Backups, ransomware y continuidad del negocio

Backups, ransomware y continuidad de negocio

Una pyme en Cartagena me llamó un lunes en la mañana porque "no abren los archivos". Cuando llegué, todo el servidor de archivos tenía extensión .lockbit. El correo del atacante pedía US$ 25.000 en Bitcoin. Tenían un disco externo conectado al servidor donde supuestamente "se hacían los backups". Estaba cifrado también. Ese es el primer error.

Este artículo es sobre cómo no llegar a ese lunes en la mañana — y, si llegas, sobre cómo salir sin pagar el rescate.

Por qué hoy nadie está fuera del radar

Hace 10 años el ransomware iba detrás de grandes corporaciones. Hoy va detrás de todos, porque los atacantes operan a escala: botnets que escanean rangos enteros de IPs buscando puertos abiertos (3389 RDP, 22 SSH, 445 SMB), paquetes "ransomware-as-a-service" que cualquier delincuente puede contratar, y phishing dirigido a empleados de pymes que rara vez tienen entrenamiento.

La pyme colombiana promedio tiene: una contraseña de administrador débil en el servidor, RDP expuesto a internet sin VPN, Windows Server desactualizado dos años, antivirus gratuito, y "backups" que son una carpeta sincronizada al mismo servidor. Es exactamente el perfil que estos ataques cazan en masa.

Las 5 capas que sí o sí debes tener

1. Actualizaciones (parches) al día

Las vulnerabilidades críticas que se explotan en ataques masivos suelen tener parche publicado meses antes del ataque. EternalBlue (WannaCry) tenía parche disponible 2 meses antes; Log4Shell, ProxyLogon, PrintNightmare, MOVEit — todos lo mismo. La empresa que aplica parches el primer martes de cada mes está fuera del 80% del riesgo de ataques masivos automatizados.

Lo mínimo:

Windows Update en estaciones y servidores, programado, no opcional.
Firmware del router / firewall revisado trimestralmente.
Aplicaciones críticas con plan de actualización (no esperar a que rompa).
Suscripción a alertas CISA o NIST para enterarse de CVE críticas cuando salen.

2. Backups con la regla 3-2-1

El estándar del sector dice tres números: 3 copias de los datos, en 2 medios distintos, con 1 copia offsite (fuera del edificio). Una variante moderna agrega 1 copia inmutable que el ransomware no pueda cifrar aunque tome control del servidor.

Capa	Qué es	Ejemplo práctico
Copia 1 (producción)	El dato vivo en su servidor	Server de archivos, BD
Copia 2 (local)	Backup en otro dispositivo del mismo edificio	NAS dedicado, no compartido por SMB
Copia 3 (offsite)	Copia en otro lugar físico	Backblaze B2, AWS S3, otra oficina, disco externo guardado en bodega
Copia inmutable	Que no se pueda modificar/borrar por X días	S3 Object Lock, Wasabi Immutable, Veeam Hardened Repo

Atención

El disco externo conectado al servidor todo el tiempo NO es un backup — es un disco más que el ransomware cifrará junto con el original. Una carpeta sincronizada a OneDrive/Google Drive en tiempo real tampoco — la versión cifrada se sincroniza inmediatamente. Lo único que cuenta es una copia que el atacante no pueda alcanzar desde el servidor comprometido.

3. Backups probados, no solo configurados

Un backup que nunca restauraste no es un backup, es un archivo. La mitad de las pymes a las que el ransomware les pega y "tenían backup" descubren que estaba mal configurado, corrupto, incompleto o que la restauración tarda 9 días — tiempo que no tienen.

Mínimo trimestralmente: restaurar un servidor o BD completa a un equipo de prueba, validar que abre, validar que los datos están bien, cronometrar cuánto tomó. Documentar el resultado. Si no se cumple el RTO objetivo, hay que mejorar la infraestructura de backup, no esperar a que pase el incidente real.

4. RTO y RPO: los dos números que tu negocio debe definir

RTO (Recovery Time Objective): cuánto tiempo puedes estar caído sin que el negocio sufra daño irreversible. ¿Una hora? ¿Un día? ¿Una semana? Depende del negocio.

RPO (Recovery Point Objective): cuántos datos puedes perder. ¿La operación de la última hora? ¿De ayer? ¿De la semana pasada? También depende.

