En todo el mundo gran parte del personal ha pasado a trabajar desde casa y este cambio global ha redefinido el modo en el que las empresas estructuran su modelo de negocio. Ahora que los ejecutivos están restableciendo las políticas laborales para adaptarse al hecho de que los empleados van a seguir teletrabajando más allá del periodo que se había previsto inicialmente, nos encontramos con que surge una nueva era del trabajo: la de la “plantilla de trabajo híbrida”, que se divide en mayor medida entre la oficina y entornos remotos. Si bien esta transición plantea muchas oportunidades tanto para las empresas como para los trabajadores, también abre nuevas puertas a los que se pueden aprovechar de departamentos TI sobrecargados que han asumido responsabilidades adicionales para garantizar que los datos confidenciales están seguros tanto dentro como fuera de la red corporativa. 

Aunque las posibles amenazas para los datos de la empresa varían dependiendo del método de ataque, el ransomware sigue siendo el riesgo conocido más importante para las empresas en todo el mundo, con un incremento del 41% tan solo en 2019. Es fundamental que las empresas se centren en reconocer que existe esta amenaza y que implanten estrategias para prepararse, defenderse y reparar tras un incidente antes de adaptarse a un modelo de personal “híbrido”. Este proceso evitará que las empresas sufran ataques que supondrían por desgracia la pérdida de datos o el pago de un rescate. Para ganarle la batalla al ransomware, las empresas deben incorporar un plan para su sistema TI que garantice la resiliencia que se necesita para superar cualquier ataque. Vamos a explorar en detalle tres pasos cruciales para obtener esa resiliencia contra el ransomware.

Centrarse primero en la formación para evitar enfoques reactivos que solo hacen frente a las amenazas tras un ataque 

Si el objetivo es la resiliencia, el primer paso debería ser iniciar la formación en cuanto se identifican las amenazas. Para no adoptar una postura reactiva, en caso de que se produzca un ataque en el que pidan un rescate, es importante entender cuáles son los tres mecanismos principales que se emplean para acceder a los datos: un protocolo RDP conectado a Internet u otro acceso remoto, ataques con correos fraudulentos tipo phishing y vulnerabilidades del software. Una vez que las empresas saben dónde están las amenazas, pueden hacer frente a la formación con conocimiento y estrategias para mejorar la seguridad TI y del usuario, aplicando más tácticas para estar preparados. Identificar los tres mecanismos principales puede ayudar a la administración TI a aislar los servidores RDP con componentes de backup, a integrar herramientas para evaluar la amenaza de ataques de phishing para identificar y responder de forma correcta, además de que permite informar a los usuarios de las actualizaciones recurrentes a categorías cruciales de activos TI como los sistemas operativos, las aplicaciones, las bases de datos y el firmware de los dispositivos.

Por si esto fuera poco, prepararse para usar las herramientas con las que se cuenta para el ransomware ayudará a los departamentos TI a familiarizarse con los distintos escenarios de restauración. Tanto si se trata de un proceso seguro de restauración que aborte el ataque en el momento que se localiza malware, o si se utiliza un software capaz de detectar ransomware antes de restaurar un sistema, la capacidad de llevar a cabo diferentes escenarios de restauración será inestimable para las empresas. De este modo, cuando se produzca un ataque serán capaces de reconocerlo, entenderlo y confiarán en el proceso que los llevará a la recuperación. Si se toman en serio el aspecto formativo de estos pasos, las empresas serán capaces de reducir los riesgos de los ataques ransomware, los costes que provocan y la presión de tener que hacer frente a un incidente ransomware sin preparación previa. 

