Zaroubine, de Veeam, sobre ransomware: “Un seguro no es garantía”

ENTREVISTA

Dmitri Zaroubine, gerente sénior de Ingeniería de sistemas para AL de Veeam: “Un seguro contra ransomware no es garantía”



Dirección copiada

En el tercer informe anual de la compañía sobre este tipo de ataques, destaca que solo 50% de quienes pagaron pudieron recuperar sus datos.

Publicado el 23 jul 2024



Zaroubine, de Veeam: "Un ataque ransomware no dura un minuto; dura semanas, meses y hasta años, porque el objetivo de un hacker es capturar la mayor cantidad de datos".
Zaroubine, de Veeam: "Un ataque ransomware no dura un minuto; dura semanas, meses y hasta años, porque el objetivo de un hacker es capturar la mayor cantidad de datos". Crédito: Fernando Canseco

Después de un ataque de ransomware el tiempo de recuperación puede ser tortuoso. A decir del gerente sénior de Ingeniería de sistemas para América Latina de Veeam, Dmitri Zaroubine, muchas de las pólizas de seguros excluyen el pago de rescate de los datos en este tipo de casos.

Pero más allá de la forma en que se cubra el rescate, pagar no necesariamente significa recuperar la información secuestrada, afirmó Zaroubine en entrevista exclusiva.

En el tercer informe anual Tendencias de ransomware 2024 de Veeam, destaca que solo 50% de quienes pagaron pudieron recuperar sus datos tras el ataque, mientras que 26% pagaron, pero no pudieron recuperar los datos.

Sin embargo, entre el pago y la recuperación hay un largo proceso. “Digamos que se ejecuta la póliza, lo cual sucedió en 66% de los casos entre los encuestados, pero otro 17% que tenía un seguro optó por no reclamarlo. Aún así, entre el pago y el rescate de la información —en caso de obtenerse— pasan semanas”, comentó.

Señaló también que por desgracia todavía 73% de las organizaciones piensan que el seguro es igual a protección. “Es algo adicional que te puede ayudar”, aclaró aunque apuntó que solo 26% de los encuestados pagaron y se recuperaron.

“En realidad, el riesgo de pagar el seguro es altísimo. No digo que no se contrate. Simplemente digo que un seguro contra ransomware no es garantía. Debemos tener las herramientas adecuadas para poder recuperar y dar continuidad al negocio: la regla 3-2-1, escaneo de mis datos en tiempo real y estar seguro que el dato que tengo lo puedo recuperar”, apuntó el entrevistado.

Grandes empresas en México no han estado preparadas

A pesar de que a nadie le gusta reconocer un ciberataque, Dmitri Zaraobuine señaló que cada vez hay más clientes que comparten su experiencia. “México es uno de los países con mayor número de ataques cibernéticos a nivel latinoamericano, solo superado por Brasil, y está en el top siete a nivel mundial”.

El ejecutivo señaló que varias empresas mexicanas muy grandes que sufrieron ataques estuvieron sin servicio por mucho tiempo. Además, destacó que “no todas tienen billeteras digitales listas para realizar transferencias de bitcoins, o no saben cómo se hacen, y mientras tanto la empresa está sin funcionar”.

Cabe mencionar que 16% de las organizaciones a nivel global pudieron recuperarse sin pagar el rescate exigido; es decir, que menos de una quinta parte tenían un buen plan de protección de datos.

De cualquier forma, Zaroubine mencionó que también puede deberse a que muchos ciberatacantes tienen por objetivo tan solo demostrar su capacidad y están movidos por el ego. Añadió que en los casos de ransomware a instituciones gubernamentales, la política es no pagar el rescate.

Presupuestos para prevenir y recuperar crecen

Veeam, la compañía especializada en protección de datos, realiza cuatro reportes al año en los que pone especial foco en los distintos aspectos de la protección, respuesta y recuperación frente a los ciberataques. En esta oportunidad tocó el turno al enfocado en ransomware, cuya tercera edición se liberó esta semana. 

“El factor principal de todas las interrupciones de servicios es el ciberataque, y uno de ellos es el ransomware”, comentó Zaraobuine.

En su análisis del informe resaltó a lo largo de la conversación los aspectos más destacados, como el aumento en los presupuestos para ciberprevención y para tecnologías de recuperación, aunque —advirtió— esto puede verse como un vaso medio lleno o medio vacío.

El estudio de Veeam sobre ransomware, levantado a principios de año, muestra un pequeño aumento en presupuestos, tanto el destinado a tecnologías de ciberprevención y detección (6.2%), como el orientado a recuperación y continuidad del negocio (5.9%).

Si bien a primera vista puede ser interpretado como un signo positivo, para el entrevistado existen dos ángulos. El primero es que, en general, las organizaciones entienden la problemática y que al final es importante invertir en la tecnología. Esto puede ser resultado de la relación que empieza a tener el equipo de Seguridad con el de los administradores de Backup.

“Si ahora preguntas, 95% de los encuestados dirán que necesitan mejorar la relación entre los dos equipos. ¿Por qué? Porque si hablas con la gente de Backup y hay un ataque dicen: ‘Ah, a mí no me toca. Es un problema de la gente de Seguridad’. Y si hablas con las de Seguridad, una vez que las atacaron, necesitan ir con Backup para poder recuperarse. De modo que vemos que esa relación está mejorando, por lo cual, como observaste, ambos presupuestos están subiendo”, ejemplificó.

