La mayoría de las organizaciones no descubren que su estrategia de copia de seguridad no funciona hasta que es demasiado tarde.

A primera vista, todo parece estar cubierto: las copias de seguridad funcionan, las políticas de retención están implantadas, los planes de recuperación han sido probados y alguien realizó una evaluación hace seis meses que dijo que todo parecía "adecuado". Puede que incluso "maduro".

Pero cuando el ransomware ataca, esas casillas de verificación no significan gran cosa.

Porque la verdad es que la mayoría de las evaluaciones no se basan en lo que ocurre en un ataque real de ransomware. Se basan en "buenas prácticas" y suposiciones, no en el comportamiento real de los actores de la amenaza. Y dejan a los equipos de TI y seguridad con algo peligroso: una falsa sensación de preparación que no se sostendrá bajo presión.

Hemos estado en el interior de cientos de brechas del mundo real. Sabemos dónde (y por qué) se quedan cortas las evaluaciones tradicionales y cómo crear un enfoque que realmente funcione.

En qué se equivocan las evaluaciones tradicionales

La mayoría de las evaluaciones están pensadas para el cumplimiento, no para la crisis.

Siguen una fórmula predecible:

• ¿Están programadas las copias de seguridad?
• ¿Se guardan fuera de las instalaciones o en un almacenamiento inmutable?
• ¿Existe un plan de recuperación documentado?
• ¿Se ha sometido a pruebas en los últimos 12 meses?

Responda "sí" a estas preguntas y aprobará la mayoría de las evaluaciones. Sin embargo, hay un problema. A los atacantes no les importa lo que figura en su lista de verificación de cumplimiento. Lo que les importa es lo que pueden cifrar, filtrar o destruir antes de que usted se dé cuenta.

Esto es lo que las evaluaciones típicas suelen ignorar:

Comportamiento del actor de la amenaza

Las evaluaciones tradicionales no comprueban la enumeración o destrucción de copias de seguridad. Estas son las tácticas que los atacantes utilizan en primer lugar una vez que obtienen acceso. Desde las instantáneas del hipervisor hasta el software de recuperación y los servicios conectados al dominio, hemos visto repetidamente que, en el mundo real, la infraestructura de copia de seguridad suele ser su primer movimiento. Si sus copias de seguridad no están segmentadas de su dominio (la mayoría no lo están), ya están comprometidas.

Movimiento lateral

Los informes de evaluación tradicionales tienden a tratar los sistemas de forma aislada. Archivos compartidos por aquí, AD por allá, copias de seguridad en otra burbuja. En una brecha del mundo real, los actores de la amenaza se mueven lateralmente y de forma agresiva. El ataque a una estación de trabajo de administración conectada a un dominio podría acabar afectando a la infraestructura de copia de seguridad si la segmentación y el control de acceso no son herméticos. Las evaluaciones tradicionales rara vez simulan lo que ocurre si el atacante pasa de Recursos Humanos a Operaciones de TI e Infraestructura. No se comprueba la contención (o la falta de ella).

Pruebas de resistencia

Una cosa es restaurar una máquina virtual de prueba en un entorno controlado. Otra cosa es poner en marcha sistemas críticos con copias de seguridad corruptas, credenciales comprometidas y ejecutivos exigiendo respuestas cada cinco minutos. Las evaluaciones tradicionales preguntan: "¿Existe un plan?", cuando deberían preguntar: "¿Puede su equipo ejecutar este plan mientras la mitad de su personal está bloqueado y los atacantes siguen activos?".

Supuestos

La gente suele confiar mucho en los índices de éxito de las copias de seguridad. No debería ser así. Un informe puede decir que el 90% de las copias de seguridad se realizan correctamente. Pero, ¿quién comprueba la integridad y la recuperabilidad? Las ACL dañadas, los agentes desalineados y los fallos en las aplicaciones pueden hacer que esas copias de seguridad "correctas" sean inútiles.

En resumen: la mayoría de las evaluaciones están diseñadas para confirmar lo que ya crees saber. Ofrecen comodidad, no claridad. No cuestionan los supuestos. No modelan los actores de la amenaza. Y no reflejan la complejidad de un ataque de ransomware en el mundo real.

Qué ocurre durante una violación

Existe el mito persistente de que los ataques de ransomware son aislados, obvios y fáciles de remediar con una restauración limpia.

Hemos realizado más de 300 recuperaciones de ransomware, y podemos decirte... que eso no es cierto.

Según nuestra experiencia, sus copias de seguridad son un objetivo prioritario. Las amenazas no sólo están interesadas en cifrar los datos. Quieren paralizar la recuperación. Saben que la forma más rápida de cobrar es no dejarle otra alternativa. Por eso, la infraestructura de copias de seguridad es uno de los primeros lugares a los que acuden.

