Estimados amigos de Inseguros !!!
Hay una idea que durante años mucha gente ha tratado como si fuera secundaria, casi administrativa, casi aburrida. Las copias de seguridad.
Y sin embargo, cuando una empresa cae por ransomware, cuando cifran servidores, cuando tumban sistemas, cuando empiezan las prisas, cuando todo el mundo pregunta cuánto tardamos en volver, resulta que aquello que parecía un trámite pasa a convertirse en una de las piezas más importantes de toda la supervivencia del negocio.
El problema es que todavía hay muchas organizaciones que siguen pensando en el backup como si estuviéramos en otra época. Como si el riesgo principal siguiera siendo una inundación, un incendio, un corte eléctrico o un desastre natural.
Y ojo, todo eso sigue existiendo. Pero ahora hay algo más. Ahora hay atacantes. Ahora hay ransomware !!!
Antes el backup era “por si algo se rompe”. Ahora el backup también es “por si alguien te ataca a propósito”. Y eso cambia completamente la película.
Porque si un atacante entra en tu entorno y consigue cifrar tus sistemas, pero tú conservas copias sanas, aisladas y recuperables, todavía tienes opciones. Vas a sufrir, sí. Vas a tener un incidente serio, sí. Pero tienes una vía de salida. Ahora bien, si además de cifrarte producción consiguen inutilizarte el sistema de backup, entonces la conversación cambia. Ya no estás hablando solo de restaurar. Estás hablando de supervivencia. Por eso llevo tiempo diciendo que el backup no puede seguir tratándose como una pieza de segunda categoría. Casi como un Tier 0.
Y esto a algunas personas les puede sonar exagerado, pero no lo es. Si tu identidad cae, tienes un problema enorme. Si tus backups caen también, directamente te quedas sin salvavidas. Y aquí es donde muchas empresas siguen llegando tarde.
Se gastan dinero en mil cosas.
Hablan de cloud.
Hablan de IA.
Hablan de madurez.
Hablan de transformación digital.
Pero luego resulta que el sistema del que depende la recuperación real no está bien separado, no está bien endurecido, no está bien probado o, directamente, depende de los mismos elementos que podrían estar comprometidos durante el ataque. Eso es peligrosísimo. Porque el backup moderno ya no va solo de “hacer copia”.
Va de poder recuperar en condiciones hostiles. Va de poder levantar servicios cuando la casa está ardiendo. Va de tener una copia que no haya sido manipulada, ni borrada, ni cifrada, ni contaminada. Y aquí aparece otro matiz muy importante: no toda recuperación vale. Una de las cosas más delicadas en un incidente serio es saber desde qué punto puedes restaurar sin tragarte el problema otra vez. Puede que el malo lleve 2 meses en tus copias de seguridad versionadas… Solo has reiniciado el desastre. Esto en algunos workloads puede ser más sencillo de manejar. Pero en otros no. Y hay uno especialmente delicado: Active Directory.
Con Active Directory no vale con pensar “restauro la máquina virtual y listo”. Es muy normal que las empresas tengan la copia del AD como máquina, no como datos.
Porque si el atacante ha comprometido cuentas, privilegios, relaciones de confianza o elementos clave del dominio, puedes restaurar un sistema aparentemente funcional que en realidad sigue podrido por dentro. Eso es lo peligroso. Que la infección no siempre es solo un binario malicioso.
A veces la infección es el propio estado lógico del entorno.
Cuentas robadas.
Persistencia.
Permisos alterados.
Backdoors.
Cambios sutiles que no se arreglan por arte de magia restaurando un snapshot.
Por eso la recuperación de AD no puede tratarse como una recuperación cualquiera. Y por eso también es tan importante que el sistema de backup no dependa excesivamente de servicios que podrían estar caídos o comprometidos durante el incidente. Si para recuperar necesitas depender de lo que precisamente tienes que recuperar, ya empezamos mal.
Otro punto que me parece crítico es el famoso 3-2-1. La idea no es nueva. Lleva años con nosotros. Tener varias copias, en varios soportes, y al menos una fuera o desconectada de forma efectiva. Lo curioso es que mucha gente cree que por conocer el concepto ya lo tiene resuelto. Y no. Conocer el 3-2-1 no es aplicarlo.
En muchos entornos se ha sustituido la vieja cinta por clusters, replicaciones y almacenamiento cloud. Muy bien. Tiene sentido. Pero el problema es que el atacante también ha evolucionado. Ya no basta con decir “lo tengo en la nube”. Porque la nube también puede ser objetivo. Y si tu archivo cloud depende de credenciales comprometibles, de accesos mal protegidos o de un diseño demasiado expuesto, entonces esa supuesta última línea de defensa puede acabar cayendo igual.
Luego está otro tema que me parece casi más grave que la mala arquitectura: la fantasía de los tiempos de recuperación.
Aquí las empresas se cuentan muchas mentiras a sí mismas.
“Lo recuperamos en dos horas”.
“Tenemos un RTO muy agresivo”.
“Estamos cubiertos”.
¿Basado en qué? ¿En pruebas reales? ¿O en un PowerPoint bonito? Porque si tienes decenas o cientos de terabytes, múltiples servicios, dependencias entre aplicaciones, identidad, bases de datos, ficheros, shares, correo, cloud y on-prem mezclados, no puedes inventarte un número alegre y quedarte tan tranquilo.
Un RTO no es un deseo. Un RTO es algo que tienes que validar. Y para validarlo hay que hacer algo que a muchas empresas les da una pereza terrible: probar las recuperaciones. Sí, probarlas de verdad. No decir que “se podrían hacer”. No asumir que “el producto lo permite”. No confiar en que “el proveedor nos dijo”. Hay que ejecutar la recuperación. Porque una cosa es restaurar datos. Y otra es restaurar servicio. Y otra, todavía más difícil, es restaurar operación.
Si nunca has probado una recuperación seria, el día del desastre no estás recuperando. Estás improvisando.
Y ese es probablemente uno de los errores más repetidos en todo este mundo. Tener backup no equivale a tener capacidad de recuperación.
Igual que tener un extintor no significa saber apagar un incendio en medio del caos.
Si queréis que en próximos artículos hablemos más de recuperación de Active Directory, ransomware, hardening o medidas reales para que una empresa no muera tras un ataque, ya sabéis que en SeguridadSi intento bajar estos temas a tierra, sin fuegos artificiales y pensando en entornos que existen de verdad.
Gracias por leerme !!!
