastres bien probado permite recuperar más rápidamente los sistemas y datos críticos.

Cree un plan de recuperación ante desastres:

  • Identificar los sistemas y datos críticos. Esto ayuda a priorizar lo que necesita protección en caso de ataque de ransomware.
  • Desarrollar una estrategia de backups y recuperación. Esto incluye aplicar la estrategia de backup 3-2-1, garantizar la redundancia de los datos y disponer de backups externos.
  • Respuesta a incidentes. Incluya procedimientos de respuesta a incidentes específicos del ransomware en su plan de recuperación ante desastres. Esto garantiza que su equipo sepa cómo responder eficazmente en caso de ataque.

Ponga a prueba y mejore un plan de recuperación ante desastres:

  • Realización de pruebas periódicas. Realice pruebas y simulaciones periódicas de recuperación ante desastres que incluyan escenarios de ransomware. Las pruebas ayudan a detectar los puntos débiles del plan y permiten introducir las mejoras necesarias.
  • Verificar la integridad de los datos de backups probando el proceso de recuperación de datos. Garantizar que los backups no se vean comprometidos es crucial en la lucha contra el ransomware.
  • Formación basada en escenarios. Formar al personal en escenarios específicos de ransomware garantiza que estén preparados para responder con eficacia cuando se produzca un ataque.

No se olvide de la documentación y el cumplimiento de la normativa:

  • Documentación. Los planes de recuperación ante desastres deben estar bien documentados y actualizarse periódicamente. Esta documentación ayuda a garantizar que todo el mundo conoce sus funciones y responsabilidades durante un incidente.
  • Cumplimiento de la normativa. El cumplimiento de la normativa de protección de datos suele exigir disponer de un sólido plan de recuperación ante desastres. Esto puede ayudar a evitar problemas legales y sanciones en caso de ataque de ransomware.

Uso del almacenamiento inmutable

El almacenamiento inmutable es un tipo de almacenamiento en el que los datos no pueden modificarse después de ser escritos. La tecnología de almacenamiento inmutable impide cualquier modificación, supresión o cifrado de los datos almacenados durante un periodo de conservación determinado. Utilice el almacenamiento inmutable para guardar backups y aumentar la probabilidad de éxito en la recuperación de datos en caso de ataques de ransomware.

El almacenamiento inmutable puede aprovechar distintos mecanismos:

  • Escribir una vez, leer muchas (WORM): Los datos se pueden escribir una vez y, después, sólo se pueden leer, pero no modificar ni borrar.
  • Hashing criptográfico. Los datos pueden someterse a hash mediante algoritmos criptográficos, y los valores hash se almacenan por separado. Cualquier cambio en los datos dará lugar a un hash diferente, alertando de una posible manipulación.
  • Control de versiones. Las versiones de los datos se almacenan, y las versiones anteriores pueden restaurarse si la versión actual se ve comprometida.
  • Controles de acceso. Los sistemas de almacenamiento inmutable suelen tener estrictos controles de acceso para evitar cambios no autorizados en los datos.

El ransomware suele cifrar los archivos y pedir un rescate por la clave de descifrado. El almacenamiento inmutable puede proteger contra el ransomware de varias maneras:

  • Impide la modificación. Dado que los datos en almacenamiento inmutable no pueden alterarse, los intentos del ransomware de cifrar o modificar archivos fracasarán.
  • Proporciona una rápida recuperación. Aunque el ransomware cifre sus datos primarios, puede confiar en el almacenamiento inmutable para recuperar copias limpias de sus archivos. Puedes restaurar fácilmente tus datos a su estado no cifrado porque los datos originales permanecen intactos.
  • Alertas de manipulación. Los sistemas de almacenamiento inmutable pueden generar alertas cuando se detectan intentos no autorizados de modificar los datos, lo que permite responder con rapidez a posibles ataques de ransomware.

