Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Mejores prácticas
de recuperación
de ransomware
Cómo hacer de la recuperación su principal prioridad
Las siete mejores prácticas de recuperación de ransomware
Contenidos
Introducción: El ransomware es el peor tipo de desastre p. 3
1. Resiliencia de datos p. 4
© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 2
Las siete mejores prácticas de recuperación de ransomware
Introducción: El ransomware
es el peor tipo de desastre
En los últimos años, los ataques de ransomware se han hecho cada vez más frecuentes y sofisticados, planteando
una amenaza cada vez mayor para las organizaciones de todos los tamaños y sectores. El impacto de un ataque
de ransomware puede ser devastador, y provocar interrupciones operativas, pérdidas económicas, daños a la
reputación y posibles repercusiones legales y regulatorias. Por lo tanto, para los ejecutivos es fundamental contar
con un plan claro e integral para la recuperación frente al ransomware que permita reducir el impacto de un ataque
y restaurar las operaciones del negocio lo más rápidamente posible.
85 %
16 %
21 %
de las empresas han sufrido de las empresas fue capaz de las empresas pagó
al menos un ataque de de recuperar los datos sin el rescate, pero no
ransomware el año pasado pagar el rescate recuperó sus datos
*Fuente: Informe de tendencias de protección de datos 2023, Informe de tendencias de ransomware 2023
No es posible evitar todos los ciberataques, y por ello las organizaciones deben hacer de la recuperación una
prioridad. Los backups están considerados de forma generalizada como una de las defensas más eficaces frente
a los ataques de ransomware. Contar con un backup reciente y probado aumenta las posibilidades de éxito de
la recuperación, y al mismo tiempo reduce el tiempo de inactividad y minimiza la posibilidad de producirse una
pérdida de datos.
Históricamente, la planificación de la recuperación ante desastres (DR) se consideraba como parte integrante
de un plan general de infraestructura. Esto ha creado suposiciones no muy acertadas en materia de integridad
y disponibilidad de los datos durante una crisis. El cálculo de riesgos estaba basado en estadísticas anticuadas
para la recuperación de datos, en las que apenas se veían afectados entre el 3 y el 5% de los datos cada año.
Sin embargo, con el auge del ransomware, este paradigma ha cambiado, y ahora las organizaciones deben aceptar
que todos sus datos (el 100%) podrían verse afectados en un único incidente.
Para sobrevivir con garatías a un ataque de ransomware, es necesario aplicar algunas buenas prácticas. En
las páginas siguientes de este documento revisaremos el marco de trabajo que necesitamos para construir
una infraestructura segura y resiliente diseñada para detectar con antelación las amenazas, llevar a cabo una
recuperación rápida y aplicar una orquestación a gran escala.
© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 3
Las siete mejores prácticas de recuperación de ransomware
1. Resiliencia de datos
Cuando se trata de la protección de datos, muchas organizaciones aplican de forma predeterminada el enfoque del
sector de la regla 3-2-1. Aunque durante muchos años este ha sido el estándar de referencia, ya no es suficiente
en la era actual del ransomware. Es necesario que las organizaciones vayan un paso más allá y garanticen que
tienen copias inmutables de los datos y que han llevado a cabo pruebas completas para garantizar que no existen
errores en los datos. Dicho de otro modo, el nuevo estándar del sector es la regla 3-2-1-1-0, o también conocida
como el "código postal de la disponibilidad".
© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 4
Las siete mejores prácticas de recuperación de ransomware
Los puntos de restauración pueden copiarse automáticamente a una ubicación secundaria respaldada por un
sistema de almacenamiento inmutable, ya sea en las instalaciones locales o en la nube. Si lo que se requiere es
una retención de datos a largo plazo, Archive Tier admite la inmutabilidad con Amazon S3 Glacier o Microsoft
Azure Archive Blob Storage.
Scale-out Backup
Repository
Compatible con S3
Inmutabilidad
DAS Compatible con S3
de principio a fin Amazon S3 Amazon S3
Glacier
Objeto IBM
― Basado en políticas Almacenamiento
Repositorio ― Transparente
Appliance
reforzado ― Eficiente con el espacio
de deduplicación
― Autosuficiente Microsoft Azure Microsoft Azure
― Sin costes extra Blob Storage Archive Blob
Google Storage
Cloud Platform
Cinta
© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 5
Las siete mejores prácticas de recuperación de ransomware
Veeam fue pionero en el desarrollo de Instant VM Recovery (recuperación instantánea de máquinas virtuales)
en 2010 como una forma de volver a poner en marcha sus máquinas virtuales al instante. Hoy en día, sus casos
de uso han aumentado más allá de las máquinas virtuales. Las operaciones de Instant Recovery (recuperación
instantánea) se pueden aplicar en backups de Veeam Agent, incluyendo máquinas físicas, bases de datos de
Microsoft SQL Server y Oracle, cargas de trabajo basadas en la nube (es decir, Amazon EC2, Microsoft Azure
y Google Compute Engine) e incluso recursos compartidos NAS. Una vez que los datos se han montado y están
disponibles, los usuarios pueden acceder a sus recursos de forma inmediata. En segundo plano puede llevarse
a cabo una migración para copiar de vuelta los datos a su entorno de producción. Esto incluirá la delta entre su
backup original y los cambios realizados como parte del proceso de Instant Recovery.
