Cómo el ransomware puede arruinar la Navidad a los equipos informáticos

Si le preguntas a un administrador de sistemas qué es lo que más le molesta de su trabajo, lo más probable es que obtengas, sin ningún orden en particular, respuestas como "los usuarios", "las actualizaciones defectuosas" o "las llamadas los viernes por la tarde". Algunos también te darán respuestas aleatorias como "el trabajo fuera de horario" o "que vulneren sus sistemas".

Tener un incidente de ransomware en sus servidores de producción marcará casi todas las casillas. Los sistemas se caerán, tus usuarios (o clientes) se quejarán y tendrás que invertir una cantidad de tiempo desmesurada para que todo vuelva a funcionar.

Imagínese que esto ocurre en diciembre y que los trámites para que todo vuelva a funcionar duran unas tres semanas. El espíritu navideño brillará por su ausencia.

Esta situación fue precisamente la que UKG denunció hace unos días. Un incidente de ransomware afectó a sus sistemas de nube privada Kronos, afectando a todo, desde la gestión de la fuerza de trabajo a la asistencia sanitaria y las soluciones bancarias que proporcionan. El lado positivo parece ser que los datos de sus usuarios no se vieron afectados y siguen a salvo.

Por desgracia, esto ocurre cada vez con más frecuencia.

De su anuncio público: "Aunque estamos trabajando diligentemente, nuestras soluciones de Nube Privada de Kronos no están disponibles actualmente. Dado que puede llevar hasta varias semanas restaurar la disponibilidad del sistema, recomendamos encarecidamente que evalúe e implemente protocolos alternativos de continuidad de negocio relacionados con las soluciones UKG afectadas".

Sin entrar en ningún otro aspecto, y desde un punto de vista puramente profesional, nos gustaría transmitir nuestra solidaridad a los equipos que intentan devolver las cosas a un estado seguro y que funcionen de nuevo. Sabemos que es un trabajo duro y delicado, y que se requiere dedicación y pericia para mantener la calma en una situación así.

Volviendo al ataque de ransomware, y sin conocer todos los detalles de la situación, sólo podemos hablar del resultado conocido públicamente, que es un largo periodo de inactividad de los sistemas afectados. A primera vista, puede parecer extraño que se tarde tanto en recuperar todos los sistemas, pero las razones pueden ser múltiples.

En primer lugar, se tarda algún tiempo en comprender plenamente el alcance de un ataque y recuperar la confianza necesaria para volver a poner los sistemas en producción. Restaurar las copias de seguridad y darse cuenta de que el ataque se produjo antes de que se hicieran las copias sólo significa que volverás a sufrir un ataque. Por otra parte, borrar todo y reiniciar toda la infraestructura lleva tiempo y requiere mucho trabajo.

Además, la restauración de las copias de seguridad es un proceso largo en sí mismo. La gran cantidad de datos que hay que mover de un medio de almacenamiento a los sistemas de producción provocará cuellos de botella en el almacenamiento y la red, lo que ralentizará aún más las cosas. Y en el caso de las soluciones de copia de seguridad que prometen un tiempo de inactividad cero, lo que hacen es presentar una vista de los datos en el soporte de copia de seguridad, lo que significa que si el ransomware volviera a atacarnos, los propios datos de la copia de seguridad quedarían inutilizados, y eso es muy peligroso.

Todo se reduce a recuperar la confianza en tus sistemas. Más allá de simplemente restaurar los datos o volver a poner los sistemas en línea, necesitas auditar todo a fondo, y de nuevo, eso lleva tiempo hacerlo correctamente - lo último que quieres que suceda en una situación como esta, es restaurar las copias de seguridad correctamente y algún tiempo después ser golpeado de nuevo por alguna parte de la infección que se te pasó en la evaluación inicial o tener una reinfección porque se te pasó la brecha de seguridad que permitió al atacante tener acceso en primer lugar.

Con las amenazas actuales a la ciberseguridad, la mejor opción es no sufrir ningún ataque. Por supuesto, la retrospectiva es 20-20, y no ayudará al equipo de TI de UKG a volver a poner en marcha sus sistemas más rápidamente, pero es un duro recordatorio de los riesgos para todos los demás. Repasar las cuestiones básicas, como la aplicación de parches adecuados, idealmente con un calendario rápido (o incluso mejor, una solución de parches en vivo), no puede hacer daño. Asegurarse de que los sistemas más antiguos se mantienen actualizados (en este caso, las opciones de soporte de ciclo de vida ampliado son útiles). Mantén varias copias de seguridad en almacenamiento offline para evitar que el ransomware las corrompa mientras están almacenadas. Por último, realice auditorías periódicas de toda su infraestructura. Al fin y al cabo, no se puede proteger lo que no se sabe que existe.