7

Mejores prácticas
de recuperación
de ransomware
Cómo hacer de la recuperación su principal prioridad
 Las siete mejores prácticas de recuperación de ransomware

Contenidos
Introducción: El ransomware es el peor tipo de desastre p. 3

1. Resiliencia de datos p. 4

2. Planificar para una recuperación rápida p. 6

3. Aplicar una seguridad multicapa p. 10

4. Vigilar las amenazas emergentes p. 11

5. Automatización de la documentación, seguridad y pruebas p. 13

6. Usar la detección de amenazas basada en API p. 16

7. Planificar para la inaccesibilidad del centro de datos p. 17

Conclusión: Garantizar una recuperación de ransomware rápida p. 18

© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 2
 Las siete mejores prácticas de recuperación de ransomware

Introducción: El ransomware
es el peor tipo de desastre
En los últimos años, los ataques de ransomware se han hecho cada vez más frecuentes y sofisticados, planteando
una amenaza cada vez mayor para las organizaciones de todos los tamaños y sectores. El impacto de un ataque
de ransomware puede ser devastador, y provocar interrupciones operativas, pérdidas económicas, daños a la
reputación y posibles repercusiones legales y regulatorias. Por lo tanto, para los ejecutivos es fundamental contar
con un plan claro e integral para la recuperación frente al ransomware que permita reducir el impacto de un ataque
y restaurar las operaciones del negocio lo más rápidamente posible.

Según el informe de tendencias de protección de datos y ransomware 2023 de Veeam:

85 %
16 %
21 %

de las empresas han sufrido de las empresas fue capaz de las empresas pagó
al menos un ataque de de recuperar los datos sin el rescate, pero no
ransomware el año pasado pagar el rescate recuperó sus datos

*Fuente: Informe de tendencias de protección de datos 2023, Informe de tendencias de ransomware 2023

No es posible evitar todos los ciberataques, y por ello las organizaciones deben hacer de la recuperación una
prioridad. Los backups están considerados de forma generalizada como una de las defensas más eficaces frente
a los ataques de ransomware. Contar con un backup reciente y probado aumenta las posibilidades de éxito de
la recuperación, y al mismo tiempo reduce el tiempo de inactividad y minimiza la posibilidad de producirse una
pérdida de datos.

Históricamente, la planificación de la recuperación ante desastres (DR) se consideraba como parte integrante
de un plan general de infraestructura. Esto ha creado suposiciones no muy acertadas en materia de integridad
y disponibilidad de los datos durante una crisis. El cálculo de riesgos estaba basado en estadísticas anticuadas
para la recuperación de datos, en las que apenas se veían afectados entre el 3 y el 5% de los datos cada año.
Sin embargo, con el auge del ransomware, este paradigma ha cambiado, y ahora las organizaciones deben aceptar
que todos sus datos (el 100%) podrían verse afectados en un único incidente.

Para sobrevivir con garatías a un ataque de ransomware, es necesario aplicar algunas buenas prácticas. En
las páginas siguientes de este documento revisaremos el marco de trabajo que necesitamos para construir
una infraestructura segura y resiliente diseñada para detectar con antelación las amenazas, llevar a cabo una
recuperación rápida y aplicar una orquestación a gran escala.

© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 3
 Las siete mejores prácticas de recuperación de ransomware

1. Resiliencia de datos
Cuando se trata de la protección de datos, muchas organizaciones aplican de forma predeterminada el enfoque del
sector de la regla 3-2-1. Aunque durante muchos años este ha sido el estándar de referencia, ya no es suficiente
en la era actual del ransomware. Es necesario que las organizaciones vayan un paso más allá y garanticen que
tienen copias inmutables de los datos y que han llevado a cabo pruebas completas para garantizar que no existen
errores en los datos. Dicho de otro modo, el nuevo estándar del sector es la regla 3-2-1-1-0, o también conocida
como el "código postal de la disponibilidad".

