Juan Manuel Pascual, experto en ciberseguridad: «Si tu negocio sufre un ataque y no tienes un sistema de "backup", seguramente cierres»

RED

Una sanitaria del Hospital Clínic de Barcelona trabaja tomando notas a mano tras el ciberataque
Una sanitaria del Hospital Clínic de Barcelona trabaja tomando notas a mano tras el ciberataque Francisco Avia | EFE

El CEO de Innovery España y Latinoamérica habla sobre la importancia de este conjunto de tecnologías, que permiten guardar información y recuperarla si fuese necesario

31 mar 2023 . Actualizado a las 09:15 h.

El próximo 31 de marzo se celebra el Día Mundial del Backup y, para celebrarlo, el experto en ciberseguridad y CEO de Innovery España y Latinoamérica, Juan Manuel Pascual, habla sobre la importante de este conjunto de tecnologías, que permiten guardar la información de las empresas y recuperarla si fuese necesario. «Es la última línea de protección y es algo que no puede fallar», advierte. «Si tu negocio sufre un ataque de ransomware y no tienes un sistema de backup, seguramente cierres».

—¿Qué es un sistema de backup?

—Un sistema de backup es una parte crítica dentro de lo que es un proceso de continuidad de negocios o de recuperación de desastres. En un conjunto de tecnologías que nos permiten guardar información por si tenemos que recuperarla, por si algo va mal. El concepto de que algo vaya mal puede ser muy específico, como borrar un correo o un fichero sin querer, puede ser más importante, como que se estropee un servidor, o puede ser algo mucho más importante, como que se queme un centro de datos o nos entre un ransomware. Cuando pasa algo que requiere recuperar una información que ha sido borrada o que ya no está accesible, es para lo cuál necesitamos ir a coger esa información a los sistemas de backup.

—¿Sería como una copia de seguridad?

—Es un conjunto de tecnologías que va mucho más allá de una copia de seguridad. Podrías pensar en algo pequeño, como copiar una canción, hasta sistemas muy grandes, con grandes volúmenes tanto de datos como físicos, en las cuales está guardada la información de, por ejemplo, un hospital, desde la última hora. Si tuviese un problema ahora podría recuperar la información de máximo una hora antes.

—¿Estos sistemas están limitados a un período de tiempo?

—Sí, porque están limitados a una capacidad y a una velocidad. Si tienes un sistema muy grande, como una gran empresa, un banco o un hospital, tienes que tener en cuenta estas dos cosas. Tienes que guardar esa información en un sitio, que sería el volumen, qué tamaño tiene. Pero no hay que olvidar en cuanto tiempo guardo esa información y en cuanto tiempo soy capaz de extraerla.

Imagina que ahora se manifiesta un ciberataque y se paran todos los sistemas de La Voz de Galicia, ¿qué te interesaría? Si son las 10.15 horas, vas a querer la información que tenías a las 10.14 horas y recuperarla a las 10.16 horas, cuanto antes. Para eso tenemos que ser capaces de guardar mucha información muy rápido. De poco sirve guardar grandes volúmenes de información si tardamos cuatro días en hacerlo porque la copia de seguridad sería de hace cuatro días, perderías todo ese trabajo.

Esa es la diferencia entre capacidad y velocidad. Incluso de un tiempo a esta parte las capacidades siguen estando, pero las velocidades se ven cada vez más afectadas. Los ataques de ransomware bloquean a muchos sistemas, requieren de una recuperación masiva. Lo que se pone de manifiesto es que la velocidad de recuperación no es la correcta. Normalmente los clientes no están preparados para recuperaciones masivas rápidas.

—¿Qué deberían mejorar las empresas?

—Hay que tener en cuenta tanto que las cosas quepan como que seamos capaces de poner la información en salvaguarda y recuperarla en el tiempo que la organización necesita. Hay unos parámetros técnicos, que se llaman RTO (Recovery Time Objective) y RPO (Recovery Point Objective), que marcan cuál es el objetivo de recuperación en tiempo y cuáles son los datos que vas a recuperar.

—¿Deberían centrarse en mejorar la velocidad de recuperación?

—Lo que hay que hacer es tener tecnologías que permita la recuperación en el tiempo que la organización necesita. Hay tecnología para guardar información muy rápido, para guardar mucha información y para recuperarla muy rápido. Lo que pasa es que a algunos clientes no les parece prioritario. Generalmente, la recuperación masiva ha sido un cisne negro, una situación muy poco probable porque hace unos años se asociaba a un desastre natural, como que se quemase el centro de datos o se cayese el edificio. De un tiempo a esta parte, con el ransomware, lo que se ha ido viendo es que ese hipotético cisne negro sucede cada día más. Cuando un ransomware se manifiesta, requiere una recuperación masiva. El problema es que los planes de recuperación no se diseñaron para hacer recuperaciones masivas, sino para recuperar un servidor, unos ficheros, unos correos… Tecnología existe, el tema es que algunos clientes aún no han abordado esto porque no lo consideran un suceso probable, pero cada día ocurre más.

—¿Por qué las empresas no se esfuerzan en conseguir sistemas de backup potentes?

