OPINIÓN

En materia de ransomware “más vale prevenir que curar”



Dirección copiada

Tras este tipo de ataques cibernéticos una vuelta exitosa a la normalidad requiere de una estrategia avanzada de protección, detección y recuperación

Publicado el 25 oct 2023

Jaime Balañá

Director Técnico de NetApp Iberoamérica



Ransomware

Ciberataques de ransomware en hospitales

La transformación digital de las organizaciones sanitarias, con sus ventajas incontestables al impulsar la accesibilidad, agilidad y efectividad de la atención, también ha hecho que los sistemas de información de los hospitales y centros de atención médica se hayan convertido en blanco preferido de los ciberdelincuentes. Así lo atestiguan múltiples informes, entre ellos el ‘Cyber Security Report 2023’ de Check Point Software, según el cual en 2022 el sector registró 74 % más ciberataques que en 2021 (el incremento más significativo de incidentes de todas las industrias), con un total de 1.463 casos registrados en hospitales, clínicas e instalaciones de investigación de todo el mundo.

Ransomware en hospitales españoles

La realidad del sector en España sigue a la estela. Las noticias sobre centros médicos afectados desde la pandemia, sobre todo por ataques de ransomware, no han parado de sucederse, desde el ataque al hospital más importante de Asturias, el (HUCA) en 2021, hasta el incidente en el Hospital Clinic de Barcelona, en marzo de este año.

La querencia de los ciberdelincuentes por este tipo de centros no es difícil de entender, dada su importancia, la alarma social que generan los ataques y la sensibilidad de los datos almacenados en sus sistemas de información. Las consecuencias de los numerosos incidentes de ransomware registrados en el mundo desde el inicio de la pandemia, van desde las pérdidas económicas, hasta el cese total o parcial de la actividad de los centros afectados, pero los costes financieros son sólo una parte de la historia. En un reciente estudio de Ponemon, dos tercios de los encuestados, cuyos centros habían sufrido ataques de ransomware, afirmaron que se interrumpió la atención a los pacientes, el 59% aseguró que se había detectado un aumento en la duración de las estancias, y casi una cuarta parte consideró que estos incidentes habían provocado un incremento de las tasas de mortalidad en sus centros.

El backup, por sí solo, no es suficiente

Una estrategia común en la mayoría de las organizaciones para protegerse del ransomware es confiar en las copias de seguridad para restaurar sus datos tras el ataque. Sin duda, el backup es una solución importante y eficaz, pero, según una encuesta realizada por Veeam en 2022, el 58% de las operaciones de backup y de restauración falla y, cuantos más fallos, mayor es el riesgo de pérdida de datos y lentitud en la recuperación.

Además, si los ataques de ransomware no se detectan a tiempo, pueden producirse más daños, lo que se traduce en días, semanas o meses hasta conseguir recuperar los datos de la organización, si es que se recuperan. Según un estudio de Evaluator Group a más de 160 CISO de firmas internacionales, los profesionales afrontan el reto de identificar los ataques y también de localizar la última copia de seguridad de los datos válida conocida, manejando unas expectativas de recuperación mínima en cuestión de horas y de recuperación completa en cuestión de semanas o incluso meses, lo que con frecuencia se salda con datos perdidos para siempre, debido a la corrupción maliciosa.

Como resultado, el 71% de los encuestados afirmó que lo que más deseaba en el futuro era una detección más temprana de los ataques de ransomware, y dos tercios aseguraron que cuentan con planes de añadir herramientas de análisis de datos y/o machine learning para detectar actividades sospechosas, durante el próximo año.

Detección, protección y recuperación avanzada

El sistema de almacenamiento es la última línea de defensa contra el ransomware. Por ello, es clave que las organizaciones elijan un sistema y lugar para almacenar sus datos con un enfoque específico en la protección, detección y la recuperación de los datos, en caso de producirse un ataque de este tipo.

Es esencial que dichos sistemas no sólo ofrezcan recuperación garantizada de datos (cómo los Snapshot, copias instantáneas de un sistema de ficheros que se pueden realizar rápidamente, de forma automatizada y frecuente y que apenas ocupan espacio), sino que también proporcionen tecnologías avanzadas de protección y detección para mitigar el impacto del ransomware.

La tecnología de detección de ransomware elegida debe ser capaz de aprovechar la IA y el ML para identificar anomalías en tiempo real, mediante la observación en el sistema de archivos y en el comportamiento de los usuarios que podrían indicar ransomware, cuentas de usuario comprometidas o actividad maliciosa interna. Gracias a ello, y en caso de que se detecte una anomalía, el sistema será capaz de crear puntos de recuperación mediante Snapshots y de bloquear el acceso de la cuenta de usuario al almacenamiento.

Dichos sistemas de almacenamiento también serán capaces de bloquear las amenazas internas, como los administradores malintencionados, por ejemplo, requiriendo que varios administradores aprueben tareas delicadas, como la eliminación de datos.

En definitiva, un backup y recuperación del almacenamiento nativo seguro, rápido y eficiente son esenciales para la recuperación operativa. Y con la incorporación de protección avanzada y detección de amenazas, las empresas pueden acelerar la respuesta y la recuperación en caso de ataque de ransomware. En estos casos, confiar únicamente en la recuperación ante la creciente sofisticación de las ciberamenazas puede resultar poco adecuado. Después de todo, más vale prevenir que curar.

Artículos relacionados

Artículo 1 de 2