Copias Soportes Copia Desconectada aislada Sin errores después

diferentes distintos externa o inmutable de la verificación
de la capacidad de
recuperación del backup

Lograr aplicar la regla 3-2-1-1-0

Veeam ofrece un amplio conjunto de posibilidades para lograr aplicar la regla 3-2-1-1-0, puesto que cada cliente
tiene diferentes necesidades y capacidades. Por ejemplo, Veeam Backup & Replication puede adherirse desde
el primer momento a esta regla utilizando la siguiente configuración. Existen tres copias de los datos (cargas de
trabajo del entorno de producción, una copia en el repositorio de backup y una copia en cinta), en dos soportes
diferentes (repositorio respaldado en disco y cinta), una de las cuales se encuentra fuera de las instalaciones
locales (cinta), una de las cuales es inmutable (soporte de cinta de escritura única y lectura múltiple) y cero
errores (comprobado con SureBackup).

Inmutabilidad para el ciclo de vida de los datos

El almacenamiento de objetos está ganando popularidad por diversas razones: ofrece una gran durabilidad, los
proveedores de nube pueden ofrecerlo como servicio y la tecnología S3 Object Lock es una forma de lograr
inmutabilidad con una implementación muy sencilla. Los clientes pueden aprovechar la inmutabilidad durante
todo el ciclo de vida de sus datos gracias a la posibilidad que ofrece de guardar los backups directamente en
el almacenamiento de objetos, Además, al disociar la gestión del destino del backup del plano de control del
servidor de backup, existe una barrera adicional de competencia. Activando la inmutabilidad activada, aunque
un administrador de backup sin escrúpulos o un actor de amenazas acceda al servidor de backup, estas seguirán
manteniéndose a salvo.

© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 4
 Las siete mejores prácticas de recuperación de ransomware

Los puntos de restauración pueden copiarse automáticamente a una ubicación secundaria respaldada por un
sistema de almacenamiento inmutable, ya sea en las instalaciones locales o en la nube. Si lo que se requiere es
una retención de datos a largo plazo, Archive Tier admite la inmutabilidad con Amazon S3 Glacier o Microsoft
Azure Archive Blob Storage.

Scale-out Backup
Repository

Repositorios de backup Capacity Tier Archive Tier

Compatible con S3
Inmutabilidad
DAS Compatible con S3
de principio a fin Amazon S3 Amazon S3
Glacier

Objeto IBM
― Basado en políticas Almacenamiento
Repositorio ― Transparente
Appliance
reforzado ― Eficiente con el espacio
de deduplicación
― Autosuficiente Microsoft Azure Microsoft Azure
― Sin costes extra Blob Storage Archive Blob
Google Storage
Cloud Platform

Cinta

Figura 1 - Inmutabilidad a lo largo de todo el ciclo de vida de sus datos

Si no existe un almacenamiento de objetos, también se puede aprovechar

el repositorio reforzado de Veeam. Como parte de su implementación,
el repositorio reforzado (Hardened Repository) utiliza credenciales de
un solo uso y funcionalidades nativas para sistemas de archivos Linux
para configurar el flag de atributo inmutable en los archivos de backup.
Como ocurre con cualquier otro sistema, es importante tener en cuenta
los requisitos de seguridad y las mejores prácticas. Deberían seguirse
recomendaciones como la limitación del acceso (tanto físico como
a través de la red) y el reforzamiento del host.

© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 5
 Las siete mejores prácticas de recuperación de ransomware

2. Planificar para una

recuperación rápida
En momentos de crisis, disponer de backups de seguridad es simplemente el primer paso para poder recuperar. El
tiempo de inactividad por parada de los sistemas en su empresa se traduce directamente en pérdidas económicas
y daños de reputación para su marca. Para devolver al negocio su funcionalidad y operativa normal lo antes
posible, es fundamental diseñar una solución resiliente que pueda lograrlo.

Veeam fue pionero en el desarrollo de Instant VM Recovery (recuperación instantánea de máquinas virtuales)
en 2010 como una forma de volver a poner en marcha sus máquinas virtuales al instante. Hoy en día, sus casos
de uso han aumentado más allá de las máquinas virtuales. Las operaciones de Instant Recovery (recuperación
instantánea) se pueden aplicar en backups de Veeam Agent, incluyendo máquinas físicas, bases de datos de
Microsoft SQL Server y Oracle, cargas de trabajo basadas en la nube (es decir, Amazon EC2, Microsoft Azure
y Google Compute Engine) e incluso recursos compartidos NAS. Una vez que los datos se han montado y están
disponibles, los usuarios pueden acceder a sus recursos de forma inmediata. En segundo plano puede llevarse
a cabo una migración para copiar de vuelta los datos a su entorno de producción. Esto incluirá la delta entre su
backup original y los cambios realizados como parte del proceso de Instant Recovery.