—Son clientes que deben tener limitaciones presupuestarias y gastar dinero en algo que van a utilizar pocas veces suele ser complicado. El tema es que las pocas veces que lo necesites, no puede fallar. Ese es el dilema. ¿Me gasto el dinero en algo que utilizo todos los días o en algo que no puede fallar y quizás algún día ocurre? Estamos viendo que ese cisne negro, ese suceso de probabilidad cero, es cada vez más probable. Si ocurre y no estás preparado, el impacto en el negocio va a ser tremendo.

—¿Qué pasa si una empresa sufre un ataque de ransomware y no tiene sistema de backup?

—Aunque depende qué negocio tengas, seguramente cierres. Como empresas no somos nada sin datos. Necesitamos datos de clientes, información técnica… Lo importante no es el Windows o el Mac de turno, sino los datos que contienen. Un ataque de ransomware bloquea el acceso a esos datos. Por poner un símil, si te quedas sin datos, te quedas sin gasolina, aunque tengas un coche fantástico. ¿Cómo recuperas la gasolina? No puedes, no hay gasolineras, estás en medio del desierto. Tus datos no los tiene nadie.

—¿Afectaría a cualquier empresa o solo a las relacionadas con la informática?

—Una empresa sin backup no puede continuar. Se habla de que los datos son el petróleo del siglo XXI. Si te quedas sin ellos, no puedes tomar decisiones ni ofrecer servicios. Imagina que Abanca se queda sin datos, en tu aplicación móvil no habría dinero, en el banco no te podrían atender… Por ejemplo, cuando Adeslas sufrió un ataque hace unos años, los clientes iban a las oficinas y se hacía todo en papel porque no había datos. Pensaban que recuperarían y tardaron un mes y medio en recuperar.

—Pero tenían un sistema de backup...

—Un sistema de backup que no se adaptaba a las necesidades actuales. No creo que tardar un mes y medio en recuperar el servicio fuera el objetivo. Igual que el Hospital Clínic de Barcelona —que sufrió un ataque hace menos de un mes—. Tardar semanas en poder ofrecer los servicios del mismo modo no le cabe en la cabeza a nadie. El objetivo de continuidad seguro que no son semanas ni meses. Algo no ha estado bien dimensionado.

—¿Qué deberían plantearse esas empresas que han tardado tanto en recuperarse de un ataque?

—Las empresas siguen teniendo la misma necesidad, que es asumir una pérdida de datos durante un período de tiempo y que el negocio siga funcionando. Lo que ocurre es que ese tiempo de recuperación debe servir no solo para recuperar un servidor, sino para recuperarlo todo. Por poner un símil, si yo necesito ir a Nueva York, no voy a ir en un barco para llegar en dos semanas, sino en tres en horas en un avión supersónico. El medio ha cambiado, pero el servicio aún está dimensionado a la antigua. Tenemos barcos en lugar de aviones.

La digitalización es cada vez mayor, el mundo se mueve muy rápido y no hay negocio que pueda estar parado más que horas. Es algo que debe decidir el comité de dirección de las empresas, pero generalmente una caída de días es un impacto que no pueden permitirse porque daña mucho su imagen.

—A nivel usuario, ¿se deberían tener sistemas de backup?

—Yo creo que sí. Generalmente los servicios de nube que nos ofrecen, si leemos la letra pequeña, nos dicen que los responsables de los datos somos nosotros. Ellos son responsables de que el servicio funcione, pero no de nuestros datos. Si aprecias tus datos, yo te diría que hagas un backup sin lugar a dudas.

—¿Los servicios de nube no serían un backup?

—Para mí no. Desde el momento en que no te están asegurando que tus datos van a estar ahí. Te están asegurando que su servicio va a funcionar el 99 % del tiempo, pero no que tus datos van a estar ahí. Si en un momento dado te entra un virus en el móvil, sube al Cloud y borra todas las fotos, los servicios de nube no van a recuperar las fotos de media hora antes.

—¿Cómo puede un usuario conseguir un sistema de backup?

—Hay que buscar soluciones. Hay servicios en Internet que te permiten tener backup fuera de los grandes proveedores de Cloud.

—¿Son de pago o gratuitos?

—Hay una frase muy conocida de los servicios gratuitos que me parece muy clarificadora: «cuando un producto es gratis, el producto eres tú». Te dan almacenamiento gratis y tu les das tus datos gratis. Es un trueque que se está produciendo. Si queremos un servicio bueno, seguramente haya que pagar. Si no es económicamente, con euros, lo pagamos con datos, que es como pagamos muchos servicios.

—¿Podrían los ciberdelincuentes atacar el sistema backup?

—Por supuesto, siempre están buscando cómo vencer estos nuevos sistemas. Con lo cuál, después de instalarlos tienes que fortificarlos, configurarlos de manera segura, para dificultar estos ataques. Cuando un ciberdelincuente entra dentro en la organización, uno de sus principales objetivos va a ser la plataforma de backup.

Todo el mundo se tiene que replantear cuán de importantes son sus datos y cuando se produzca un bloqueo masivo de esa información en cuanto tiempo requiere tenerla disponible. El sistema backup es la última línea de protección y es algo que no puede fallar. Seguro que fallaremos algo en protección, en detección, en respuesta… Pero si fallamos en recuperación, nos cargamos la organización.