Uso del cifrado de datos

El cifrado de datos puede ayudar a reducir las consecuencias negativas de los ataques de ransomware. Tenga en cuenta que el cifrado por sí solo no protege contra los ataques de ransomware. El ransomware puede seguir cifrando/destruyendo los archivos a los que accede, independientemente de si este archivo está cifrado o no. Sin embargo, el cifrado garantiza que sus datos son confidenciales y no pueden ser comprendidos por personas no autorizadas, incluidos los atacantes de ransomware.

Aunque el ransomware se infiltre en su sistema, es posible que no disponga de los permisos o claves de cifrado necesarios para acceder a los datos confidenciales cifrados. Esto significa que no podrá dar sentido a los datos cifrados. Como resultado, los atacantes de ransomware no pueden extorsionar a la víctima subiendo los datos robados a Internet. Esta es también la ventaja en términos de cumplimiento para evitar sanciones.

Cifrar los datos en tránsito, como durante la transmisión por red o cuando se almacenan en servicios en la nube, garantiza que los datos interceptados sean inútiles para los ciberdelincuentes. Los canales de comunicación cifrados, como las VPN (redes privadas virtuales) y las conexiones de capa de zócalos segura (SSL), protegen contra el ransomware que intenta interceptar los datos durante la transmisión.

Una gestión adecuada de las claves es esencial para la eficacia del cifrado. Almacene las claves de cifrado de forma segura y separada de los datos que protegen para evitar que el ransomware acceda tanto a los datos como a las claves.

Establecer permisos para hacer backup de datos

Los ajustes de permisos para los datos de backup ayudan a evitar que el ransomware ponga en peligro o destruya sus copias de backups. Los permisos correctamente configurados garantizan que sólo los usuarios o sistemas autorizados puedan acceder a los datos de backups.

Al restringir el acceso a los datos de backups, se reduce la superficie de ataque del ransomware. Si el ransomware se infiltra en su red, este ransomware puede intentar atacar varios sistemas de la red. Si el ransomware infecta un sistema con permisos limitados, le resultará más difícil propagarse a las ubicaciones de backups y poner en peligro esas copias de seguridad.

Los ajustes de permisos se alinean con el principio del menor privilegio y la segregación de funciones. Garantiza que ningún usuario o sistema tenga un control excesivo sobre los datos de backups, reduciendo el riesgo de amenazas internas.

Los ajustes de permisos permiten auditar y supervisar el acceso a los datos de backups. Si un ransomware intenta poner en peligro los backups, la auditoría puede generar alertas y proporcionar un registro de los intentos de acceso no autorizado para su investigación. Los accesos no autorizados o las modificaciones de los datos de backup pueden detectarse rápidamente mediante sistemas de supervisión y alerta. Esto permite una respuesta rápida a posibles ataques de ransomware, minimizando la pérdida de datos.

Otras recomendaciones

He aquí algunas recomendaciones adicionales que le ayudarán a mejorar la estrategia de backups contra el ransomware:

  • Haz backup de los datos con regularidad. Establezca un programa de backups regular que se adapte a las necesidades de su organización. Los backups frecuentes, como los diarios o cada hora, ayudan a minimizar la pérdida de datos en caso de ataque al reducir el RPO.
  • Automatiza los backups. Utilice soluciones de backup que automaticen el proceso para reducir el riesgo de errores humanos y evitar lagunas de retención.
  • Hacer backups de versiones. Elige soluciones de backup que ofrezcan control de versiones o ajustes de retención flexibles, que te permitan acceder a versiones anteriores de los archivos y restaurarlas. Esto es útil para restauraciones puntuales si el ransomware no se detecta durante algún tiempo.
  • Supervisión del entorno. Implemente sistemas de supervisión para detectar cualquier actividad inusual o sospechosa en sus sistemas. Establezca alertas para cualquier intento de acceso no autorizado, cambios en las configuraciones de backups o simplemente consumo inusual de recursos.
  • Servidores de backups seguros. Aplique las prácticas recomendadas de seguridad al propio servidor de backups, incluidas las actualizaciones periódicas de seguridad y las políticas de contraseñas seguras. Minimice el acceso desde Internet a su servidor de backups para reducir el riesgo de ataques remotos. Actualice periódicamente el software y los sistemas de backups para solucionar las vulnerabilidades que podrían ser aprovechadas por el ransomware.
  • Elija un proveedor de backups de confianza. Si utiliza servicios de backups basados en la nube, seleccione un proveedor de confianza y preocupado por la seguridad, con un historial de salvaguarda de los datos.
  • Educar a los trabajadores. Forme a los empleados o usuarios para que reconozcan los intentos de phishing y otras tácticas de ingeniería social que pueden conducir a ataques de ransomware. En el proceso de planificación y comprobación de la recuperación ante desastres, los empleados son más conscientes de los riesgos asociados al ransomware. Esta mayor concienciación puede conducir a mejores prácticas de ciberseguridad y notificación de incidentes.