Recuperación con un RPO bajo a partir de réplicas

El motor de replicación de Veeam Data Platform es otra herramienta avanzada que puede ofrecer un nivel de
granularidad más fino cuando se trata de lograr objetivos de punto de recuperación (RPO) más bajos. Mientras que
un trabajo de backup puede ejecutarse una vez cada 24 horas, un trabajo de replicación puede configurarse para
que se ejecute con una mayor frecuencia (por ejemplo, cada dos horas). Esta posibilidad puede reducir en gran
medida el tiempo que transcurre entre la copia de puntos de recuperación diferentes.

Las réplicas funcionan tomando snapshots (instantáneas) de la máquina virtual en cuestión y replicándola a una
zona de destino designada, normalmente un sitio de DR. La replicación inicial estará formada por una copia
completa de la máquina virtual, pero posteriores sólo contendrán los cambios realizados desde la última
replicación realizada. Para acelerar el proceso inicial, las réplicas pueden sembrarse desde archivos de backup.
Además, puede usarse Veeam WAN Accelerator para reducir el tiempo de replicación.

En los casos en los que las cargas de trabajo virtuales no admiten pérdida de datos, o requieren que esta sea
prácticamente nula, se puede utilizar Veeam Continuous Data Protection (CDP). Mediante el uso de la API
vSphere de VMware para IO (es decir, VAIO), la replicación se puede medir en segundos, evitando al mismo
tiempo que se produzca un impacto en el rendimiento de la máquina virtual en cuestión.

© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 6
 Las siete mejores prácticas de recuperación de ransomware

Servicio proxy
de Veeam CDP

Servidor de backup

Filtro I/O Servicio proxy Servicio proxy Filtro I/O

de Veeam CDP de Veeam CDP

Clúster de origen Proxy Proxy Clúster de destino

Figura 2 - Arquitectura CDP de Veeam

Integración avanzada de los snapshots de almacenamiento

Veeam ofrece una integración muy estrecha con muchos proveedores
y sistemas de almacenamiento y ofrece sistemas integrados con la API
Universal Storage. Con esta API exclusiva, la protección y restauración
de los datos a partir de snapshots se convierte en una tarea sencilla
que no requiere de un conocimiento a nivel de experto sobre cabinas
de almacenamiento.

Los backups se pueden llevar a cabo a través de snapshots basados

en las cabinas para minimizar el impacto en el entorno de producción.
Además, Veeam Explorer for Storage Snapshots e Instant VM Recovery
from Storage Snapshots ofrecen a los usuarios la posibilidad de realizar
recuperaciones de forma rápida y sencilla que abarcan desde VMs
completas hasta archivos individuales y elementos de aplicaciones.
Además de programar los trabajos de backup de siempre, la orquestación
de snapshots que también se puedan cumplir sus RPO.

© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 7
 Las siete mejores prácticas de recuperación de ransomware

Confíe en sus backups, pero verifíquelos

SureBackup es la tecnología de Veeam que le permite probar los backups
y verificar que se pueden recuperar los datos de ellos. Por ejemplo, si se
descubre la existencia de una amenaza en el próximo inicio de un sistema,
SureBackup podría identificar un problema que podría impedir que se
iniciara el sistema o que una aplicación no se iniciara como era de esperar.
Los trabajos de SureBackup pueden garantizar que las aplicaciones se
iniciarán como cabe esperar desde los backups (o réplicas en entornos
VMware) y los informes indicarán que el punto de restauración se puede
restaurar de hecho. Siempre es recomendable hacer pruebas, pero la
verificación automatizada es aún más importante cuando se trata de
corregir amenazas de ransomware.

