A medida que los ataques se convierten en algo habitual, los CISO suelen tener la difícil tarea de mantener a las organizaciones fuera de los titulares. Ninguna solución ofrece una protección al 100 %. Por lo tanto, deben centrarse en desarrollar la ciberresiliencia y la ciberrecuperación para ayudar a las organizaciones a recuperarse tras un ataque. Una recuperación más rápida minimiza las interrupciones, reduce las pérdidas económicas y garantiza la continuidad de la empresa. ¿Cómo pueden las empresas recuperarse antes? Descúbrelo.
Las empresas trabajan hoy en escenarios de alto riesgo. Numerosos factores pueden afectar a una empresa, desde un conflicto geopolítico hasta una incidencia de seguridad. El número de iniciativas de transformación digital se ha disparado. Más del 90 % de las empresas alojan datos en el cloud.1 El inconveniente de la digitalización acelerada es la creciente frecuencia y magnitud de los ataques. Cada día se producen unos 4.000 ataques y, cada 14 segundos2, una empresa se ve afectada por un ataque de ransomware. Las empresas deben reforzar sus medidas de ciberseguridad para protegerse de las ciberamenazas.
Las empresas deben estar preparadas para lo peor en todo momento. El exdirector del FBI, Robert Mueller, afirmó en su día: «Solo hay dos tipos de empresa: las que ya han sido hackeadas y las que lo serán.»3 Por desgracia, esta afirmación sigue vigente hoy en día. A medida que la amenaza se extiende como un reguero de pólvora, la posibilidad de que se produzca una violación de datos o un ataque informático se ha convertido en algo casi inevitable.
Según un informe de Gartner, en 2025 alrededor del 75 % de las organizaciones se habrán enfrentado a uno o más ataques que habrán provocado la interrupción de la actividad empresarial y tiempos de inactividad.4 Las medidas de seguridad preventivas son importantes. Pero ninguna solución garantiza una protección del 100 % contra los ataques, sobre todo cuando los métodos de ataque son cada vez más sofisticados. Las empresas necesitan detectar rápido las ciberamenazas y recuperarse antes de los ataques. No es realista combatir amenazas avanzadas y desconocidas hasta ahora con recursos limitados. Es necesario reforzar la ciberresiliencia para limitar las incidencias y garantizar la continuidad de la actividad. El desarrollo de la ciberresiliencia requiere un planteamiento estratégico. Este blog examina por dónde pueden empezar las empresas.
Un elemento clave en la creación de ciberresiliencia es la ciberrecuperación, un enfoque reactivo tras una incidencia. Los planes de ciberrecuperación son como los planes de recuperación en caso de catástrofe, cuyo objetivo es restablecer las infraestructuras informáticas y los datos tras interrupciones debidas a acontecimientos inesperados (sucesos políticos, catástrofes naturales, guerras, etc.). Las soluciones de ciberrecuperación se ocupan exclusivamente de las ciberincidencias.
Restablecer sistemas, datos y procesos tras un ciberataque o una filtración de datos es absolutamente crítico para cualquier organización. Unas medidas de recuperación eficaces pueden reducir mucho el impacto del ataque y ahorrar costes. Los costes medios de recuperación que tuvieron que soportar las empresas en 2023 fueron de 1,85 millones de dólares estadounidenses.5
Las pérdidas financieras debidas a los ataques aumentan día a día. Solo en 2023, la suma de los pagos por ransomware superó los 1000 millones de dólares estadounidenses.6 De todos las incidencias de seguridad, el 24 % estaba relacionado con el ransomware. Sin embargo, pagar el rescate no es garantía de recuperar todos los datos. Según un informe de Gartner, de media solo se devuelve el 65 % de los datos tras el pago.7 Además, los atacantes de ransomware exigen el pago en bitcoins y las transacciones se almacenan en la red de Bitcoin, que es pública. Como resultado, aumenta la probabilidad de que se produzcan más ataques de este tipo, ya que los delincuentes saben que la empresa afectada está dispuesta a pagar un rescate.
Por tanto, como estrategia proactiva, las empresas deben utilizar una solución de ciberrecuperación que les resulte ventajosa. Las organizaciones que utilizaron prácticas de copia de seguridad de datos gastaron alrededor de 375.000 dólares estadounidenses en la recuperación posterior al ataque. Las empresas que no tenían copia de seguridad de los datos pagaron un rescate de 750.000 dólares estadounidenses.
La copia de seguridad de los datos por sí sola puede ahorrar alrededor del 50 % del pago de los rescates, una cifra significativa.8 Según los informes, un plan de respuesta permite una recuperación más rápida y ahorra hasta un millón de dólares estadounidenses.9 Las organizaciones con planes de copia de seguridad y recuperación sufren alrededor de un 96 % menos de impacto financiero ante un ataque de ransomware.10 A continuación, veremos cómo se crean copias de seguridad de los datos como parte del enfoque de recuperación.