Implantar las soluciones de backup que mantienen la continuidad de las operaciones

Una parte importante de la resiliencia ante el ransomware es la implantación de infraestructura de backup para crear y mantener una sólida continuidad de las operaciones. Las empresas tienen que contar con un sistema fiable capaz de proteger a los servidores y que evite que tengan que pagar para recuperar sus datos. Vale la pena plantearse la opción de mantener el servidor de backup aislado de Internet y limitar las cuentas compartidas que otorgan acceso a todos los usuarios. En lugar de hacer eso, se pueden asignar tareas específicas dentro del servidor que sean pertinentes para los usuarios y requieran una autenticación de doble factor en caso de acceso de escritorio remoto. Además, contar con backups con una copia de datos inmutable, offline y en sistemas separados físicamente de la red ("air-gapped") que cumplen la regla 3-2-1 será una de las defensas más importantes contra el ransomware, las amenazas internas y el borrado accidental de información. 

Asimismo, el poder detectar lo antes posible una amenaza de ransomware le aporta a los departamentos TI una ventaja significativa. Esto requiere que se tengan las herramientas listas para alertar de una posible actividad que represente una amenaza. En el caso de dispositivos que sirven como terminales desplazados en modo remoto, los repositorios de backup que se establecen para identificar riesgos serán capaces de aportar más información TI sobre la increíble área a analizar para controlar la entrada de amenazas potenciales. Si las implantaciones no evitan los ataques, otra opción viable es la de cifrar los backups siempre que sea posible para añadir una capa adicional de protección. Los agentes que causan la amenaza para pedir un rescate a cambio de no filtrar los datos no quieren tener que descifrarlos. Cuando se trata de un caso de ransomware, no existe un solo modo de plantear la recuperación, más bien las empresas se encuentran con que hay muchas más opciones que estas que he planteado. La clave está en recordar que la resiliencia se basará en el modo en el que se implanten las soluciones de backup, el comportamiento de la amenaza y la forma de llevar a cabo la reparación. Conviene dedicar tiempo a investigar las opciones y garantizar que se implantan soluciones para proteger a la empresa. 

Prepararse por adelantado para la reparación tras un ataque

Incluso cuando se han tomado medidas para aprovechar la formación y las técnicas de implantación para combatir el ransomware antes de que se produzca un ataque, las empresas deberán estar preparadas para la recuperación en caso de que se introduzca una amenaza. Tener capas de defensa contra los ataques aporta un valor inestimable, pero las empresas tienen también que determinar qué es lo que se debe hacer cuando se descubre una amenaza. En caso de que suceda un ataque de ransomware, las empresas tienen que contar con el apoyo necesario que sirva de guía para el proceso de restauración, para que así los backups no estén en peligro. La comunicación es fundamental. Una cosa que ayuda a que el proceso de recuperación sea más fácil es tener preparada por si acaso una lista de seguridad. Una lista de contactos que darán respuesta en caso de incidencias y gestión de identidad, formada por personas de la empresa y agentes externos.

El siguiente punto es contar con una cadena de personas responsables de la toma de decisiones que esté ya previamente aprobada. En el momento que hay que tomar decisiones como restaurar o migrar los datos de las empresas porque se ha producido un ataque, las empresas tienen que saber a quién dirigirse, quién cuenta con la autoridad para la toma de decisiones. Si las condiciones permiten pasar a la restauración, el departamento TI debería conocer las opciones de recuperación disponibles teniendo en cuenta el ransomware. Implantar comprobaciones adicionales de seguridad antes de volver a instalar sistemas en la red, como un escáner antivirus antes de que se complete la restauración, y asegurarse de que el proceso correcto está en marcha. Una vez se completa el proceso, hay que implantar un cambio generalizado y obligatorio de contraseñas para reducir las probabilidades de que reaparezca la amenaza.

La amenaza que plantea el ransomware a las empresas grandes y pequeñas es real. Aunque nadie puede predecir cuándo o cómo se producirá un ataque, los departamentos TI con una estrategia y defensa potente y con múltiples niveles tienen más posibilidades de recuperarse. Con la preparación adecuada, los pasos que hemos detallado aquí pueden incrementar la resiliencia de cualquier empresa, ya sea en presencial, teletrabajo o una combinación de las dos modalidades. Así estará preparada ante un ataque de ransomware y evitará la pérdida económica, la pérdida de datos, el daño a la reputación de marca u otros perjuicios.