Recuperación ante ransomware: backups que sí funcionan | SUMāTO

El correo llega un martes cualquiera: archivos cifrados, una nota de rescate y un reloj que avanza. En ese momento, la pregunta que define el desenlace no es cuánto cuesta el rescate, sino una mucho más incómoda: ¿podemos restaurar todo desde un backup que sepamos que está limpio? Demasiadas organizaciones descubren, justo en ese instante, que sus copias de seguridad también fueron cifradas. Tener backups no es lo mismo que tener recuperación.

En corto: El ransomware moderno busca y ataca primero sus copias de seguridad. Un backup solo sirve para recuperarse si es inmutable, está aislado de la red de producción y existe en varias copias (regla 3-2-1). Y nada de eso cuenta si usted nunca probó la restauración completa de extremo a extremo.

Por qué tantos backups fallan justo cuando más se necesitan

Durante años, el respaldo se diseñó pensando en fallas de hardware, borrados accidentales o desastres físicos. El ransomware cambió las reglas: ya no es un evento aleatorio, sino un adversario que estudia su infraestructura antes de actuar.

Los atacantes saben que su mejor defensa es el backup, así que lo convierten en su primer objetivo. Entre las causas más comunes de fallo encontramos:

• Backups conectados a la red: si el repositorio de copias es accesible con las mismas credenciales que el resto de los servidores, se cifra igual que todo lo demás.
• Credenciales compartidas: una cuenta de administrador comprometida abre, a la vez, la puerta de producción y la del respaldo.
• Cifrado lento y silencioso: algunos ataques corrompen datos durante semanas antes de detonar, contaminando todos los puntos de restauración recientes.
• Copias que nunca se probaron: el backup "se ejecutó con éxito" cada noche, pero nadie verificó que los datos fueran realmente recuperables.

El resultado es siempre el mismo: la copia existe, pero no sirve. Recuperarse exige diseñar el respaldo asumiendo que el atacante intentará destruirlo.

Inmutabilidad: copias que no se pueden borrar ni cifrar

La inmutabilidad significa que, una vez escrito, un backup no puede modificarse ni eliminarse durante un período definido, ni siquiera por un administrador con credenciales válidas. Es la diferencia entre "tengo copias" y "tengo copias que el ransomware no puede tocar".

Existen varias formas de lograrlo:

• Almacenamiento WORM (write once, read many), donde el dato se escribe una sola vez y queda protegido contra reescritura.
• Object lock en almacenamiento de objetos, que bloquea la versión del archivo por un tiempo determinado.
• Retención forzada que impide acortar o eliminar el período de conservación, incluso con accesos privilegiados.

La clave es que la protección no dependa solo de la buena voluntad o de un permiso que pueda revocarse. Si un operador comprometido puede borrar la copia, esa copia no es realmente inmutable.

Aislamiento y air gap: separar el respaldo de la línea de fuego

El aislamiento consiste en mantener al menos una copia fuera del alcance directo de la red de producción. El concepto clásico es el air gap: una brecha de aire entre sus datos vivos y su respaldo, de modo que un ataque que se propaga por la red no encuentre camino hacia las copias.

El air gap tradicional eran cintas guardadas físicamente fuera de línea. Hoy conviven varios enfoques:

• Air gap físico: medios desconectados y almacenados aparte, sin ruta de red posible.
• Air gap lógico: repositorios accesibles solo durante la ventana de respaldo y desconectados el resto del tiempo, con credenciales y dominios separados.
• Copia en la nube aislada: un destino externo, con autenticación independiente, que no comparte el directorio ni las llaves de su entorno principal.

El principio rector es sencillo: si su producción y su backup se comprometen con la misma llave, no tiene dos defensas, tiene una sola con copia de respaldo inútil.

La regla 3-2-1, y por qué hoy se queda corta

La regla 3-2-1 sigue siendo el punto de partida más sólido para pensar en respaldo:

• 3 copias de sus datos (la original y dos respaldos).
• 2 tipos de medio o tecnología distintos, para no depender de un único punto de falla.
• 1 copia fuera de sitio, físicamente separada de su ubicación principal.