Las réplicas funcionan tomando snapshots (instantáneas) de la máquina virtual en cuestión y replicándola a una
zona de destino designada, normalmente un sitio de DR. La replicación inicial estará formada por una copia
completa de la máquina virtual, pero posteriores sólo contendrán los cambios realizados desde la última
replicación realizada. Para acelerar el proceso inicial, las réplicas pueden sembrarse desde archivos de backup.
Además, puede usarse Veeam WAN Accelerator para reducir el tiempo de replicación.
En los casos en los que las cargas de trabajo virtuales no admiten pérdida de datos, o requieren que esta sea
prácticamente nula, se puede utilizar Veeam Continuous Data Protection (CDP). Mediante el uso de la API
vSphere de VMware para IO (es decir, VAIO), la replicación se puede medir en segundos, evitando al mismo
tiempo que se produzca un impacto en el rendimiento de la máquina virtual en cuestión.
© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 6
Las siete mejores prácticas de recuperación de ransomware
Servicio proxy
de Veeam CDP
Servidor de backup
© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 7
Las siete mejores prácticas de recuperación de ransomware
Uno de los aspectos más versátiles de un trabajo de SureBackup es la posibilidad de poder dejar el trabajo en
ejecución una vez iniciado. De manera predeterminada, el trabajo de SureBackup se ejecutará y realizará
las comprobaciones configuradas. Si el trabajo se configura para que siga en ejecución, se pueden realizar
comprobaciones adicionales en el sistema desde el punto de restauración del backup. Estas comprobaciones
pueden incluir la inspección automatizada o manual para verificar si la amenaza de ransomware sigue presente,
comprobar archivos específicos en busca de anomalías, datos cifrados o extraer algunos datos específicamente
seleccionados para llevar a cabo un análisis posterior de estos.
Un plan de DR tiene valor únicamente si funciona cuando se necesita. Veeam Recovery Orchestrator es capaz
de ofrecer resultados demostrados para brindar a las empresas la confianza que estas necesitan. Disponer de
una documentación e informes dinámicos y personalizados permite contar con los registros y garantías que las
empresas necesitan cuando se trata de la gestión de riesgos. De igual modo, una vez que se ha diseñado un plan,
los administradores pueden programar pruebas automatizadas para garantizar que su recuperación funcionará
de la forma esperada. De cara a mejorar la seguridad, las pruebas automatizadas permiten a los administradores
analizar los puntos de restauración en busca de ransomware, lo que a su vez da la tranquilidad de saber que la
infección no volverá a introducirse en los sistemas.
© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 8
Las siete mejores prácticas de recuperación de ransomware
No más normal es que las empresas no puedan restaurar de nuevo sus entornos de producción. Ya sea por falta de
recursos, investigaciones forenses o requisitos de los ciberseguros, sin tener un lugar al que restaurar, no se puede
lograr completar una recuperación. Veeam Data Platform puede ofrecer la flexibilidad que reclaman las empresas
orquestando las recuperaciones directamente en Microsoft Azure.
© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos dueños. 9
Las siete mejores prácticas de recuperación de ransomware
Cuando se interactúa con sistemas operativos invitados (guest), como por ejemplo Windows Server ejecutando
SQL Server, hay herramientas como las cuentas de servicio administradas de grupo (gMSA por sus siglas en inglés)
que son la opción perfecta. Estas cuentas utilizan contraseñas de 240 bytes aleatorias y autogeneradas que
cambian automáticamente cada 30 días. A nivel global, esto proporciona una interfaz sumamente sólida y fiable
para interactuar con las cargas de trabajo.
Para revisar su posición actual en materia de seguridad dentro de su entorno de backup, puede ejecutar el Security
Best Practices Analyzer en cualquier momento. Esta herramienta proporcionará un resumen de las mejores
prácticas de seguridad en lo que se refiere a la configuración del servidor de Veeam Backup & Replication. A medida
que se aplican cambios en el entorno, puede ejecutarse la herramienta para revisar el impacto que producen.
La tecnología de cifrado de Veeam Backup & Replication permite al producto proteger los datos tanto en tránsito
durante la copia entre los componentes de backup, como en reposo, almacenados en su destino final. Los clientes
pueden utilizar un método de cifrado, o una combinación de ellos, con el objetivo de protegerse a lo largo de todo el
proceso de protección frente a accesos no autorizados a datos importantes.
© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos dueños. 10
Las siete mejores prácticas de recuperación de ransomware
La alarma Suspicious Incremental Backup Size (Tamaño sospechoso del backup incremental) puede configurarse
para que supervise cambios drásticos en los tamaños de los archivos de backup incrementales. Las alarmas también
pueden configurarse para incluir tareas como el envío de alertas por correo electrónico, la ejecución de secuencias
de comandos predefinidas para realizar tareas o recopilar información, o incluso iniciar un trabajo de SureBackup.
© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos dueños. 11
Las siete mejores prácticas de recuperación de ransomware
Cuando se trata de las alarmas de Veeam ONE, una práctica recomendada es duplicar esa alarma y adaptarla a su
entorno. Utilizando esta alarma a modo de ejemplo, es posible que tenga algunas cargas de trabajo de base de
datos que por lo general hacen un consumo de CPU muy elevado cuando se ejecutan. Puede usarse una copia de
la alarma para ajustar sus valores y aplicar esos umbrales sólo a un ámbito específico.
© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 12
Las siete mejores prácticas de recuperación de ransomware
5. Automatización de la documentación,
seguridad y pruebas
A pesar de ser una cuestión crítica, mantener al día los planes de DR es todo un reto que afecta a empresas de todos
los tamaños. No hay ningún departamento de TI que quiera encontrarse en la situación de tener que ejecutar un plan
de DR y descubrir que la documentación no está actualizada, que faltan pasos o incluso que está completamente
equivocada. Veeam Recovery Orchestrator permite superar este desafío automatizando el proceso de creación de
documentación para cada plan de orquestación que cree.
La documentación es legible, fácil de seguir y puede generarse siempre que sea necesario, como, por ejemplo,
después de realizar un cambio.
© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 13
Las siete mejores prácticas de recuperación de ransomware
Secure Restore de Veeam Backup & Replication es la respuesta a este problema. Puede usarse Secure Restore
para realizar un análisis de malware como parte misma del proceso de recuperación. Los discos virtuales de los
backups se montan en un servidor de montaje que, a continuación, realiza el análisis. Si no se detecta ninguna
amenaza, la restauración prosigue normalmente. Sin embargo, si se detecta malware, los usuarios pueden elegir
entre cancelar la restauración o continuar con restricciones (es decir, desactivar la interfaz de red).
Si por el contrario se encuentra una amenaza, los administradores pueden elegir una de las siguientes acciones:
Detener la restauración
© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 14
Las siete mejores prácticas de recuperación de ransomware
Servidor Veeam
Recovery Orchestrator Microsoft Windows
Defender
ESET NOD32
Smart Security
Symantec Protection
Engine
Veeam Backup
& Replication
En cuanto a los motores de detección de malware, los clientes tienen la opción de utilizar una de las muchas
integraciones que existen actualmente, o pueden añadir su propio motor de detección creando y personalizando
un archivo de configuración XML. Puede encontrar más información en el artículo Veeam KB 3132.
© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos dueños. 15
Las siete mejores prácticas de recuperación de ransomware
Además, dado que los datos se montan como un sistema de archivos y no como un sistema en ejecución activa,
las amenazas no pueden ejecutarse ni cargarse en la memoria del sistema. Este sistema proporciona una forma
segura y eficaz de llevar a cabo auditorías y búsquedas de tipo forense al tiempo que se reduce el impacto y se
eliminan las amenazas para otras cargas de trabajo.
Mediante la ejecución de estos análisis y registro de los resultados, las organizaciones pueden llevar a cabo un
seguimiento fiable de los sistemas en los que se alojan sus datos. Uno de los beneficios principales que se derivan es
que los clientes pueden utilizar estos datos para elaborar y revisar planes de restauración con la ventaja añadida
de garantizar la localización y el cumplimiento de los datos con antelación, y no durante un desastre.
© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 16
Las siete mejores prácticas de recuperación de ransomware
Veeam Recovery Orchestrator, que forma parte de Veeam Data Platform — Premium edition, permite a los clientes
crear planes de automatización y orquestación, otorgándoles la capacidad y flexibilidad necesarias para poner
en marcha las cargas de trabajo y garantizar al mismo tiempo el cumplimiento de sus SLA.
Producción DR a Azure
Repositorio de
almacenamiento
de objetos
Restaurado como
VMs de Azure
Agente VRO
Veeam Agent
for Windows
Veeam Recovery
Orchestrator
Veeam Agent
for Linux
© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 17
Las siete mejores prácticas de recuperación de ransomware
Para sobrevivir a un ataque de ransomware es vital contar con backups fiables. Las
organizaciones necesitan confiar en su capacidad para recuperarse rápidamente tras
ataque de cualquier tamaño. Es fundamental que las empresas sigan incorporando
el backup y recuperación a sus programas de seguridad general para garantizar la
capacidad de recuperación de los datos de forma adecuada y segura.
Siguiendo estos pasos, los ejecutivos pueden garantizar que sus organizaciones se encuentran perfectamente
dispuestas para responder ante un ataque de ransomware y que pueden recuperar su funcionamiento rápidamente
sin necesidad de pagar un rescate. Aunque no existe una forma infalible de evitar los ataques de ransomware,
entender de manera meridiana las mejores prácticas para proteger los datos y conocer los pasos necesarios para
abordar una recuperación exitosa del ransomware permitirá una menor superficie de ataque y una mayor visibilidad
de las amenazas emergentes. El resultado de todo esto es un equipo de respuesta mejor equipado con el conocimiento
y las herramientas necesarias para defender sus datos y proteger su negocio de la amenaza del ransomware.
© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 18