El enfoque triple de Jera-IT para la respuesta ante incidentes y la recuperación ante desastres

El ataque del ransomware Akira

Una mañana, el servicio de asistencia técnica de Jera-IT empezó a recibir numerosas solicitudes de ayuda de un cliente, ya que varios de sus servidores habían dejado de funcionar. Tras realizar un diagnóstico, el equipo de Jera-IT descubrió que el cliente aún disponía de muchos servidores en funcionamiento y que estos podían seguir prestando servicio. Dado que el equipo ya estaba negociando cambios y actualizaciones de servidores con ese cliente, la hipótesis inicial fue que se trataba de un fallo físico del servidor.

Sin embargo, mientras investigaban a fondo el problema para volver a poner en funcionamiento todos los servidores, el equipo de Jera-IT descubrió rápidamente daños en el cifrado de datos y un archivo de texto titulado «Akira», lo que apuntaba a que se trataba de un ciberincidente. «Fue en ese momento cuando me llamaron para reunirme con mis ingenieros y prestarles apoyo. Llevo suficiente tiempo en esto como para saber a qué nos enfrentábamos y qué teníamos que hacer», recuerda Clark.

Tras una investigación más exhaustiva, el equipo de Jera-IT descubrió que casi el 90% de los servicios del cliente habían sido cifrados hasta el nivel del sistema operativo y de las máquinas virtuales (VM). Sin embargo, los piratas informáticos no pudieron comprometer toda la red, ya que Jera-IT había instalado algunos de los servidores y controladores de dominio del cliente en otras ubicaciones.

«Dimos por hecho que todo lo que había en la red estaba infectado y pusimos en marcha un plan completo de recuperación ante desastres (DR). Desconectamos todo de Internet y tuvimos que buscar otras formas incluso de comunicarnos entre nosotros», afirma Clark.

El enfoque triple

«Al abordar esta situación, teníamos tres frentes, cada uno de los cuales abordaba el problema desde su propio punto de vista», comenta Clark. «En primer lugar, nuestro cliente tenía que mantener sus operaciones comerciales a toda costa. En segundo lugar, una empresa de respuesta a incidentes (IR) intentaba acordonar todo con una gran cinta adhesiva que decía: “No tocar”. Luego estábamos nosotros —y probablemente este fue el reto más difícil de todos— intentando ayudar al cliente a recuperarse y volver a poner en marcha sus operaciones, todo ello mientras equilibrábamos estos tres frentes e intentábamos encontrar una solución que satisfaciera a todos», añade.

Lo primero que hizo Jera-IT al enfrentarse a esta situación fue recurrir a Datto. «Llevamos años trabajando con este cliente, con Datto Backup ya implementado, y estábamos seguros de que el backup de Datto eran fiable. Eso fue, sin duda, lo que nos salvó», afirma Clark.

Resultado: Todo vuelve a funcionar

Gracias a la sólida solución de recuperación ante desastres de Datto, Jera-IT pudo recuperar algunas de las aplicaciones críticas para el negocio del cliente alojadas en la nube, lo que permitió a este último continuar con sus operaciones comerciales en medio del caos. Posteriormente, el equipo de Jera-IT logró contener el problema y comenzó a volver a poner en línea los servidores de forma controlada. Implementaron herramientas sofisticadas para comprender cómo se había infiltrado el autor de la amenaza en la red y qué daños había causado.

Todos los servidores se limpiaron y se protegieron con contraseñas, firewalls y otros servicios esenciales antes de volver a ponerlos en funcionamiento. Se les incorporó un servicio de detección y respuesta en endpoints (EDR) que no se había implementado anteriormente. En el plazo de un mes, todos los servicios del cliente volvieron a estar operativos.

«Para ser justos, el cliente no perdió ni un solo día de producción, y una de las principales razones de ello es el backup de Datto. Si no hubiera sido por eso, nunca hubiéramos podido recuperar los servidores en la nube, ni restablecer los servicios del cliente como lo hicimos», afirma Clark.

Conclusiones clave para los MSP y las empresas

Según Clark, esta historia da que pensar tanto al MSP como a la comunidad empresarial.

«Cada vez que hablo con responsables de la toma de decisiones del sector de las pymes, suelen decir que no disponen de presupuesto suficiente para reforzar su ciberseguridad, pero es sorprendente cómo ese presupuesto aparece de la nada para solucionar un incidente cibernético cuando les afecta», comenta Clark. «Al inicio de este incidente, el cliente no contaba con una solución EDR, y si le hubiera hablado de una solución EDR, te garantizo que no habría obtenido la respuesta que esperaba. Sin embargo, hoy en día, tienen implementado un servicio EDR completo. Por eso, resulta interesante preguntarse por qué la gente espera a que se produzcan este tipo de incidentes para reforzar su ciberseguridad».

Clark señala además que este tipo de incidentes de ciberseguridad también suponen una gran preocupación para los MSP. Añade: «Aunque los MSP creen que un plan de continuidad del negocio o un plan de recuperación ante desastres les sacaría del apuro en caso de incidentes de este tipo, no están preparados para el impacto que estos incidentes podrían tener en su negocio. La mayoría de los MSP funcionan al 90 % de su capacidad, y un incidente cibernético de este tipo tendría graves consecuencias para su plantilla».

Clark nos recuerda que la ciberseguridad es un proceso continuo sin punto final. «A los empresarios les costará aceptar esto, pero el debate sobre la ciberseguridad va a ir evolucionando constantemente con el paso del tiempo», concluye.