No sólo sobrevivir, prosperar: repensar la resiliencia de los datos en la era del ransomware

Hoy en día, el ransomware es una realidad para todas las organizaciones. Lo importante no es cuándo se enfrentan a un ataque, sino cómo se recuperan cuando éste se produce. Sin embargo, a pesar de esta inevitabilidad, muchas organizaciones siguen luchando por la recuperación. Según el informe From Risk to Resilience: Veeam 2025 Ransomware Trends and Proactive Strategies Report, el 57% de las organizaciones que sufrieron un ataque el año pasado recuperaron menos de la mitad de sus datos. 

La magnitud de las amenazas es clara, y las organizaciones están en el camino de la resiliencia mediante el desarrollo de manuales de respuesta, la inversión en herramientas de copia de seguridad y la concienciación de sus equipos. Sin embargo, la confianza previa al ataque no siempre coincide con la realidad, ya que el 69% de las empresas creen estar preparadas para un ataque de ransomware antes de que se produzca, y sólo el 10% ha podido recuperar más del 90% de sus datos.

Esto se debe a la falta de pasos específicos centrados en la recuperación dentro de los manuales de ciberseguridad de la mayoría de las organizaciones, como la verificación de la integridad de las copias de seguridad, la definición de objetivos de tiempo de recuperación o la preparación de entornos seguros.

Estar preparado es más que un plan

Los atacantes de ransomware sustraen cada vez más datos antes de cifrar los sistemas. Esto aumenta la presión para pagar rescates, ya que la fuga de datos puede causar daños tanto en materia de regulación como en reputación. Estos ataques son cada vez más rápidos, y a veces se producen en cuestión de horas, después de que se produzca el ataque inicial.

Mientras que las grandes empresas siguen siendo el objetivo, las pequeñas y medianas, a menudo con menos capas de defensa y estrategias de recuperación que han sido probadas en menor medida, se están convirtiendo en los principales objetivos de los ciberatacantes. De hecho, en el primer trimestre de 2025, el tamaño medio de una organización atacada era de sólo 228 empleados, lo que subraya aún más esta vulnerabilidad. Estas organizaciones deben desafiar el statu quo y replantearse su enfoque de ciberresiliencia.

Contar con un plan de respuesta ante el ransomware sobre el papel no es lo mismo que estar preparado. Muchas organizaciones creen estarlo, pero no han verificado si sus copias de seguridad están aisladas, si sus objetivos de tiempo de recuperación son realistas o si tienen acceso a una infraestructura segura en caso de emergencia.

En realidad, mientras que el 98% de las organizaciones afirma tener un manual de actuación contra el ransomware, sólo el 44% ha verificado sus capacidades técnicas básicas y sólo el 32% tiene un plan de aislamiento. Una verdadera preparación significa poner a prueba periódicamente estos supuestos e identificar las insuficiencias técnicas u operativas que podrían retrasar la recuperación

Tratar la recuperación como una prioridad en lugar de un planteamiento es uno de los pasos más eficaces que puede dar una organización. Sin embargo, la planificación proactiva de la recuperación también requiere la implicación del presupuesto y de los ejecutivos.

Muchas organizaciones no invierten lo suficiente en capacidades de recuperación hasta después de sufrir un ataque. Incluir la recuperación en los ciclos anuales de planificación, junto con las inversiones en detección y respuesta, puede ayudar a transformar un pensamiento reactivo en uno proactivo. Con el tiempo, esto crea la resiliencia necesaria para que las organizaciones se recuperen y reanuden sus operaciones con un tiempo de inactividad limitado, independientemente de que se produzca un ataque o interrupción.

Invertir, comunicar y colaborar

Más allá de tener un plan en sí, una recuperación infalible requiere una inversión continua, una comunicación ágil y una colaboración más estrecha entre los equipos. La recuperación no termina con el restablecimiento de los sistemas online.

Las organizaciones líderes reevalúan y reinvierten en su capacidad de recuperación, incluyendo la formación de los empleados, la aplicación de parches, los controles de acceso y la estructura de sus entornos de recuperación. Muchas están adoptando soluciones más flexibles, como copias de seguridad en la nube y servicios de recuperación gestionados.

Es esencial contar con estructuras claras de liderazgo y toma de decisiones. Durante una crisis, la confusión ralentiza la recuperación. Disponer de una cadena de mando y una cadena de comunicación documentadas ayuda a los equipos a actuar con rapidez, ya se trate de solicitar ayuda externa, notificar a los organismos reguladores o gestionar las comunicaciones con los clientes. Los equipos que se preparan ante estas decisiones, tienen más confianza y son más eficaces cuando más importa.

La colaboración es igual de crítica en la recuperación y la preparación, especialmente entre los equipos de operaciones de TI y de seguridad. Cuando estos equipos trabajan en sincronía, pueden detectar antes las amenazas, responder más rápido y recuperarse con menos interrupciones. Sin embargo, más de la mitad de las organizaciones siguen teniendo problemas de alineación. Invertir en la coordinación entre estos equipos puede acelerar la recuperación y reducir el riesgo de exposición. 

La recuperación es un problema de negocio, no sólo una tarea de TI 

Un error común es suponer que el ransomware por sí solo causa pérdidas de ingresos o pérdida de clientes. Lo que marca la diferencia es cómo responden las organizaciones ante un ataque. El tiempo de inactividad, la pérdida de datos y los esfuerzos inconexos de recuperación son los que detienen los ingresos, alejan a los clientes y dañan la credibilidad de la marca.

Una estrategia de recuperación sólida debe considerarse parte esencial de la planificación de la continuidad de la empresa. Esto incluye mantener copias de seguridad verificadas y offline y preparar la infraestructura necesaria para restaurar rápidamente los sistemas críticos.

Los entornos de recuperación seguros y las copias de seguridad aisladas no son meras salvaguardas técnicas, sino que facilitan la continuidad del negocio durante una crisis. Estos elementos pueden reducir el impacto de un ataque y ayudar a la organización a volver a la normalidad más rápidamente.

Una recuperación más rápida equivale a un negocio más fuerte

Para reducir realmente el impacto del ransomware, la recuperación debe convertirse en una prioridad organizativa, no sólo en una función de TI o de seguridad. Esto significa probar regularmente los planes de recuperación mediante simulaciones; definir las funciones de liderazgo para la toma de decisiones durante un ataque; tratar la concienciación de los trabajadores como una defensa de primera línea, no como una casilla de verificación de cumplimiento; y, por último, auditar y verificar las copias de seguridad como parte de un proceso vivo y repetitivo.

Los ciberdelincuentes se adaptan con rapidez. Las estrategias de recuperación deben evolucionar aún más rápido. En una crisis, la velocidad de recuperación marca la diferencia. Las organizaciones que vuelven a estar operativas más rápidamente no sólo evitan pérdidas mayores, sino que muestran a sus clientes, partners e inversores que son fiables y resilientes.

Firmado por: Rick Vanover, vicepresidente de estrategia de producto de Veeam.