A medida que los ataques se convierten en algo habitual, los CISO suelen tener la difícil tarea de mantener a las organizaciones fuera de los titulares. Ninguna solución ofrece una protección del 100 %. Por lo tanto, deben enfocarse en desarrollar la resiliencia y la recuperación cibernéticas para ayudar a las empresas a recuperarse tras un ataque. Una recuperación rápida minimiza las interrupciones, reduce las pérdidas económicas y garantiza la continuidad de la empresa. ¿Cómo pueden las empresas recuperarse más rápido? Descúbrelo aquí.
Las empresas trabajan hoy en escenarios de alto riesgo. Numerosos factores pueden afectar a una empresa, desde un conflicto geopolítico hasta un incidente de seguridad. El número de iniciativas de transformación digital se ha disparado. Más del 90 % de las empresas alojan datos en la nube.1 El inconveniente de la digitalización acelerada es la creciente frecuencia y magnitud de los ataques. Actualmente, se producen unos 4.000 ataques diarios y una empresa sufre un ataque de ransomware cada 14 segundos.2 Las empresas deben reforzar sus medidas de ciberseguridad para protegerse de las ciberamenazas.
Las empresas deben estar preparadas para lo peor en todo momento. Como dijo el ex director del FBI, Robert Mueller: «Solo hay dos tipos de empresas: las que ya han sido hackeadas y las que lo serán».3 Desgraciadamente, esta afirmación sigue siendo cierta hoy en día. A medida que la amenaza se extiende como la pólvora, la posibilidad de que se produzca una violación de datos o un ataque informático se ha convertido en algo casi inevitable.
Según un informe de Gartner, para 2025 alrededor del 75 % de las empresas habrán enfrentado uno o más ataques que habrán provocado interrupciones en sus actividades y tiempos de inactividad.4 Las medidas de seguridad preventivas son cruciales, pero ninguna solución garantiza una protección del 100 %, especialmente ante métodos de ataque cada vez más sofisticados. Las empresas necesitan detectar rápidamente las ciberamenazas y recuperarse más rápido de los ataques. Combatir amenazas avanzadas y desconocidas con recursos limitados no es realista. Es esencial fortalecer la ciberresiliencia para minimizar interrupciones y asegurar la continuidad del negocio. El desarrollo de la ciberresiliencia requiere un enfoque estratégico. En este blog exploramos cómo las empresas pueden comenzar este proceso.
Un elemento clave en la creación de ciberresiliencia es la ciberrecuperación, un enfoque reactivo tras un incidente. Los planes de ciberrecuperación son como los planes de recuperación de desastres, cuyo objetivo es restablecer las infraestructuras de TI y los datos tras interrupciones debidas a acontecimientos inesperados (sucesos políticos, catástrofes naturales, guerras, etc.). Las soluciones de ciberrecuperación se ocupan exclusivamente de los ciberincidentes.
Recuperar sistemas, datos y procesos tras un ciberataque o una filtración de datos es absolutamente crucial para cualquier empresa. Las medidas de recuperación eficientes pueden reducir significativamente el impacto de un ataque y ahorrar costos. En 2023, el costo promedio de recuperación para las empresas fue de 1,85 millones de USD.5
Las pérdidas financieras debidas a los ataques aumentan día a día. Solo en 2023, los pagos por ransomware superaron los 1.000 millones de USD.6 De todos los incidentes de seguridad, el 24 % estaban relacionados con el ransomware. Sin embargo, pagar el rescate no garantiza la recuperación completa de los datos. Según un informe de Gartner, solo se recupera el 65 % de los datos en promedio después del pago.7 Además, los atacantes de ransomware exigen el pago en bitcoins, cuyas transacciones son públicas, lo que aumenta la probabilidad de futuros ataques, ya que los delincuentes saben que la empresa afectada está dispuesta a pagar un rescate.
Por lo tanto, como estrategia proactiva, las empresas deben usar una solución de ciberrecuperación que les proporcione una ventaja. Las empresas con prácticas de copia de seguridad de datos gastaron alrededor de 375.000 USD en la recuperación, mientras que aquellas sin copias de seguridad pagaron un rescate promedio de 750.000 USD.
Tener copias de seguridad puede reducir el costo de rescate en un 50 %. Un plan de respuesta bien estructurado permite una recuperación más rápida y puede ahorrar hasta 1 millón de USD.9 Las empresas con planes de copia de seguridad y recuperación sufren un impacto financiero un 96 % menor en ataques de ransomware.10 A continuación veremos cómo crear copias de seguridad de datos como parte de una estrategia de recuperación.