Las copias de seguridad de los datos ofrecen a las empresas una red de seguridad en caso de ataque, ya que pueden volver al estado anterior al ataque una vez restaurados los datos. Por tanto, es esencial crear copias de seguridad, pero, para ello, se requiere una estrategia. Hoy en día, los atacantes saben que las empresas crean copias de seguridad como plan de contingencia y, por tanto, atacan primero la infraestructura relacionada. Por ejemplo, los ataques modernos de ransomware no solo codifican los sistemas, sino que también pueden dirigirse al almacenamiento de copias de seguridad. Casi el 97 % de los ataques de ransomware tienen como objetivo los sistemas de copia de seguridad.11 El tiempo que se tarda en lanzar un ataque y pedir un rescate ha disminuido de meses a días, lo que crea la necesidad urgente de una infraestructura de copia de seguridad segura.
Las organizaciones deben replantearse sus métodos tradicionales de copia de seguridad para desarrollar un plan seguro de ciberrecuperación. Cómo proceder correctamente:
Las copias de seguridad creadas deben optimizarse para que puedan aprovecharse mejor en caso de incidencia de seguridad. De ello se encargan los planes regulares de copias de seguridad, la priorización de los datos críticos y la reducción de los requisitos de almacenamiento de las copias de seguridad mediante la deduplicación y la compresión. Los equipos de ciberseguridad e infraestructuras también deben crear un entorno de recuperación aislado (Isolated Recovery Environment, IRE). Se trata de un entorno seguro e independiente que se utiliza específicamente para la recuperación de sistemas, aplicaciones y datos críticos. Sin embargo, crear una arquitectura IRE puede ser un proyecto largo y costoso.
Antes de la recuperación, los equipos de seguridad deben conocer la envergadura del ataque, la naturaleza de la amenaza y los sistemas atacados. Tras esta evaluación, la siguiente tarea es contener el ataque. En el caso del ransomware, evitar que continúe el cifrado es crucial. El aislamiento de los recursos o redes afectados es esencial en este caso. La segmentación ayuda aquí a aislar las redes afectadas del resto y a contener la propagación ulterior del ataque. Una vez identificado el sitio de recuperación que no se ha visto afectado por el ataque, los datos deben trasladarse e integrarse en el entorno de producción para restablecer las operaciones. Las empresas deben evaluar si las herramientas de seguridad funcionan sin problemas con los datos integrados para impedir más fallos antes de la sincronización final.
Las organizaciones deben valorar cuáles son los servicios esenciales de su negocio y restablecerlos en primer lugar. El resto de servicios y aplicaciones pueden priorizarse en función de su importancia para la empresa. Las plantillas de automatización deben utilizarse para restaurar rápidamente los datos y servidores. El objetivo es minimizar el tiempo de recuperación, ya que cada hora cuenta cuando se da una incidencia de seguridad. Estas herramientas pueden racionalizar las tareas de recuperación y son, por tanto, un factor importante para una recuperación más rápida.
Las empresas pueden perder hasta 400.000 dólares estadounidenses por hora debido a fallos en las aplicaciones. Esta cifra puede ascender hasta el millón de dólares estadounidenses por hora.12 Algunas interrupciones pueden provocar crisis existenciales en pequeñas y medianas empresas que disponen de recursos limitados para recuperarse de un ciberataque. Por ejemplo, el Lincoln College, una universidad estadounidense, tuvo que suspender sus operaciones después de verse afectada también por un ataque de ransomware durante la ya difícil pandemia de COVID-19.13 La universidad estuvo fuera de servicio durante tres meses. Tras pagar el rescate de 100.000 dólares estadounidenses, la organización no pudo recuperar el tiempo perdido y tuvo que dejar de impartir clases debido a las pérdidas.
Las empresas deben buscar la manera de reanudar las operaciones lo antes posible para minimizar las pérdidas, pero la recuperación solo puede tener éxito si los sistemas no se ven afectados por la amenaza de seguridad. Los expertos en seguridad deben examinar los datos y servicios recuperados en entornos aislados para confirmar la eliminación de las amenazas del ransomware. Esta comprobación puede realizarse mediante la detección basada en firmas y herramientas avanzadas de inteligencia artificial y aprendizaje automático para detectar actividades anómalas y verificar exhaustivamente el éxito de la recuperación. Sin embargo, existe el riesgo de que el malware vuelva a atacar los sistemas restaurados. Por lo tanto, deberías considerar el uso de software de corrección para eliminar por completo las amenazas de los sistemas. También es posible que el ciberataque se debiera a sistemas de seguridad obsoletos. En este caso, los equipos de seguridad deben parchear y actualizar los sistemas antes de poder restaurarlos.
Tras el saneamiento y el parcheado, el siguiente paso es integrar los sistemas restaurados en el entorno de producción. Tras la integración, el proceso de validación garantiza que las aplicaciones y los datos están disponibles y que los servicios funcionan como se desea. En cuanto todo funcione, los equipos deben centrarse de nuevo en los problemas de seguridad y trabajar para solucionarlos. Los servidores y datos comprometidos se deben seguir analizando para comprender la causa y el método del ataque. La infraestructura debe evaluarse periódicamente, clasificando los sistemas obsoletos como posibles puntos débiles. Las empresas deben saber qué aplicaciones ya no reciben soporte del fabricante.
