La mayoría de empresas no sobrevivirían a un ciberataque: Dell revela que sus planes de recuperación de datos son pura ficción
¿Por qué las empresas sucumben a los ciberataques pese a contar con todas las instrucciones?
Empresas de todo el mundo a menudo sobrestiman su capacidad para recuperarse tras ciberataques. A esta conclusión llegaron investigadores de Dell, que propusieron el término «deuda de resiliencia». Es la brecha entre cuánto creen las organizaciones que están preparadas para recuperarse y cómo actúan en la práctica. Según la encuesta, esa brecha es mucho mayor de lo que esperan las propias empresas y aumenta directamente los riesgos durante los incidentes.
La «deuda de resiliencia» aparece cuando casi toda la atención se concentra en prevenir ataques y los procesos de recuperación quedan sin revisiones y actualizaciones regulares. Mientras los sistemas no fallen, el problema pasa desapercibido. Pero en una crisis se descubre que las copias de seguridad están desactualizadas, las instrucciones no funcionan y el equipo no está listo para devolver la infraestructura a la normalidad con rapidez. Como resultado, las demoras, la pérdida de datos y las pérdidas económicas son mucho más graves de lo previsto.
La investigación de Dell muestra cuán extendida está esta ilusión de preparación. Formalmente, el 99% de las organizaciones tiene estrategias de ciberresiliencia; sin embargo, el 63% de los responsables de TI está convencido de que la dirección sobrestima las capacidades reales de recuperación. Y la práctica lo confirma: el 57% de las empresas señaló que durante el último incidente o simulacro se recuperaron con menos eficacia de lo planificado.
Los autores subrayan que la deuda de resiliencia es más peligrosa que la deuda técnica habitual en seguridad. Se acumula silenciosamente y solo se manifiesta cuando ya es tarde para solucionar algo de forma urgente. Sin una revisión constante, la preparación para la recuperación se degrada con el tiempo, aun cuando en el papel todo parezca impecable.
Dell destaca tres causas clave de este problema.
La primera es la escasa frecuencia de las pruebas de los planes de recuperación. Cuanto menos a menudo una empresa verifica los escenarios de respaldo, mayor es la probabilidad de fallo. Las organizaciones que lo hacen al menos una vez al mes alcanzan una recuperación exitosa en el 55% de los casos. Con comprobaciones menos frecuentes, la tasa baja al 35%. Con el tiempo se acumulan copias de seguridad obsoletas y procedimientos anticuados.
La segunda razón es la fe excesiva en la protección frente a ataques. El 78% de las organizaciones cuenta con poder prevenir la mayoría de los incidentes y por ello invierte menos en la preparación para la recuperación. Esto hace que los planes queden sin comprobar y con financiación insuficiente justo en el momento en que los atacantes empiezan a dirigirse específicamente contra la infraestructura de recuperación.
La tercera es la confianza asumida en las copias de seguridad. Las empresas las consideran una garantía de seguridad y las protegen menos que los sistemas operativos. Mientras tanto, los atacantes se enfocan cada vez más en las copias de seguridad: dañan instantáneas, manipulan catálogos y explotan errores de configuración. Al final, aquello que debería salvar al negocio se convierte en otro punto vulnerable.
Los investigadores señalan que la ciberresiliencia ya se está transformando en un factor de competitividad. Las empresas que verifican y practican regularmente la recuperación vuelven a funcionar más rápido tras ataques e implantan cambios con más confianza, porque confían en su infraestructura no solo de palabra sino en la práctica.
Para reducir la «deuda de resiliencia», Dell recomienda cinco pasos: realizar pruebas de recuperación completas con mayor frecuencia, usar depósitos cibernéticos aislados para los datos críticos, implementar comprobaciones automáticas y tecnologías de recuperación limpia basadas en inteligencia artificial (IA) y aprendizaje automático (ML), elevar las cuestiones de resiliencia al nivel del consejo de administración y equilibrar las inversiones entre la prevención de ataques y la recuperación posterior.
Sin estas medidas, advierten los autores, el siguiente gran ataque podría demostrar que la preparación real fue solo una bonita ilusión.