Incluso en condiciones ideales, restaurar un entorno de producción no es cuestión de pulsar un botón. Es un proceso que implica la segmentación de la red, el restablecimiento de credenciales, la contención del malware, la reconstrucción de la infraestructura y la validación de todos los sistemas que vuelven a estar en línea. Ahora añada el ransomware a la mezcla, y tendrá que enfrentarse a copias de seguridad parciales o fallidas, decisiones RPO/RTO poco claras, libros de ejecución perdidos, credenciales quemadas y presiones de toda la organización, desde la junta directiva hasta el departamento jurídico, de relaciones públicas, los ejecutivos y los reguladores.

Su "plan maduro" podría venirse abajo en la segunda hora.

Necesita otro tipo de evaluación

Aunque a veces son valiosas, las evaluaciones típicas rara vez tienen una visión global de las interrelaciones críticas entre políticas, productos, personas y procesos. No pueden ayudar a las organizaciones a prepararse para casos de ransomware porque se basan en suposiciones sobre la capacidad de supervivencia de los datos, la inmutabilidad y el tiempo medio de recuperación (MTTR, Mean Time to Recover), en lugar de una evaluación realista de cómo la infraestructura y las copias de seguridad de una empresa sobrevivirán a un ataque de un actor de amenaza moderno.

Por eso hemos diseñado nuestra Evaluación de la capacidad de recuperación y copia de seguridad frente al ransomware (RBRA) para que sea fundamentalmente diferente.

Creada y suministrada por el batallón Athena7 de Fenix24, la RBRA da la vuelta al modelo de evaluación tradicional. Basándonos en nuestra experiencia real como expertos en recuperación de ransomware líderes en el mundo, analizamos las configuraciones y la resistencia de sus copias de seguridad mediante "shoulder-surfing" y medios automatizados para poder decirle cómo se comportarán las copias de seguridad y la infraestructura de su empresa frente a las amenazas actuales. Basamos nuestras evaluaciones en el comportamiento de los atacantes de ransomware. Se trata de una evaluación práctica basada en miles de horas en entornos reales posteriores a una violación.

La atención se centra en su capacidad de supervivencia y recuperación.

En última instancia, la clave de la capacidad de recuperación de una organización es comprender tanto lo que sobrevivirá a un ataque como el tiempo que tardará en recuperarse. Para comprender esto, evaluamos:

• ¿Cuántos de sus datos sobrevivirán? Rara vez el 100%, aunque se pague el rescate.
• ¿Sobrevivirán o podrán utilizarse sus copias de seguridad? Según nuestra información, el 80% de las copias de seguridad supuestamente inmutables no sobreviven.
• ¿Sobrevivirá su infraestructura, incluido AD? Esto es necesario para rehidratar los datos recuperados y validar la identidad.
• ¿Tienes suficiente almacenamiento, ancho de banda y conectividad? Esto es necesario para restaurar rápidamente.

La RBRA saca a la luz las brechas que le paralizarían durante un ataque real, cuando aún está a tiempo de cerrarlas. Profundizamos en cada una de las cuestiones anteriores para ofrecerle una evaluación realista de los datos y aplicaciones que sobrevivirán y podrán utilizarse, así como un calendario de recuperación en varios pasos.

Valide su resistencia antes de que los atacantes lo hagan por usted

Ningún actor de amenazas ha sido detenido jamás por una lista de control de cumplimiento.

No les importa la frecuencia de las copias de seguridad ni lo bien organizada que esté la documentación de recuperación. Tampoco les importa la confianza que tengas en tu capacidad de restauración y recuperación.

Lo que les importa es el acceso, los privilegios y la velocidad. Si sus sistemas les permiten destruir copias de seguridad, cifrar datos y paralizar sus operaciones, lo harán. Y probablemente lo harán más rápido de lo que su equipo está preparado. El Informe sobre Amenazas Globales 2025 de CrowdStrike descubrió que los tiempos de penetración (el tiempo que tarda un atacante en empezar a moverse lateralmente por la red) se han reducido a una media de 48 minutos. El tiempo de penetración más rápido fue de sólo 51 segundos.

Por eso hemos creado la RBRA: para poner a prueba su postura de copia de seguridad y recuperación frente a las tácticas exactas que utilizan los atacantes de ransomware en el mundo real. Nada de hipótesis. Nada de ejercicios con casillas de verificación. Sólo una visión clara de dónde es vulnerable y qué se necesita para solucionarlo.

Póngase en contacto con Fenix24 hoy mismo para saber cómo Ransomware Backup & Resiliency Assessment puede ayudarle a prepararse para la realidad de un ataque de ransomware.