El ransomware y los accidentes no vencen a las buenas copias de seguridad, sino a las débiles. La rutina que se mantendrá en 2025 es simple y obstinada: mantenga instantáneas rápidas e inmutables que el malware no pueda cifrar ni borrar, y rote una copia fuera de línea y fuera del sitio según un calendario que realmente siga. Complételo con acceso con privilegios mínimos, controles de eliminación y breves simulacros de restauración. Si se hace bien, se obtiene una recuperación en cuestión de minutos para los momentos «ups» y una resiliencia tranquila cuando todo un dispositivo o recurso compartido falla. Piense en ello como dos capas: una máquina del tiempo local rápida que no se puede manipular, más un paracaídas frío que está realmente fuera de alcance. Si una de las capas falla, la otra sigue salvando el día.
Haga que los datos sean imposibles de eliminar: instantáneas y conceptos básicos de WORM
Empiece por donde la velocidad es importante: en la caja o el NAS que contiene los datos en tiempo real. Active las instantáneas de copia en escritura (ZFS, btrfs, APFS, NAS moderno) con programaciones por conjunto de datos: puntos frecuentes a corto plazo (por ejemplo, cada 15-60 minutos durante 48-72 horas) y conservaciones diarias/semanales/mensuales escalonadas. Es fundamental que sean inmutables: habilite la retención WORM/«bloqueada» o «solo adición» para que ninguna cuenta (ni siquiera la de administrador) pueda eliminar una instantánea antes de su vencimiento. Para el almacenamiento de objetos, utilice la inmutabilidad a nivel de cubo (bloqueo de objetos/retención legal) con una ventana de retención adaptada a sus objetivos de riesgo y tiempo de restauración. Trate el control de versiones y la inmutabilidad como herramientas diferentes: el control de versiones ayuda con los errores humanos; WORM resiste la eliminación maliciosa. Coloque las tareas de instantáneas en una cuenta de servicio de copia de seguridad dedicada que pueda leer datos y crear instantáneas, pero que no pueda acortar la retención ni purgar. Con esto en marcha, un cryptolocker puede codificar los archivos de hoy, pero no puede reescribir los de ayer.
Desconéctese realmente: rotación que realmente sale del edificio
Las instantáneas no son un paracaídas si el edificio se incendia. Implemente 3-2-1-1-0: 3 copias, 2 soportes, 1 fuera del sitio, 1 fuera de línea y 0 errores no verificados. Utilice dos o más unidades cifradas etiquetadas como A/B/C; el día de la rotación, conecte la unidad A, ejecute una tarea de copia de seguridad firmada que verifique las sumas de comprobación de extremo a extremo y, a continuación, expúlselo y guárdelo fuera del sitio (caja de seguridad, familiar de confianza o caja a prueba de manipulaciones en el trabajo). Alterne las unidades en cada ciclo. Mantenga las claves separadas de los soportes (en un token de hardware o en una hoja de recuperación impresa en un sobre sellado) para que el robo de un disco no suponga una violación de los datos. Para las copias en frío en la nube, simule el modo sin conexión utilizando una cuenta independiente (MFA diferente, sin claves compartidas) con credenciales de solo escritura; la tarea de copia de seguridad puede escribir nuevos datos, pero no puede enumerar, alterar ni eliminar archivos anteriores. Anote la rotación en su calendario y trátela como si fuera el pago del alquiler: no negociable, rápido y aburrido.
Demuestre que funciona: simulacros de restauración, manuales de procedimientos y alertas tempranas
Las copias de seguridad que no ha restaurado son solo deseos. Cada mes, realice una restauración simulada y en vivo: elija un conjunto de archivos comunes y un escenario de máquina completa, restaure en un entorno de pruebas, abra los resultados y registre los minutos necesarios para la recuperación. Mantenga un libro de instrucciones de una página (dónde se encuentran las instantáneas, cómo desbloquear los medios fríos, quién puede autorizar un cambio de retención) e imprímalo. Conecte las alertas a lo que importa: trabajos de instantáneas fallidos, intentos de acortar la retención, llamadas de eliminación inesperadas o un gran aumento de los datos modificados (a menudo el primer indicio de ransomware). Para los almacenes de objetos, habilite registros a prueba de manipulaciones y guarde una copia en otra cuenta. Realice un seguimiento visible del RPO/RTO: «Podemos perder ≤60 minutos (RPO) y restaurar una estación de trabajo en 30 minutos (RTO)». Si los simulacros no alcanzan estas cifras, ajuste los horarios, el ancho de banda o el espacio de ensayo hasta que las alcance de forma constante. La recuperación es un músculo: la repetición la hace fiable.
Bloquee el radio de acción: claves, roles y controles de eliminación
La mayoría de los desastres se agravan a través de las credenciales. Separe a los operadores de copias de seguridad de los administradores de retención; ningún inicio de sesión único debe escribir copias de seguridad y reducir la inmutabilidad. Exija MFA + aprobación (dos personas) para cualquier cambio de retención o eliminación masiva. Almacene las claves de cifrado en un token de hardware o en una bóveda con códigos de recuperación fuera de línea; practique el desbloqueo de esos códigos anualmente. En los puntos finales, restrinja los agentes de copia de seguridad a lectura + instantánea; nunca deben tener derechos de eliminación en los archivos. En el caso de los NAS/servidores, mantenga las interfaces de usuario de gestión fuera de Internet y exponga solo los puertos mínimos al segmento LAN que ejecuta los trabajos. Por último, documente una ruta de emergencia (quién, dónde, cómo) y pruébela como cualquier otra restauración. Con funciones estrictas, claves protegidas y una retención lenta de cambiar, los ataques se convierten en molestias ruidosas y reversibles, y no en acontecimientos que acaban con la carrera profesional.
Deja una respuesta