Las copias de seguridad de los datos ofrecen a las empresas una red de seguridad en caso de ataque, ya que pueden volver al estado anterior al ataque una vez restaurados los datos. Por eso, crear copias de seguridad requiere una estrategia adecuada. Hoy en día, los atacantes saben que las empresas crean copias de seguridad como plan de contingencia y, por lo tanto, atacan primero la infraestructura relacionada. Por ejemplo, los ataques modernos de ransomware no solo cifran los sistemas, sino que también pueden dirigirse al almacenamiento de copias de seguridad. Casi el 97 % de los ataques de ransomware tienen como objetivo los sistemas de copia de seguridad.11 Además, el tiempo para lanzar un ataque y pedir rescate se ha reducido de meses a días, subrayando la necesidad urgente de una infraestructura de copia de seguridad segura.
Las empresas deben replantearse sus métodos tradicionales de copia de seguridad para desarrollar un plan de ciberrecuperación seguro. Cómo proceder correctamente:
Las copias de seguridad creadas deben optimizarse para que puedan usarse mejor en caso de un incidente de seguridad. Los planes regulares de copias de seguridad, la priorización de los datos críticos y la reducción de los requisitos de almacenamiento de las copias de seguridad mediante la deduplicación y la compresión lo garantizan. Los equipos de ciberseguridad e infraestructuras también deben crear un entorno de recuperación aislado (Isolated Recovery Environment, IRE). Se trata de un entorno seguro e independiente que se usa específicamente para la recuperación de sistemas, aplicaciones y datos críticos. Sin embargo, crear una arquitectura IRE puede ser un proyecto largo y costoso.
Antes de la recuperación, los equipos de seguridad deben comprender la propagación del ataque, la naturaleza de la amenaza y los sistemas afectados antes de iniciar la recuperación. Después de esta evaluación, la prioridad es contener el ataque. En el caso del ransomware es crucial evitar que el cifrado continúe. El aislamiento de los recursos o redes afectados es esencial. En este caso, la segmentación puede ayudar a contener la propagación del ataque al aislar las redes comprometidas. Una vez identificado el sitio de recuperación que no se ha visto afectado por el ataque, los datos deben trasladarse e integrarse en el entorno de producción para restablecer las operaciones. Es fundamental asegurarse de que las herramientas de seguridad funcionen correctamente con los datos integrados para evitar más fallos antes de la sincronización final.
Las empresas deben identificar y restaurar primero los servicios esenciales para el negocio. Los demás servicios y aplicaciones deben priorizarse según su importancia. Las plantillas de automatización deben usarse para restaurar rápidamente los datos y reconstruir los servidores. El objetivo es minimizar el tiempo de recuperación, ya que cada hora cuenta en caso de incidente de seguridad. Estas herramientas pueden racionalizar las tareas de recuperación y son, por lo tanto, un factor importante para una recuperación más rápida.
Las empresas pueden perder hasta 400.000 USD por hora debido a fallos en las aplicaciones. Esta cifra puede ascender hasta 1 millón de USD por hora.12 Algunas interrupciones pueden provocar crisis de subsistencia en pequeñas y medianas empresas que disponen de recursos limitados para recuperarse de un ciberataque. Por ejemplo, el Lincoln College, una universidad estadounidense, tuvo que suspender sus operaciones después de verse afectada por un ataque de ransomware durante la ya difícil pandemia COVID-19.13 Estuvieron inoperativos durante tres meses y, tras pagar un rescate de 100.000 USD, no pudieron recuperar el tiempo perdido, lo que llevó al cierre de la institución debido a las pérdidas.
Las empresas deben buscar la manera de reanudar las operaciones lo antes posible para minimizar las pérdidas. Sin embargo, la recuperación solo será exitosa si los sistemas están libres de amenazas de seguridad. Los expertos en seguridad deben examinar los datos y servicios recuperados en entornos aislados para confirmar que se han eliminado las amenazas de ransomware. Esta comprobación puede realizarse mediante detección basada en firmas y herramientas avanzadas de IA/ML, las cuales permiten detectar actividades anómalas y verificar exhaustivamente el éxito de la recuperación. Sin embargo, existe el riesgo de que el malware vuelva a atacar los sistemas restaurados. Por lo tanto, es crucial considerar el uso de software de corrección para eliminar por completo las amenazas. Además, si el ciberataque se debió a sistemas de seguridad obsoletos, los equipos de seguridad deben aplicar parches y actualizar estos sistemas antes de proceder con la restauración.
Tras la restauración y la aplicación de parches, el siguiente paso es integrar los sistemas restaurados en el entorno de producción. Tras la integración, el proceso de validación garantiza que las aplicaciones y los datos estén disponibles, y que los servicios funcionen correctamente. Una vez que todo esté operando, los equipos deben volver a abordar los problemas de seguridad y trabajar para resolverlos. Es necesario seguir analizando los servidores y datos afectados para comprender la causa y el método del ataque. La infraestructura debe evaluarse periódicamente, clasificando los sistemas obsoletos como posibles puntos débiles. Las empresas deben saber qué aplicaciones ya no son compatibles con el fabricante.