Frente al ransomware, muchas organizaciones la extienden a 3-2-1-1-0: añaden 1 copia inmutable o aislada (offline/air gap) y exigen 0 errores en las pruebas de recuperación. La idea no es memorizar números, sino entender que la diversidad de copias y la separación física o lógica son lo que rompe la capacidad del atacante de destruir todo a la vez.

Restaurar a un punto confiable, no solo al más reciente

Cuando el ataque detona, el instinto es restaurar la copia más nueva. Pero si el ransomware llevaba semanas cifrando o corrompiendo datos de forma silenciosa, la copia más reciente puede estar ya contaminada. Recuperarse bien implica identificar un punto de restauración confiable: el último estado conocido como limpio.

Para lograrlo necesita:

• Retención suficiente: conservar puntos de restauración que se remonten más allá de la posible ventana de infección, no solo de los últimos días.
• Versionado: múltiples versiones en el tiempo que permitan retroceder hasta antes del compromiso.
• Capacidad de análisis: poder inspeccionar una copia en un entorno seguro y aislado antes de devolverla a producción, para no reinfectarse durante la propia recuperación.

La recuperación también es una decisión de tiempo. Sus objetivos de RPO (cuántos datos puede permitirse perder) y RTO (en cuánto tiempo debe volver a operar) determinan con qué frecuencia respalda y qué tan rápido puede levantarse. Una solución como SyncDR está pensada para replicar y orquestar la recuperación con esos objetivos en mente.

Pruebas de recuperación: el backup que nunca se restauró no existe

Un respaldo no probado es una hipótesis, no un seguro. La única forma de saber que puede recuperarse es ensayarlo, de forma regular y realista. Las pruebas deben responder con datos, no con suposiciones:

• ¿Restaura completo? No basta con abrir un archivo de muestra; hay que levantar sistemas y aplicaciones de extremo a extremo.
• ¿En cuánto tiempo? Cronometre la restauración real y compárela con su RTO comprometido.
• ¿Con qué pérdida de datos? Verifique que el punto recuperado respeta su RPO.
• ¿Quién hace qué? Las personas y los roles deben estar tan ensayados como la tecnología.

Estas pruebas son el corazón de un plan de recuperación ante desastres bien gobernado. Si quiere estructurar ese plan, su alcance y su cadencia de pruebas, nuestra práctica de planes de recuperación ante desastres ayuda a llevarlo de la teoría a algo verificable.

Preguntas frecuentes

¿Por qué el ransomware también cifra mis backups?

Porque los atacantes saben que el respaldo es su salida sin pagar. Si las copias están en la red con credenciales accesibles, las cifran o borran junto con producción. Por eso la inmutabilidad y el aislamiento son hoy parte del diseño básico, no un lujo.

¿Es suficiente con tener backups en la nube?

La nube ayuda solo si esa copia está realmente aislada: con autenticación independiente, inmutabilidad activada y separada del directorio de su entorno principal. Una copia en la nube accesible con las mismas llaves comprometidas se cifra igual que cualquier carpeta de red.

¿Cada cuánto debo probar la recuperación?

Con la frecuencia suficiente para tener confianza antes de necesitarla, y cada vez que cambie de forma relevante su infraestructura o sus sistemas críticos. Lo importante es que la prueba sea completa y medida contra sus objetivos de RTO y RPO, no una verificación superficial.

¿Qué diferencia hay entre backup y recuperación ante desastres?

El backup es la copia de los datos; la recuperación ante desastres es la capacidad de volver a operar usando esas copias, con procesos, roles y tiempos definidos. Tener lo primero sin lo segundo es justamente lo que falla cuando llega el ataque.

El primer paso

No espere al martes del correo cifrado para descubrir si sus copias funcionan. El primer paso es honesto y concreto: revisar si sus backups actuales son inmutables, si al menos una copia está aislada de producción y si alguna vez se restauraron de extremo a extremo. Si la respuesta a cualquiera de esas preguntas es "no estoy seguro", ahí está su brecha. En SUMāTO acompañamos a las organizaciones de LATAM a diseñar respaldo y recuperación que resisten al ransomware, no que solo lo aparentan. Conversemos sobre su plan de recuperación y convirtamos sus copias en una salida confiable.