En la actualidad, el ransomware es una de las amenazas más destructivas para las organizaciones. Se trata de un malware que cifra los datos críticos de una empresa y exige un rescate para recuperarlos, paralizando operaciones y causando pérdidas financieras y perjudicando la reputación corporativa.
Históricamente, las estrategias de ciberseguridad para combatir esta amenaza se basaban en enfoques reactivos, como las detecciones por firmas o el uso de honeypots. Sin embargo, la sofisticación de los ataques modernos expone las limitaciones de estos métodos tradicionales. Ante este panorama, se necesita una solución que ofrezca una protección más ágil y efectiva.
En este artículo, explicamos la importancia de implementar una estrategia que incluya detección de cifrado en tiempo real y detallamos cómo funciona Zerto, una herramienta que fortalece la protección contra el ransomware.
Las limitaciones del enfoque basado en firmas y de los honeypots
La detección de ransomware se ha apoyado tradicionalmente en dos enfoques principales.
El primero de ellos, el basado en firmas, es un método directo que utiliza definiciones de malware para identificar variantes ya conocidas. Su ventaja es que ofrece una alta fiabilidad y genera un número reducido de falsos positivos cuando detecta una variante específica.
Sin embargo, se trata de un encuadre reactivo que requiere la actualización constante de una inmensa biblioteca de definiciones. Dado que el malware evoluciona constantemente, la estrategia basada en firmas siempre está rezagada con respecto a las amenazas. Esta limitación es crítica ante el ransomware polimórfico que cambia su presentación, convirtiéndose en un blanco móvil para los mecanismos de detección más rígidos.
Por otro lado, el segundo enfoque más habitual es aquel que utiliza señuelos o honeypots (trampas) para detectar atacantes de forma inesperada.
Al colocar estos señuelos en los entornos IT, cuando el malware comienza a intentar cifrar los datos, se activa una alarma que evita que infecte un servidor real y permite tomar medidas para mitigar el riesgo.
Lamentablemente, las variantes más sofisticadas de ransomware pueden esquivar el marco de acción limitado de estos honeypots.
Además, este método requiere seguir el rastro de las estrategias de ataque. Si las trampas no se colocan de forma adecuada o con suficiente extensión, podrían no ser suficientes para capturar ataques a gran escala.
Las ventajas de la detección de cifrado en tiempo real
Un tercer enfoque, denominado “sin firmas”, se basa en el análisis de patrones y anomalías. Este método indirecto utiliza una variedad de señales conocidas como indicadores de compromiso (IOC) para alertar sobre la presencia de malware y otros tipos de ataques.
Si bien la detección basada en anomalías es popular, muchas de las soluciones existentes están desvinculadas del proceso de recuperación, una etapa crucial para mitigar y responder a un ataque.
En la actualidad, los proveedores de protección de datos incorporan la detección, combinando metodologías de seguridad y protección tradicionales, para obtener lo mejor de ambos mundos.
El método de detección de cifrado en tiempo real utiliza una base de protección de datos continua (CDP). Esta replicación a nivel de hipervisor y basada en bloques (no en archivos) ofrece cinco ventajas principales para la detección de ransomware.
Acción en tiempo real
El motor de replicación, siempre en funcionamiento y casi síncrono, ofrece la capacidad de analizar datos con alta granularidad.
Las organizaciones no necesitan esperar a que finalice la ventana de una copia de seguridad para iniciar el escaneado, sino que pueden tomar medidas en pleno ataque, es decir, mientras el cifrado malicioso está desplegándose.
Neutralidad
El sistema es completamente indiferente al tipo de archivo que se cifra. No hace presunciones sobre el formato de los datos ni requiere formatos de archivo específicos.
El analizador inspecciona, valora y se ajusta dinámicamente a medida que llegan las entradas y salidas (E/S), independientemente de la naturaleza, volumen u origen de los datos.
Capacidad de adaptación
El sistema se ajusta constantemente a las condiciones cambiantes del entorno. Utiliza un periodo de entrenamiento acumulativo y continuo que le permite diferenciar los patrones de escritura normales de las anomalías que indican cifrado.
Si se produce un falso positivo, el periodo de entrenamiento se reinicia para garantizar que el sistema esté siempre actualizado.
Acción sin agentes
El método funciona sin necesidad de agentes en las máquinas virtuales protegidas. Esto no solo reduce la sobrecarga de gestión y el consumo de recursos, sino que también ofrece una ventaja crítica durante un ataque, ya que el ransomware no puede deshabilitar ningún componente de seguridad dentro de la máquina virtual.
Ligereza
Como el analizador de cifrado funciona a nivel de bloques y en tiempo real, los requisitos de infraestructura son mínimos. El consumo de recursos es inapreciable, y, al mismo tiempo, los análisis no interfieren con la replicación normal.