Estos dos números determinan toda la arquitectura. Un RPO de 5 minutos exige replicación continua; un RPO de 24 horas se cubre con backup nocturno. Un RTO de 1 hora exige hardware redundante listo para arrancar; un RTO de 1 semana puede esperar a comprar repuestos.

Tipo de empresa	RTO típico	RPO típico
E-commerce activo	< 1 hora	< 15 min
Empresa servicios profesionales	4–8 horas	4–8 horas
Constructora / industrial	1 día	1 día
Comercio retail pequeño	1–2 días	1 día

5. Plan de continuidad (BCP) y recuperación ante desastres (DRP)

El BCP es: "si esto pasa, mi negocio sigue funcionando así". El DRP es: "si la infraestructura se cae, así la levantamos de vuelta". Ambos son documentos vivos que se prueban anualmente.

Mínimo que debe incluir:

Inventario de sistemas críticos con su RTO/RPO declarado.
Diagrama de red actualizado.
Lista de proveedores con contactos directos (ISP, hosting, software de gestión).
Lista de personas a contactar según escenario (cliente, abogado, técnico, jefe).
Procedimientos paso a paso para restaurar cada sistema crítico.
Plan de comunicación: qué se le dice a los clientes, en qué momento.
Ubicación física de credenciales y backups offsite.

Qué hacer en los primeros 60 minutos de un ataque

Aislar. Desconectar de la red los equipos comprometidos. Sacar el cable Ethernet, apagar WiFi. NO apagar la máquina (puede borrar evidencia en RAM útil para forense).
Identificar el alcance. ¿Solo un equipo o varios? ¿Llegó al servidor? ¿A los backups?
NO pagar el rescate inmediatamente. Pagar no garantiza recuperación (la mitad de los que pagan no recuperan todo); además financia más ataques.
Notificar. Al equipo de TI, gerencia y, en Colombia, a CSIRT-Gob y al CAI Virtual de la Policía. Si hay datos personales comprometidos, la Superintendencia de Industria y Comercio (Ley 1581/2012) exige reportar.
Restaurar desde backup limpio. Reconstruir sistemas en infraestructura nueva o limpia. Nunca restaurar sobre un servidor que pudo quedar con persistencia.
Forense. Identificar vector de entrada (¿phishing? ¿RDP expuesto? ¿credencial filtrada?) para cerrar la puerta antes de volver a operar.

Herramientas que recomiendo para pymes

Veeam Backup & Replication — el estándar para entornos Windows/VMware. Soporta repositorio inmutable, backups de M365 y Endpoints.
Synology Active Backup for Business — si ya tienes Synology, es gratis y muy completo (estaciones, servidores físicos, VMs, M365).
Macrium Reflect / Acronis Cyber Protect — para estaciones individuales y servidores pequeños.
Backblaze B2 / Wasabi — almacenamiento offsite con soporte de inmutabilidad a precio razonable (US$ 5–6/TB/mes).
Bitwarden / 1Password — gestión de credenciales obligatoria. Ya basta de contraseñas en hojas de cálculo o post-its.
Microsoft Defender for Business o Bitdefender GravityZone — antivirus EDR de verdad, no las versiones gratuitas.

El costo real de no hacer esto

Incidente	Costo típico para pyme colombiana
Restauración técnica	$ 5–20 millones COP
Días de inactividad	$ 2–10 millones COP/día
Pérdida de datos no recuperables	Variable (puede ser fatal)
Sanción SIC por dato personal	Hasta 2.000 SMMLV
Daño reputacional	Difícil de cuantificar; algunos clientes no vuelven

Una estrategia 3-2-1 implementada bien para una pyme de 20–50 empleados cuesta entre $ 1–4 millones COP iniciales y $ 200.000–600.000 COP mensuales. La cuenta se hace sola.

Lo que SIEMPRE pregunto a un cliente nuevo

¿Cuándo fue tu último backup?
¿Cuándo restauraste por última vez para comprobar?
¿El backup está conectado al servidor 24/7?
¿Cuánto tiempo soporta tu negocio caído?
¿Cuántos días de datos puedes permitirte perder?
¿Tienes parches al día?
¿RDP está expuesto a internet?
¿Las contraseñas están en un gestor o en una hoja de Excel?

Si la respuesta a 3 o más de esas preguntas te incomoda, ya sabes por dónde empezar.

¿Quieres una evaluación de tu situación?

Hago auditorías de continuidad y recuperación para pymes colombianas — sin compromiso, con informe escrito de qué tienes bien, qué te falta y qué priorizar. Escríbeme y agendamos la revisión.