No hay duda de que los ataques con ransomware son cada vez más frecuentes. De hecho, se ha propuesto que 2017 sea “el año del ransomware”. En mayo, el ciberataque con el virus WannaCry infectó a más de 230.000 ordenadores y, en junio, el ataque con el virus Petya dio lugar a una segunda propagación internacional de ransomware. Estos ataques no solo afectan a usuarios individuales, también a algunas de las mayores empresas del mundo y el nivel de sofisticación y madurez de la amenaza que representan va en aumento. Lo que muchos están viendo de forma clara ahora es que, aunque los métodos tradicionales de protección de datos son esenciales, ya no bastan.
Dado que los ataques o el «panorama de amenazas» siguen evolucionando a una velocidad de vértigo, no hay duda de que muchas empresas no están analizando a lo que se enfrentan tanto desde la perspectiva de la protección de datos como desde la ciberseguridad. Es cierto que hoy en día las empresas saben que necesitan contar con estrategias para proteger su negocio de las interrupciones causadas por los delitos cibernéticos, pero cabe preguntarse si tienen la capacidad de recuperarse y ponerse en marcha rápidamente después de sufrir un ataque o un fallo de seguridad.
Ahora que las empresas suben más y más datos y servicios a la red, los modelos de negocio dependen de la conectividad y de servicios TI mejorados para hacer frente a las crecientes demandas del consumidor, que pide flexibilidad, facilidad de acceso y comodidad. Esta es un arma de doble filo. Es este deseo de conectividad, de estar «permanentemente activo», lo que genera más vulnerabilidades y «superficies de amenazas» de un creciente número de fuentes de terceros.
¿Qué es un ciberseguro?
Las estrategias tradicionales de protección de datos se han centrado en tres componentes TI fundacionales: personas, procesos y tecnología.
La protección de datos relacionada con las personas empieza con formación y un enfoque continuo en conseguir que los empleados conozcan las últimas amenazas que ha sufrido el sector. Si bien resulta fundamental, solo con esto es imposible alcanzar la protección total de la empresa. Apenas se necesita un eslabón débil en la cadena o una amenaza desconocida para que la seguridad de los datos se vea comprometida. Por esta razón, también es esencial centrarse en los procesos. Tal y como muchos han señalado, los recientes ataques con ransomware podrían haberse mitigado si se hubieran aplicado parches a tiempo. Finalmente, la protección de datos tradicional emplea tecnología para la protección de extremo a extremo y de la red como firewalls y antivirus. Todas estas protecciones son necesarias y no se deben ignorar. Sin embargo, no son suficientes, como demuestra el importante aumento de ciberseguros.
Los ciberseguros no son algo del todo nuevo, pero han crecido (lo que no resulta sorprendente) al mismo ritmo que el malware y el ransomware. En 2015 PwC estableció que el valor del mercado de los ciberseguros era de 2.500 millones de dólares y que estaba previsto que alcanzase un volumen de mercado de 7.500 millones de dólares en 2020. Allied Market Research ha calculado que las primas de los ciberseguros llegarán a los 14.000 millones de dólares en 2022; lo que supone una impresionante tasa de crecimiento anual compuesto del 28 %. Independientemente de cuán significativo es el crecimiento del mercado de los ciberseguros, los últimos ataques han probado que los efectos adversos del malware en los organismos públicos y las empresas se han convertido en un tema a tratar en los consejos de administración, que piden una mejor protección.
Los costes que ocasiona el ransomware no se deben únicamente al rescate que se exige, al contrario, lo cierto es que las cantidades que se piden suelen ser inferiores a los 1.000 dólares; sin embargo, se incrementan los costes internos tangibles como la respuesta ante incidencias, la investigación de informática forense y el servicio de atención al cliente, así como el trabajo por parte del departamento jurídico y el de relaciones públicas. Los costes externos y la cobertura del seguro van asociados a la responsabilidad en caso de incumplimiento de la obligación de mantener los datos seguros.