El segundo, abundó, “puede deberse a que existen pólizas de seguridad para pagar los rescates y cada vez estas son más caras y, para colmo, no te garantizan recuperación”.

Pocos datos son inmutables

Otro dato relevante del informe de Veeam sobre ransomware, que entrevistó a 1,200 líderes y ejecutores de IT de 10 países, es que solo 49% del almacenamiento de backup total de la organización es inmutable.

De acuerdo con Zaroubine, la explicación es que la inmutabilidad no es suficiente. Este concepto es muy antiguo, pero para el ejecutivo el problema es que cuando empezó el auge de ir a la nube se empezaron a eliminar las cintas y se perdió la práctica de ir al disco.

En su visión en este punto entran en juego dos cosas: una es la famosa regla del ‘3-2-1’; es decir, tres copias en diferentes medios —una afuera—, independientemente de si esos tipos de medios pueden o no ser inmutables.

“Si yo tengo una única copia, aunque mi disco sea inmutable, pero después prendió fuego o algún empleado enojado fue y eliminó ese repositorio, no me sirve de nada”, comentó.

Y la segunda: “Yo tengo mi backup, pero ¿es recuperable, está sano? ¿Qué garantías tengo de que el dato que yo guardé ahí es el dato verdadero y no está contaminado por un ataque ransomware?”, cuestionó el ejecutivo.

De ahí que, desde la visión de Veeam, la mejor línea de defensa contra el ransomware es un respaldo seguro y ofrece tecnologías para automatizar los procesos de recuperación y garantizar que el dato almacenado es recuperable y ese dato es sano.

Seis de cada 10 se autoinfectan en una recuperación

El ejecutivo de Veeam explicó que un ataque de ransomware no dura un minuto; dura semanas, meses y hasta años, porque el objetivo de un hacker es capturar la mayor cantidad de datos posible o cifrar el mayor número de una organización.

“Por lo general están semanas y meses haciendo etapas previas para descubrir dónde está el eslabón débil de la empresa, que hoy en día somos nosotros, los humanos, y muchos de los ataques son sociales”, comentó.

Cuando el hacker descubre a la persona que tiene un archivo Excel con usuarios y claves en su escritorio, apuntó, toma esas contraseñas y empieza a hacer el ataque a la empresa. “Entonces los ciberdelincuentes cifran lo más rápido posible esos datos. Si volvemos al backup, si el ataque supongamos que empezó hace un mes, ¿el backup de hace dos minutos me sirve? No, porque el hacker ya estuvo sentado hace un mes”, ejemplificó Zaroubine.

En otras palabras, 63% de las organizaciones se autoinfectan durante la recuperación. Más allá de que el respaldo esté bien hecho, que sea inmutable, el dato no está sano. Entonces cuando se recuperan se autoinfectan. ¿Y eso cómo se puede detectar? “Para que esto no suceda, lo que tengo que hacer es empezar a analizar los datos en tiempo real. Si el dato que yo estoy guardando realmente está sano”.

Desde la última versión de Veeam Data Platform se ofrece la posibilidad de escaneo de los datos en tiempo real. Por ejemplo, agregó, detectar los patrones más conocidos de un ataque severo, cuáles son los ataques más populares o patrones más comunes. “Integramos machine learning, inteligencia artificial, a nuestra tecnología”, enfatizó el ejecutivo.

Veeam reconoce patrones de ransomware

Cuando los datos son cifrados aumentan desproporcionadamente y comienzan a ocupar cada vez más recursos de memoria, de almacenamiento o de CPU. La plataforma de Veeam tiene la posibilidad de analizarlos y buscar las extensiones más conocidas.

Por ejemplo, citó el entrevistado, “hay un ransom que se llama Mario y aparece como ‘punto Mario’ o detecta un ‘punto Atari’, entonces de forma automática se detecta la máquina o máquinas que están siendo atacadas para aislarlas, antes de que se guarden los backups y se previene un ataque”. 

Zaroubine explicó que de esa forma se aseguran de que el dato guardado es sano y es inmutable, las dos cosas. Implica un monitoreo continuo que Veeam hace con todos sus productos y es parte de su core de Veeam Backup and Replication.

Veeam contra el ransomware impulsa el IRP

Un plan de respuesta a incidentes (IRP, por sus siglas en inglés) es una práctica que Veeam ha comenzado a poner en voga y que consiste en tener una guía al momento de un ataque. Saber qué se debe hacer, cómo recuperarse en tiempo y forma, establecer una política frente al ransomware, saber sobre billeteras digitales si la política es pagar, etcétera.

Cuando se trata de un ataque cibernético, dijo el entrevistado, el plan de recuperación en un desastre (DRP) no es suficiente, porque no se trata de un terremoto o una inundación. Como ya se dijo líneas arriba, se puede caer en el error de replicar el virus de forma instantánea.

“Si yo empiezo a cifrar acá y tengo la replicación como parte de mi DRP, todo lo que tengo en otros sitios no me sirve. Por eso es importante tener inmutabilidad y no replicar ese virus, y por supuesto tener un lugar donde pueda recuperar los datos”, concluyó.

Artículos relacionados

Artículo 1 de 3