Uno de los aspectos más versátiles de un trabajo de SureBackup es la posibilidad de poder dejar el trabajo en
ejecución una vez iniciado. De manera predeterminada, el trabajo de SureBackup se ejecutará y realizará
las comprobaciones configuradas. Si el trabajo se configura para que siga en ejecución, se pueden realizar
comprobaciones adicionales en el sistema desde el punto de restauración del backup. Estas comprobaciones
pueden incluir la inspección automatizada o manual para verificar si la amenaza de ransomware sigue presente,
comprobar archivos específicos en busca de anomalías, datos cifrados o extraer algunos datos específicamente
seleccionados para llevar a cabo un análisis posterior de estos.

Automatice y orqueste la recuperación

Cuando sufrimos un ataque de ransomware, es muy raro que tengamos que hacer una única restauración. Por lo
general son muchas las cargas de trabajo que se ven afectadas, e incluso las cargas de trabajo que no han sido
atacadas de manera directa fallarán como consecuencia de sus dependencias. Cuando se trata de recuperar a gran
escala, son fundamentales factores como la velocidad, la automatización y la orquestación. Veeam Data Platform
proporciona a las empresas las herramientas que necesitan para recuperar rápidamente.

Un plan de DR tiene valor únicamente si funciona cuando se necesita. Veeam Recovery Orchestrator es capaz
de ofrecer resultados demostrados para brindar a las empresas la confianza que estas necesitan. Disponer de
una documentación e informes dinámicos y personalizados permite contar con los registros y garantías que las
empresas necesitan cuando se trata de la gestión de riesgos. De igual modo, una vez que se ha diseñado un plan,
los administradores pueden programar pruebas automatizadas para garantizar que su recuperación funcionará
de la forma esperada. De cara a mejorar la seguridad, las pruebas automatizadas permiten a los administradores
analizar los puntos de restauración en busca de ransomware, lo que a su vez da la tranquilidad de saber que la
infección no volverá a introducirse en los sistemas.

© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 8
 Las siete mejores prácticas de recuperación de ransomware

No más normal es que las empresas no puedan restaurar de nuevo sus entornos de producción. Ya sea por falta de
recursos, investigaciones forenses o requisitos de los ciberseguros, sin tener un lugar al que restaurar, no se puede
lograr completar una recuperación. Veeam Data Platform puede ofrecer la flexibilidad que reclaman las empresas
orquestando las recuperaciones directamente en Microsoft Azure.

© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos dueños. 9
 Las siete mejores prácticas de recuperación de ransomware

3. Aplicar una seguridad multicapa

Cualquier profesional de la seguridad le dirá que el primer paso para conseguir una seguridad de calidad es cerrar la
puerta principal. Ya se trate de una puerta física o metafórica, debería ponerse en práctica una estrategia de defensa
en profundidad. Veeam proporciona una serie de herramientas que las empresas pueden usar para levantar sus escudos
frente a los actores de amenazas maliciosas.

Mantenga fuera a los atacantes

Debe habilitarse la autenticación multifactor (MFA) siempre
que sea posible. Desde la perspectiva del sistema operativo
(SO), los componentes de infraestructura como proxies,
repositorios y el propio servidor de backup deberían requerir
algún tipo de sistema de autenticación multifactor (MFA)
para iniciar sesión. Además, la autenticación MFA debe estar
activa para los usuarios que necesiten acceder a la consola
de Veeam Backup & Replication. Esta característica también
funcionará en modo desconectado (offline) en caso de que
el servidor de backup no tenga conexión a Internet. Esto
brinda, de manera intencionada, una mayor flexibilidad en
materia de seguridad.

Cuando se interactúa con sistemas operativos invitados (guest), como por ejemplo Windows Server ejecutando
SQL Server, hay herramientas como las cuentas de servicio administradas de grupo (gMSA por sus siglas en inglés)
que son la opción perfecta. Estas cuentas utilizan contraseñas de 240 bytes aleatorias y autogeneradas que
cambian automáticamente cada 30 días. A nivel global, esto proporciona una interfaz sumamente sólida y fiable
para interactuar con las cargas de trabajo.