Mitigar el riesgo del ransomware a través de procesos y tecnología
No obstante, existe otro componente clave de la seguridad que muchos han pasado por alto: el backup de datos protegido con el enfoque «air-gap». Este es el proceso por el que se aíslan backups en sistemas separados físicamente de la red. De hecho, la primera recomendación que ofrece el FBI de Estados Unidos, en su guía de prevención y respuesta para consejeros delegados, “Ransomware Prevention and Response for CEOs«, es asegurarse de que los datos clave están protegidos en un backup, que se ha almacenado off-line y que la restauración de estos datos se valida de manera regular. Nosotros en Veeam estamos de acuerdo con este principio. De hecho, el backup y la validación de la restauración de datos es el ciberseguro, que ofrece los beneficios más inmediatos y tangibles a la empresa en caso de que su seguridad se vea comprometida. Nuestros clientes reconocen el valor de este seguro y ahora contamos con un total de 250.000 clientes (cifra que sigue creciendo) que aprovechan estas capacidades.
Si se cuenta con la tecnología y los procesos adecuados, se pueden minimizar los objetivos de tiempo de recuperación (RTOs) para los sistemas clave, con el beneficio añadido de aprovechar los datos para establecer laboratorios virtuales en los que se pueda aplicar la informática forense para analizar la incidencia. Este seguro no solo ofrece disponibilidad para la empresa, también ayuda a que el consejo de administración confíe en que la empresa está mejor preparada ante estas amenazas.
Otro beneficio real y sustancial es que usar una solución viable de disponibilidad puede reducir las primas de los ciberseguros que paga la empresa. Si bien los costes anuales de los ciberseguros van desde miles de dólares, hasta superar los cien mil dólares, dependiendo de los ingresos, el sector y el tamaño de la empresa, uno de los factores que determina la prima es el tipo de protecciones con las que ya cuenta la empresa, igual que sucede cuando contratas un seguro de hogar o de coche. Asegurarse de que el negocio tiene una solución de disponibilidad integral puede potencialmente reducir los costes (y las primas) asociadas a la cobertura del seguro de daños propios.
¿Nuevas tecnologías para los mismos problemas?
Ahora, con la creciente oportunidad que plantean los usos más sofisticados de los datos, las tecnologías de Internet de las cosas (IoT), la inteligencia artificial, los sistemas biométricos, la robótica en fabricación para la industria 4.0, los coches conectados y los edificios inteligentes, las empresas tienen que ser conscientes del modo en el que amenazas, como el ransomware, pueden evolucionar en el futuro inmediato, pasando del ordenador de sobremesa a afectar también a una gama más amplia de operaciones de negocio.
Al evaluar la situación actual de la protección de datos, es importante recordar que no debemos aspirar a ser capaces de resistir cualquier ataque. La velocidad a la que cambian los tipos de ataques supone que eso es algo virtualmente imposible de conseguir. En lugar de eso, tenemos que lograr que la seguridad sea tan sólida como se pueda y garantizar que los backups no solo se almacenan en la red, para así eliminar la posibilidad de un ataque o la corrupción de los archivos. En lo que respecta al ransomware, es común que los ataques se centren en pequeñas y medianas empresas, puesto que de este modo llegan a empresas de mayor tamaño, por lo que no debemos ser el eslabón débil de la cadena de suministro y para eso, es necesario analizar a fondo la estructura de los partners.
Del mismo modo que muchos otros profesionales en el sector tecnológico, no veo que se vaya a reducir el malware o el ransomware en breve, por lo que recomiendo buscar partners que puedan ayudar a la empresa a implantar la seguridad de datos a través de backups con almacenamiento offline y una validación regular de la restauración, para estar preparados en caso de ocurrir lo peor. Este nivel de protección de datos es fundamental no solo para que el equipo directivo y el consejo de administración confíen en que la empresa está preparada para este nuevo entorno de negocios, y además genera confianza en el sector y entre los usuarios finales, que sienten que su vida digital está protegida y siempre disponible.
Por lo tanto, un enfoque combinado contando con los procesos, realizar actualizaciones y backups de forma rutinaria para hacer que la empresa sea un objetivo menos interesante, así como tener un seguro de protección de datos, junto con un plan de ciberseguro y una solución de disponibilidad, es tener un planteamiento inteligente de negocios ante el futuro.
Alexis de Pablos.
Director técnico Veeam Software Iberia.