Para la ciberrecuperación, desarrollar un plan de respuesta a incidencias es tan importante como crear una infraestructura. A continuación, se describen las distintas fases del plan de respuesta a incidentes:
Detección: La fase de detección consiste en identificar los indicios de una incidencia o fallo de seguridad en los sistemas o redes de la organización. Pueden tratarse, p. ej., de advertencias de herramientas de seguridad, comportamientos inusuales del sistema o informes de los empleados. El objetivo es reconocer inmediatamente la existencia de un incidente e iniciar un proceso de respuesta. Los ataques de ransomware también pueden detectarse mediante la comparación de firmas. Los algoritmos basados en el aprendizaje automático también son una buena forma de reconocer comportamientos anómalos. Los equipos de seguridad pueden confiar en herramientas como filtros de búsqueda de correo electrónico, registros web, puntos finales, productos antivirus y pasarelas de red para diagnosticar sistemas comprometidos, filtración de datos, violaciones de Active Directory, etc.
Análisis: En esta fase, el equipo de respuesta a incidencias investiga la naturaleza, el alcance y el impacto del incidente de seguridad para determinar las vulnerabilidades, los métodos de ataque, los archivos cifrados y los datos filtrados. Aquí se incluyen la recogida de pruebas, los análisis forenses y la evaluación de la gravedad de la infracción. El objetivo es obtener una visión global del incidente y acelerar las medidas de contención y recuperación.
Contención: Esta fase busca limitar la propagación y las consecuencias de la incidencia de seguridad, por ejemplo, mediante el aislamiento de los sistemas o redes afectados, la introducción de controles de acceso y la adopción de medidas de seguridad temporales para evitar daños mayores. El objetivo principal en este caso es evitar que el incidente se propague mientras se aplican las medidas de recuperación. La contención incluye la cuarentena de todos los sistemas comprometidos, el bloqueo de las cuentas de usuario infectadas, el bloqueo del tráfico de red, la imposición de cambios de contraseña y la comunicación continua con las partes interesadas, incluidos los empleados.
Desactivación: En esta fase, el equipo de respuesta a incidencias trabaja para eliminar la causa de la incidencia de seguridad en los sistemas y redes de la empresa. Contempla la eliminación de programas maliciosos, la supresión de vulnerabilidades de seguridad y la implantación de controles de seguridad para evitar incidentes similares en el futuro. El objetivo es erradicar todas las amenazas restantes y restaurar los sistemas afectados a un estado seguro.
Recuperación: Esta fase trata de devolver el funcionamiento normal a los sistemas y datos afectados. Aquí se encuadran la restauración de copias de seguridad, la reinstalación de software y la reconfiguración de los sistemas para garantizar su seguridad. El objetivo es minimizar el tiempo de inactividad, restablecer el funcionamiento de la empresa y volver a la normalidad lo antes posible. Algunas métricas que las empresas deben considerar son el Objetivo de Punto de Recuperación (RPO) y el Objetivo de Tiempo de Recuperación (RTO). El RPO es la cantidad máxima de datos que una empresa puede perder. El RTO es el tiempo máximo que necesita una empresa para restablecer la normalidad tras una incidencia.
Las organizaciones que dispongan de las herramientas de seguridad, los planes de respuesta y las estrategias de recuperación adecuadas no entrarán en pánico cuando se produzcan incidencias de seguridad. Algunas de las soluciones de seguridad que las organizaciones deberían tener en cuenta a la hora de prepararse mejor para detectar y combatir las ciberamenazas son:
A menudo es difícil para una organización mantener una visión de 360 grados de las herramientas de protección, la situación de la seguridad, las vulnerabilidades de los sistemas y la situación de las amenazas externas. T-Systems ayuda a las empresas a evaluar su situación en materia de seguridad y a cubrir sus deficiencias. Acompañamos a las empresas en la creación de sistemas resistentes con medidas de seguridad sólidas y estrategias de recuperación eficaces. Ponte en contacto con nosotros para desarrollar una estrategia de seguridad para tu empresa junto con nuestros expertos.
1 Cloud Computing Study, 2023, Foundry
2 Attack Per Day Article, 2024, Astra
3 Types of Companies Article, 2018, Dynamic Business
4 Detect, Protect, Recover, 2021, Gartner
5 Ransomware Article, 2023, Security Intelligence
6 Total Ransomware Payments, 2024, SC Magazine
7 Ransomware Payment Article, 2021, Gartner
8 Cybercriminals and Ransomware Article, 2024, Firstpost
9 Guide to Ransomware, 2023, IBM
10 Disaster Recovery Statistics, 2024, Webinar Care
11 2022 Ransomware Trends Report, 2022, Veeam
12 Downtime Costs Article, 2023, Medium
13 Press Release, 2022, NPR
14 Impact of Cyber Recovery, 2023, Dell Technologies