Para revisar su posición actual en materia de seguridad dentro de su entorno de backup, puede ejecutar el Security
Best Practices Analyzer en cualquier momento. Esta herramienta proporcionará un resumen de las mejores
prácticas de seguridad en lo que se refiere a la configuración del servidor de Veeam Backup & Replication. A medida
que se aplican cambios en el entorno, puede ejecutarse la herramienta para revisar el impacto que producen.

Proteger los datos durante la copia y en el destino

Independientemente de la ubicación de sus datos de backup, hay que tener en cuenta la posibilidad de cifrarlos.
Aunque la inmutabilidad es una característica imprescindible para evitar que ciberdelincuentes puedan borrar sus
backups, esto no impide que esos mismos datos puedan ser copiados y filtrados.

La tecnología de cifrado de Veeam Backup & Replication permite al producto proteger los datos tanto en tránsito
durante la copia entre los componentes de backup, como en reposo, almacenados en su destino final. Los clientes
pueden utilizar un método de cifrado, o una combinación de ellos, con el objetivo de protegerse a lo largo de todo el
proceso de protección frente a accesos no autorizados a datos importantes.

© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos dueños. 10
 Las siete mejores prácticas de recuperación de ransomware

4. Vigilar las amenazas emergentes

Veeam ONE es un componente clave de Veeam Data Platform, puesto que es el principal responsable de proporcionar
monitorización y análisis proactivos. Casi todos los ataques tienen acciones precursoras que pueden ser identificadas,
y recibir estas alertas y actuar en consecuencia puede marcar la diferencia entre ganar o perder una batalla
contra el ransomware.

Identificar accesos y cambios no autorizados

Por lo general, los atacantes suelen dejar marcas en su
entorno. Por ejemplo, cuando se roban credenciales,
los atacantes pueden empezar iniciando sesión en
varias cargas de trabajo en la red. Esto les permite
comprobar que las credenciales robadas son válidas
y verificar qué permisos tienen y en qué sistemas.

El informe de Auditoría de cambios en la infraestructura

(Infrastructure Changes Audit) debe ejecutarse
y revisarse de manera periódica, ya que puede ayudar
a identificar cambios en su entorno virtual. Se puede
hacer un seguimiento de los cambios realizados en
las máquinas virtuales, los hosts y datastores, que
proporcione información sobre cuántos cambios se
han producido, qué cambios se han producido, quién
ha llevado a cabo dichos cambios y cuándo. Esta es
una forma de identificar rápidamente comportamientos
no autorizados que pueden detenerse.

Descubrir cambios en el tamaño de los backups

Una de las características clave del ransomware es su misión: Cifrar archivos. Esto significa que se crean nuevos
datos, y es posible que se realice backup de ellos. Aunque esto dista mucho de ser la situación ideal, proporciona
otro punto importante a vigilar: los tamaños de los archivos de backup.

La alarma Suspicious Incremental Backup Size (Tamaño sospechoso del backup incremental) puede configurarse
para que supervise cambios drásticos en los tamaños de los archivos de backup incrementales. Las alarmas también
pueden configurarse para incluir tareas como el envío de alertas por correo electrónico, la ejecución de secuencias
de comandos predefinidas para realizar tareas o recopilar información, o incluso iniciar un trabajo de SureBackup.

© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos dueños. 11
 Las siete mejores prácticas de recuperación de ransomware

Identificación de posibles amenazas en tiempo real

El cifrado es una operación que hace un uso intensivo
de la CPU y de la E/S del disco, lo que da lugar a la
creación de un nuevo archivo cifrado. Por tanto, se
pueden detectar los síntomas de un ataque activo
de ransomware mediante la monitorización de picos
en las métricas, incluyendo el uso de la CPU, las
tasas de escritura en disco y las tasas de transmisión
de red. En Veeam ONE se puede habilitar la alarma
Possible Ransomware Activity (posible actividad
de ransomware) y configurar para que se active en
función de estas observaciones.

Cuando se trata de las alarmas de Veeam ONE, una práctica recomendada es duplicar esa alarma y adaptarla a su
entorno. Utilizando esta alarma a modo de ejemplo, es posible que tenga algunas cargas de trabajo de base de
datos que por lo general hacen un consumo de CPU muy elevado cuando se ejecutan. Puede usarse una copia de
la alarma para ajustar sus valores y aplicar esos umbrales sólo a un ámbito específico.

© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 12
 Las siete mejores prácticas de recuperación de ransomware

5. Automatización de la documentación,
seguridad y pruebas
A pesar de ser una cuestión crítica, mantener al día los planes de DR es todo un reto que afecta a empresas de todos
los tamaños. No hay ningún departamento de TI que quiera encontrarse en la situación de tener que ejecutar un plan
de DR y descubrir que la documentación no está actualizada, que faltan pasos o incluso que está completamente
equivocada. Veeam Recovery Orchestrator permite superar este desafío automatizando el proceso de creación de
documentación para cada plan de orquestación que cree.

La documentación es legible, fácil de seguir y puede generarse siempre que sea necesario, como, por ejemplo,
después de realizar un cambio.

© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 13
 Las siete mejores prácticas de recuperación de ransomware

Restaure sus datos de forma segura

Cuando se produce un ataque de ransomware, los backups son su última línea de defensa. Por desgracia, cuando
esto ocurre el malware ya lleva un tiempo de permanencia escondido en su entorno. Se trata de un periodo de
tiempo en el que permanece ahí, esperando a ser activado. Por este motivo, los backups pueden contener, sin
saberlo, una copia de la amenaza. Por ello, existe el riesgo de que la restauración de los backups reintroduzca
nuevamente las amenazas en el entorno.

Secure Restore de Veeam Backup & Replication es la respuesta a este problema. Puede usarse Secure Restore
para realizar un análisis de malware como parte misma del proceso de recuperación. Los discos virtuales de los
backups se montan en un servidor de montaje que, a continuación, realiza el análisis. Si no se detecta ninguna
amenaza, la restauración prosigue normalmente. Sin embargo, si se detecta malware, los usuarios pueden elegir
entre cancelar la restauración o continuar con restricciones (es decir, desactivar la interfaz de red).

DR limpia a gran escala

¿Qué sucede cuando se produce un desastre y se ven afectados centros de datos completos? La característica
Clean DR de Veeam Recovery Orchestrator proporciona a los usuarios la capacidad de realizar recuperaciones
seguras y orquestadas a gran escala. De forma similar a como opera Secure Restore en Veeam Backup & Replication,
que es el fundamento de Clean DR, los discos se montan automáticamente y se lleva a cabo un análisis para
detectar malware. Si no se encuentra ninguna amenaza, la operación de restauración puede continuar de acuerdo
al plan de recuperación.

Si por el contrario se encuentra una amenaza, los administradores pueden elegir una de las siguientes acciones:

Analizar el siguiente punto de restauración más reciente en busca de malware

Detener la restauración

Completar la restauración con el punto de restauración sospechoso y conectar

su máquina virtual a una red en cuarentena

© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 14
 Las siete mejores prácticas de recuperación de ransomware

Servidor Veeam
Recovery Orchestrator Microsoft Windows
Defender
ESET NOD32
Smart Security
Symantec Protection
Engine

Además de cualquier otro software anti-virus

con soporte para CMD

1. Seleccionar Múltiples puntos de restauración 3. Comprobación del antivirus

4a. No se encontraron infecciones;
Agente Orchestrator
continúe con la restauración

Veeam Backup
& Replication

Servidor de montaje 4b. Infección detectada;

proseguir con el siguiente punto
Repositorio 2. Monta los discos
de backup de restauración disponible
directamente desde el
archivo de backup al
servidor de montaje 4c. Infección detectada; detiene
Software antivirus instalado la restauración o completa la
con las últimas definiciones restauración y conecta la VM
a una red de cuarentena

En cuanto a los motores de detección de malware, los clientes tienen la opción de utilizar una de las muchas
integraciones que existen actualmente, o pueden añadir su propio motor de detección creando y personalizando
un archivo de configuración XML. Puede encontrar más información en el artículo Veeam KB 3132.

