Llega a la oficina por la mañana, inicia sesión, y se da cuenta de que algo no está bien. Todos los programas se están abriendo, pero ninguno de sus datos están ahí.
A continuación, se abre una ventana en la pantalla que dice: «Si desea sus datos de nuevo, deberá pagar…».
Usted o uno de sus colegas debió de haber hecho clic en un enlace incorrecto de Internet que descargó un virus de malware.
Durante la noche, este virus invadió sus equipos a través de la red y realizó la encriptación de los archivos de datos, incluyendo sus archivos en línea de copia de seguridad, los cuales ahora están detenidos, aún dentro de sus sistemas. La oferta es que una vez que se paga el rescate, recibirá la clave de cifrado que desbloquea sus datos.
El terror comienza a apoderarse de usted, no sabe cuánto tiempo este virus ha estado en sus sistemas, qué parte de los datos se ha visto afectada, o la forma de librarse.
Obviamente, la pérdida de acceso a sus datos sería un evento crítico o incluso terminal para la mayoría de las organizaciones. Pero puede ser aún más grave cuando la organización infectada es un banco, un hospital o una dependencia gubernamental.
También conocido como un virus crypto-locking, este es un problema que está propagándose en todo el mundo. La petición de rescate puede ser de miles o incluso millones de dólares estadounidenses y el pago se hace en Bitcoin, que permite el seguimiento de la transacción, pero de los autores es imposible.
Una vez que su organización está infectada por el Ransomware, básicamente tienen tres opciones:
- Pagar el rescate y rezar para recibir la clave de descifrado (también rezar para que esto no vuelva a suceder).
- Pasar días o semanas restaurando datos de las copias de seguridad fuera de línea (si es que existen) y volver a crear los datos nuevos desde la última copia de seguridad fuera de línea (si es posible).
- Simplemente renunciar y alejarse.
Según una nota de CNN, la mayoría de las organizaciones elije la opción uno, a pesar de que no se anuncia públicamente por razones obvias.
La prevención es la mejor opción
Tener una alta capacidad antivirus, junto con procedimientos que controlen el comportamiento en línea de los empleados, puede ser algo eficaz para evitar ser infectado por Ransomware. Pero las personas mal intencionadas están desarrollando continuamente nuevas maneras de engañar al software y a los seres humanos para a acceder a sus datos.
Algunos expertos en la materia recomiendan un enfoque de “air gap”, en el que el sistema que está llevando a cabo la copia de los datos este separada físicamente de la red. Esto tiene sentido, excepto que el sistema de protección tiene que estar conectado periódicamente para copiar los nuevos datos, tiempo que va a estar en riesgo de infección (y los delincuentes son conscientes de ello). Además, puede tardar días o incluso semanas para copiar los datos a sus sistemas. El impacto financiero durante este tiempo de inactividad es probablemente peor que pagar el rescate.
Por lo que también necesita una capacidad de recuperación rápida y efectiva que no incluya el pago de un rescate. Además, necesita proteger la copia de los datos recientes de las aplicaciones comunes, el control del sistema de copia de seguridad, y contra empleados potencialmente deshonestos.
Los clientes de Hitachi Data Systems han tenido estas capacidades integradas en los sistemas operativos básicos de las matrices de almacenamiento, desde hace muchos años. Es una tecnología de microcode que permite bloquear cualquier volumen de datos en el disco por un período de tiempo definido. Durante este período de retención, nadie puede cambiar o borrar los datos en el volumen protegido, ni administradores de bases de datos, de almacenamiento, de copia de seguridad o incluso los ingenieros de Hitachi. La única manera de impactar estos volúmenes que están protegidos es dañar físicamente el sistema de almacenamiento o sus unidades de disco, pero esto implica un tipo diferente de problema de seguridad.
La solución es aplicar el bloqueo por un periodo a una copia basada en matrices del volumen de datos; esta opción se ha creado usando capacidades altamente eficientes de snapshot o de clonación. Así, si sus datos están encriptados por Ransomware, sólo tiene que restaurar desde la instantánea (snapshot) o clonar de nuevo al volumen original, y pueden estar funcionando en pocos minutos sin importar el tamaño de los datos.
Los clientes de Hitachi, incluidos organizaciones financieras y médicas, están utilizando una política bastante sencilla para protegerse contra Ransomware, y muchas otras amenazas que podrían afectar sus datos: crear una instantánea de tiempo una vez por semana, con un período de bloqueo de 14 días. Con esta política, siempre tienen dos copias de sus datos protegidos y disponibles, y el tiempo de recuperación en el peor caso es de siete días. Estos ajustes de tiempo pueden ser según sea necesario, dependiendo de la tolerancia a la pérdida de datos.
Por Richard Vining, HDS Sr. Product Marketing Manager