Utilizar las capacidades de backups resistentes al ransomware de NAKIVO.

NAKIVO Backup & Replication es una solución de protección de datos rápida, fiable y asequible que permite hacer backups de datos de forma eficaz y protegerlos contra el ransomware. A continuación se muestran algunas de las funciones para proteger los datos y permitir la recuperación tras el ransomware en NAKIVO Backup & Replication:

  • Backups inmutables. Los backups se pueden hacer inmutables en almacenamiento local, NAS, plataformas de nube pública(Amazon S3, Azure Blob Storage, Wasabi y BackBlaze B2, etc.) y nubes privadas. Establece el periodo de inmutabilidad de los backups, y los datos de los backups no podrán editarse ni borrarse hasta que expire este periodo. Esta función protege los datos de backups de ser modificados por ransomware.
  • Hacer backup de a cinta. Los cartuchos de cinta son un tipo de medio de almacenamiento de backups aislado de la red. Después de grabar un backup de cinta y expulsar el cartucho de cinta, los datos grabados en este cartucho no pueden ser accedidos por ransomware.
  • Ajustes de retención flexibles. No se puede predecir el momento exacto de un ataque de ransomware. Hacer backups de diferentes fechas permite restaurar los datos en el estado necesario antes de que fueran corrompidos por el ransomware. La compatibilidad con backups incrementales y puntos de recuperación frecuentes ayuda a recuperar más datos en el estado real antes de que se produzca un ataque de ransomware.
  • Cifrado de datos. El cifrado de datos en un repositorio de backups y durante la transmisión a través de la red aumenta el nivel de seguridad y evita la interceptación de datos durante la transmisión a través de la red. Un repositorio de backups cifrado evita que los atacantes de ransomware descifren y suban los datos de este repositorio a Internet para realizar peligrosas extorsiones.
  • Copia de backups. Siga la regla 3-2-1 para hacer backups y copie los datos de backups a otros medios de almacenamiento y externos con jobs de copia de backups. El encadenamiento de jobs es una función útil de una copia de backup que permite empezar a crear una copia de backup automáticamente una vez finalizado un job de backup.
  • Análisis de malware en los backups. Analizar los backups durante el proceso de recuperación evita que los usuarios recuperen archivos infectados en sus sistemas, lo que podría provocar la propagación de virus en el entorno de producción.
  • función Site Recovery. La recuperación ante desastres con la función Site Recovery es rápida y eficaz. Puede probar escenarios de recuperación ante desastres con la función Site Recovery. Puede adjuntar/desprender repositorios de backups porque un repositorio desprendido es menos vulnerable al ransomware.

1 Year of Free Data Protection: NAKIVO Backup & Replication

1 Year of Free Data Protection: NAKIVO Backup & Replication

Deploy in 2 minutes and protect virtual, cloud, physical and SaaS data. Backup, replication, instant recovery options.

Get the Free Edition

Artículos recomendados

Picture
Cómo instalar Kubernetes en Ubuntu
Picture
Cómo hacer backup de VMware VMs: The Definitive Guide
Picture
Qué es System Center Virtual Machine Manager (SCVMM)