Demostrar la conformidad de su plan de DR

Muchas organizaciones no pueden probar sus planes de DR, a pesar de su deseo de hacerlo, e incluso sabiendo
que es algo que debería hacerse. Las pruebas automatizadas y programadas con Veeam Recovery Orchestrator
agilizan todo el proceso de pruebas al aprovechar Veeam DataLabs.

DataLabs permite que los backups de Veeam Data

Platform, tanto de cargas de trabajo virtuales como
basadas en agentes, se restauren completamente en
un entorno aislado. Cuando se realiza una prueba de
DR, todo el plan se ejecuta en una red desconectada
(out-of-band). Esto no sólo garantiza que su plan
funcionará de la manera esperada, sino que también le
proporciona RPO y objetivos de tiempo de recuperación
(RTO) reales que puede utilizar para demostrar que su
plan cumple con las normativas.

© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos dueños. 15
 Las siete mejores prácticas de recuperación de ransomware

6. Usar la detección de amenazas

basada en API
Cuando se habla de detección de amenazas, un desafío común al que se enfrentan las empresas es el impacto
que produce en las cargas de trabajo de producción, el elevado consumo de recursos que supone realizar un
análisis de detección. Analizar los archivos en busca de amenazas o buscar artefactos conocidos e indicadores
de amenazas puede conducir a un uso excesivo de la potencia de cálculo de la CPU y a una degradación del
rendimiento del disco. Con un análisis sin conexión de los backups, estas consecuencias adversas pueden
evitarse, conservando todavía la capacidad de buscar amenazas

Búsqueda de amenazas sin impacto

Incluida por primera vez en Veeam Backup & Replication v10, la API de integración de datos de Veeam
(Veeam Data Integration API) proporciona a los clientes acceso ilimitado a sus datos de forma offline. Esta
funcionalidad permite que los datos de los archivos de backup se muestren como una carpeta montada que
permite el acceso a los datos disponibles en los backups creados por Veeam Backup & Replication. Esta
funcionalidad es una técnica excelente para garantizar que el ransomware y otras amenazas no se restauren
nuevamente al entorno de producción. La API también permite analizar los datos de forma regular en busca de
amenazas adicionales y permite que los equipos de seguridad puedan realizar actividades de caza de amenazas
en un entorno aislado y seguro.

Además, dado que los datos se montan como un sistema de archivos y no como un sistema en ejecución activa,
las amenazas no pueden ejecutarse ni cargarse en la memoria del sistema. Este sistema proporciona una forma
segura y eficaz de llevar a cabo auditorías y búsquedas de tipo forense al tiempo que se reduce el impacto y se
eliminan las amenazas para otras cargas de trabajo.

Identificación de datos y cambios no conformes

Existen retos parecidos a la hora de clasificar los datos en estos sistemas y garantizar el cumplimiento normativo.
Practicar comprobaciones sobre el contenido y la modificación de los archivos no es algo que se pueda realizar
en el entorno de producción, pero es algo de lo que podrían beneficiarse muchas organizaciones. Como la API
de integración de datos de Veeam aprovecha la funcionalidad de PowerShell, las empresas pueden desarrollar
código para ejecutar las tareas que necesiten. Entre estas tareas se incluyen identificar la ubicación de la información
de identificación personal (PII) o determinar si se han modificado archivos sensibles.

Mediante la ejecución de estos análisis y registro de los resultados, las organizaciones pueden llevar a cabo un
seguimiento fiable de los sistemas en los que se alojan sus datos. Uno de los beneficios principales que se derivan es
que los clientes pueden utilizar estos datos para elaborar y revisar planes de restauración con la ventaja añadida
de garantizar la localización y el cumplimiento de los datos con antelación, y no durante un desastre.

© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 16
 Las siete mejores prácticas de recuperación de ransomware

7. Planificar para la inaccesibilidad

del centro de datos
Disponer de una ubicación en la que se puedan restaurar las cargas de trabajo es una tarea primordial que debe
planificarse con antelación. Bien sea que sus servidores de producción se encuentren offline debido a una
investigación forense, o que no disponga de los recursos necesarios para restaurar en su centro de datos, las
empresas necesitan garantizar que puedan volver a estar operativas lo antes posible.