En el ámbito de la ciberrecuperación, crear un plan de respuesta a incidentes es tan crucial como establecer una infraestructura robusta. A continuación describimos las distintas fases del plan de respuesta a incidentes:
Reconocimiento: La detección inicial consiste en identificar indicios de un incidente o brecha de seguridad en los sistemas o redes de la organización. Esto puede incluir advertencias de herramientas de seguridad, comportamientos inusuales del sistema o informes de los empleados. El objetivo es reconocer inmediatamente la existencia de un incidente e iniciar un proceso de respuesta. Los ataques de ransomware, por ejemplo, pueden detectarse mediante la comparación de firmas. Los algoritmos basados en el aprendizaje automático también son una buena forma de detectar comportamientos anómalos. Los equipos de seguridad pueden basarse en herramientas como filtros de escaneado de correo electrónico, weblogs, terminales, antivirus y puertas de enlace para detectar sistemas afectados, filtración de datos o violaciones de Active Directory, entre otros.
Análisis: En esta fase, el equipo de respuesta a incidentes investiga la naturaleza, el alcance y el impacto del incidente de seguridad para determinar las vulnerabilidades, los métodos de ataque, los archivos cifrados y los datos filtrados. Esto incluye la recopilación de pruebas, la realización de análisis forenses y la evaluación de la gravedad del daño. El objetivo es obtener una visión global del incidente y acelerar las medidas de contención y recuperación.
Contención: El objetivo de esta fase es limitar la propagación y el impacto del incidente de seguridad. Puede incluir el aislamiento de los sistemas o redes afectados, la introducción de controles de acceso y la adopción de medidas de seguridad temporales para evitar daños mayores. Se enfoca en evitar la propagación del incidente mientras se aplican las medidas de recuperación. Las acciones incluyen la cuarentena de sistemas comprometidos, el bloqueo de cuentas de usuario infectadas, el bloqueo del tráfico de red, la imposición de cambios de contraseña y la comunicación continua con las partes interesadas, incluyendo los empleados.
Erradicación: En esta fase, el equipo de respuesta a incidentes trabaja para eliminar la causa del incidente de seguridad en los sistemas y redes de la empresa. Esto incluye la eliminación de programas maliciosos, la supresión de brechas de seguridad y la implantación de controles de seguridad para evitar incidentes similares en el futuro. El objetivo es eliminar todas las amenazas restantes y restaurar los sistemas afectados a un estado seguro.
Restauración: El objetivo de esta fase es devolver los sistemas y datos afectados a su funcionamiento normal. Esto puede incluir la restauración de copias de seguridad, la reinstalación de software y la reconfiguración de los sistemas para garantizar su seguridad. El objetivo es minimizar el tiempo de inactividad, restablecer el funcionamiento de la empresa y volver a la normalidad lo antes posible. Algunas métricas que las empresas deben vigilar son el Recovery Point Objective (RPO) y el Recovery Time Objective (RTO). El RPO es la cantidad máxima de datos que una empresa puede perder, mientras que el RTO es el tiempo máximo necesario para restablecer la normalidad tras un incidente.
Las empresas equipadas con herramientas de seguridad, planes de respuesta y estrategias de recuperación adecuadas estarán mejor preparadas para manejar incidentes de seguridad sin entrar en pánico. Algunas de las soluciones de seguridad que las empresas deberían tener en cuenta para prepararse mejor, detectar y combatir las ciberamenazas son:
A menudo, a las empresas les resulta difícil mantener una visión integral de sus herramientas de seguridad, el estado de sus sistemas, las vulnerabilidades y las amenazas externas. T-Systems ayuda a las empresas a evaluar su situación de seguridad y a cerrar sus brechas. Acompañamos a las empresas en la creación de sistemas resilientes con medidas de seguridad sólidas y estrategias de recuperación eficaces. Contáctanos para desarrollar una estrategia de seguridad personalizada para tu empresa con la ayuda de nuestros expertos.
1Cloud Computing Study, 2023, Foundry
2 Attack Per Day Article, 2024, Astra
3 Types of Companies Article, 2018, Dynamic Business
4 Detect, Protect, Recover, 2021, Gartner
5 Ransomware Article, 2023, Security Intelligence
6 Total Ransomware Payments, 2024, SC Magazine
7 Ransomware Payment Article, 2021, Gartner
8 Cybercriminals and Ransomware Article, 2024, Firstpost
9 Guide to Ransomware, 2023, IBM
10 Disaster Recovery Statistics, 2024, Webinar Care
11 2022 Ransomware Trends Report, 2022, Veeam
12 Downtime Costs Article, 2023, Medium
13 Press Release, 2022, NPR
14 Impact of Cyber Recovery, 2023, Dell Technologies