En caso de congestión, la prioridad siempre es la replicación, asegurando que no haya caídas significativas en el rendimiento.
Priorización de la API
Por último, los análisis y las métricas utilizadas se exponen a través de una API REST abierta. Esto permite la integración con la pila de seguridad más amplia de la organización.
A diferencia de las alternativas que encapsulan su detección en una caja negra, esta apertura permite a las empresas personalizar la solución, integrarla con otras herramientas y aplicar flujos de trabajo existentes.
¿Cómo funciona Zerto?
HPE Zerto aplica un enfoque sin firmas para la detección de ransomware al evaluar patrones de datos y analizar la entropía con el fin de detectar cifrado inusual que indique el inicio de un ataque.
Su motor de CDP ofrece a los usuarios un RPO de segundos, protegiendo de manera simultánea miles de máquinas virtuales a gran escala.
El proceso de detección se conoce como detección combinada de cifrado en tiempo real (CIR), y funciona a través de tres fases principales: recopilación, inspección y reacción.
1. Primera fase – Recopilación
En esta etapa, los dispositivos de replicación virtual (VRA) copian cada operación de E/S en un búfer de memoria antes de la compresión y la replicación. Una vez que el búfer acumula suficiente información para un análisis significativo, se inicia la fase de inspección.
La recopilación incluye un período de entrenamiento acumulativo e independiente para cada volumen de cada máquina virtual protegida, que se detiene si no hay replicación y se reinicia al restituirse el tráfico.
Es importante destacar que la eficacia de la replicación nunca se ve obstaculizada: si los recursos son insuficientes, Zerto siempre prioriza la replicación y descarta las E/S del búfer de recopilación según sea necesario. Además, solo recopila las E/S de replicación de máquinas virtuales protegidas, no las E/S autogeneradas.
2. Segunda fase – Inspección
La fase de inspección ocurre en el gestor virtual y utiliza dos algoritmos exclusivos, denominados RED-C y RED-E. Ambos se aplican simultáneamente a los datos recopilados en tramos de 21 MB.
RED-C utiliza una prueba de suma acumulativa para la aleatoriedad, mientras que RED-E evalúa la entropía del conjunto de datos. Al combinar ambos, esta solución de HPE incrementa la precisión de la detección y reduce los falsos positivos.
RED-E mide la entropía relativa adaptándose constantemente a los patrones de datos entrantes. Además, utiliza umbrales dinámicos independientes del tipo de dato (texto, imágenes, binarios, etc.), lo que le permite combatir métodos como el cifrado Base64, utilizado por variantes de ransomware para engañar a sistemas de entropía reducida.
3. Tercera fase – Reacción
Esta etapa implica la alerta, el etiquetado y la respuesta del usuario. Para evitar la frustración de los falsos positivos, Zerto puntúa la detección de cifrado basándose en la puntuación del sitio. Esta inteligencia recopila y analiza todos los datos del sitio, generando alertas cuando detecta la posibilidad de un ataque de ransomware en múltiples vectores, lo que incrementa significativamente la precisión y la confianza en la alerta.
De manera simultánea, la solución etiqueta los puntos de control, determinando el momento exacto en que se detectó el cifrado y el punto de control limpio anterior, facilitando una recuperación fiable, y establece el estado de los VPG afectados como un evento de cifrado potencial.
Finalmente, la respuesta del usuario es obligatoria, ya que Zerto no toma medidas automáticas. Esto evita interrupciones innecesarias por falsos positivos. Los pasos de contención y resolución pueden incluirse en un script personalizado según los procesos de seguridad de cada organización.
Una vez que el usuario borra la alerta, se inicia la última parte de la reacción: la recuperación. HPE Zerto ofrece tres opciones principales para restaurar las máquinas virtuales, carpetas o archivos cifrados:
- Restauración a nivel de archivo. Permite explorar y seleccionar archivos o carpetas individuales para restaurarlos directamente en las máquinas virtuales donde residen, sin necesidad de agentes.
- Restauración instantánea de la máquina virtual. Recupera al instante máquinas virtuales individuales directamente en la computación y almacenamiento de producción, sin áreas de preparación ni acciones secundarias prolongadas.
- Conmutación por error total (failover). Permite la recuperación masiva y organizada de un subconjunto de aplicaciones, aplicaciones completas o sitios enteros. Las conmutaciones por error están totalmente automatizadas para garantizar que todas las máquinas virtuales vuelvan a estar en línea con la configuración correcta, incluso hacia la nube pública, con un tiempo de inactividad mínimo.
¿Necesitás blindar tu negocio contra el ransomware utilizando la tecnología líder de Zerto? Contactanos hoy para implementar una estrategia de resiliencia de datos realmente efectiva.