Veeam Recovery Orchestrator, que forma parte de Veeam Data Platform — Premium edition, permite a los clientes
crear planes de automatización y orquestación, otorgándoles la capacidad y flexibilidad necesarias para poner
en marcha las cargas de trabajo y garantizar al mismo tiempo el cumplimiento de sus SLA.

Recuperación fuera de su centro de datos

Una de las funciones principales que diferencian a Veeam Recovery Orchestrator es la capacidad de restaurar
cargas de trabajo de VMware y backups de Veeam Agent directamente en Microsoft Azure, además de en
entornos VMware. Las empresas pueden planificar la capacidad de recuperación creando planes de orquestación
para combatir el tiempo de inactividad, ya sea provocado por el ransomware como por los efectos posteriores de
restricciones impuestas por organismos de seguridad del estado. Una vez elaborados los planes, estos pueden
probarse en un entorno aislado. Esta posibilidad no sólo garantiza que todo funcionará como se espera, sino que
también proporcionará RPOs y RTOs demostrados, que le darán la confianza que necesita para recuperarse de un
incidente de seguridad.

Producción DR a Azure

Repositorio de
almacenamiento
de objetos

Restaurado como
VMs de Azure

VMs de vSphere Veeam Backup &

Replication Repositorio de backup
local (on-premises)

Agente VRO

Veeam Agent
for Windows

Veeam Recovery
Orchestrator

Veeam Agent
for Linux

Figura 9 - Recuperación orquestada a Microsoft Azure

© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 17
 Las siete mejores prácticas de recuperación de ransomware

Conclusión: garantizar una recuperación

de ransomware rápida
Los ataques de ransomware han aumentado a un ritmo alarmante, provocando daños
significativos a empresas y organizaciones. Estos ataques suelen dirigirse a datos
críticos, dejándolos inaccesibles para sus propietarios hasta que paguen un rescate.
En muchos casos, incluso habiendo pagado el rescate, los datos no se llegan a restaurar,
y los ciberdelincuentes siguen manteniéndolos como rehenes. La mejor forma de
protegerse frente al ransomware es contar con un plan sólido de backup.

Para sobrevivir a un ataque de ransomware es vital contar con backups fiables. Las
organizaciones necesitan confiar en su capacidad para recuperarse rápidamente tras
ataque de cualquier tamaño. Es fundamental que las empresas sigan incorporando
el backup y recuperación a sus programas de seguridad general para garantizar la
capacidad de recuperación de los datos de forma adecuada y segura.

Crear un programa de seguridad integral requiere la colaboración de personas,

procesos y tecnología de manera que se centren en la mejora continua y permitan a las
organizaciones pasar de una posición de defensa reaccionaria a una postura proactiva.
Con independencia de la metodología que elijan las empresas, debe haber resultados
que puedan medirse y que permitan a los equipos de TI defenderse frente a los ataques
y recuperar rápidamente en caso de que un ataque resulte fructífero.

El objetivo de un plan de recuperación de ransomware es minimizar el tiempo de

inactividad en caso de ataque de ransomware y automatizar el proceso para reducir el
riesgo. Antes de que se produzca un ataque, las organizaciones necesitan estar seguras
de que están equipadas con el conjunto más completo de funcionalidades del mercado
para contrarrestar cualquier amenaza potencial.

Siguiendo estos pasos, los ejecutivos pueden garantizar que sus organizaciones se encuentran perfectamente
dispuestas para responder ante un ataque de ransomware y que pueden recuperar su funcionamiento rápidamente
sin necesidad de pagar un rescate. Aunque no existe una forma infalible de evitar los ataques de ransomware,
entender de manera meridiana las mejores prácticas para proteger los datos y conocer los pasos necesarios para
abordar una recuperación exitosa del ransomware permitirá una menor superficie de ataque y una mayor visibilidad
de las amenazas emergentes. El resultado de todo esto es un equipo de respuesta mejor equipado con el conocimiento
y las herramientas necesarias para defender sus datos y proteger su negocio de la amenaza del ransomware.

Tendencias de protección Informe de tendencias Ver 6 demostraciones breves para

de datos 2023 de ransomware 2023 superar un ataque de ransomware

© 2023 Veeam Software. Información Confidencial. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. 18