El único backup inútil es el que nunca hacemos
Los ciberataques que secuestran archivos pueden contrarrestarse con copias de respaldo en disco externos; pero hecha la ley, hecha la trampaOtro mes, otro ransomware. Previsible, hay que decirlo, por mucho que, en ocasión del WannaCry, me hayan calificado de paranoico (por enésima vez) cuando anticipé que lo peor estaba por venir.
En las computadoras infectadas, aparece un cartel que reclama el pago de 300 dólares en bitcoins para permitir al usuario recuperar el acceso a los archivos.
La seguridad de nuestros datos ha sido un juego del gato y el ratón desde siempre, desde que empezamos a disponer de computadoras de propósito general en nuestros hogares y oficinas. Hubo una época en la que había que cuidarse de no meter cualquier diskette en la PC. Después llegó Internet y sus links y adjuntos infectados. Uno debe ser cauteloso con los pendrives y, por si esto no fuera bastante, con las apps non sanctas. Todo cambia, ya se sabe, y más con estas tecnologías.
Ahora bien, ¿qué se ha mantenido inmutable durante estos 30 años de computación personal (y desde mucho antes, en rigor)? Exacto, el backup. Una copia de respaldo de esos archivos que no queremos perder (que, eventualmente, no debemos perder) es algo tan elemental como que un buque tenga botes salvavidas. Cierto, los barcos zarpan y llegan a buen puerto todo el tiempo, pero en un naufragio nadie aceptará como excusa para la falta de botes el hecho de que los hundimientos son excepcionales.
Con el backup ocurre lo mismo. Cada tanto le damos clic a algo que no debíamos, nos olvidamos de actualizar el sistema operativo, el disco duro falla de forma catastrófica o nos arrebatan el celular. En tales casos, el bote salvavidas que nos va a permitir volver a la civilización digital con unas pocas magulladuras es una copia de respaldo de nuestros archivos (típicamente, textos, imágenes, videos, planillas de cálculo, planos, cualquier cosa que no podemos ir a comprar en una tienda o bajar de Internet).
Hay un solo backup que no sirve: el que nos olvidamos de hacer.
Sin embargo, los ciberataques que encriptan parte o todo el contenido del disco duro, llamados ransomware, han dado una vuelta de tuerca a la forma en que producimos y mantenemos nuestras copias de respaldo. La razón es prístina. Para tener un backup regularmente actualizado hay que automatizar el proceso. Un programa gratis como SyncBack Free resuelve fácilmente esto en una computadora con Windows; hay aplicaciones de este tipo para todos los sistemas operativos (que, por su parte, vienen con un accesorio para este fin), y con más o menos opciones. En SyncBack se crea un perfil para el trabajo de backup y se lo puede programar para que se ejecute de forma automática; por ejemplo, todos los días a las 3 de la mañana. De hecho, unas pocas líneas en un archivo de ejecución por lotes podría resolver la cuestión; luego, es sólo cuestión de agregarlo a las Tareas Programadas de Windows (o equivalente en los otros sistemas).
Las aplicaciones para administrar discos en la nube -Dropbox, Google Drive y OneDrive, de Microsoft, entre otros- también actualizarán sus contenidos cuando cambien en nuestra computadora. No hay que hacer nada y si ocurre un accidente allí estarán nuestros archivos. Mejor imposible. Hasta que aparecieron los ransomware. Puesto que al cifrar los ficheros en nuestra máquina éstos aparecen como cambiados, la aplicación pisará los archivos que todavía tenemos a salvo en la nube con los encriptados. Lo mismo hará, ciegamente, el programa de backup que se ejecuta automáticamente (todos los días, a las 3 de la mañana).
Dicho más simple: esos mecanismos bien aceitados que creaban todos los días copias de respaldo para nosotros son los mismos que, cuando ataca un ransomware, propagan el desastre. Tenemos todo respaldado en la nube y tal vez en un servidor interno; con tal meticulosidad que tanto los originales como las copias se encuentran cifrados. Por supuesto, se puede desactivar la sincronización automática de los discos en la nube, pero resulta que ésta es toda la gracia de estos servicios.
Por añadidura, existen ataques, como el sonado WannaCry, que buscan activamente discos de red -donde quizás tenemos uno de nuestros backup- y también los encriptan. Lindísimo.
Cada escenario es diferente. En mi caso, se hacen varias copias cada noche de forma automática en varias ubicaciones (léase computadoras). Es un lujo que los que todavía usamos computadoras personales de escritorio nos podemos dar: siempre encendidas, siempre en red (aunque falle Internet) y con procesos que hacen cosas por nosotros, estemos presentes o no, son un poco más aparatosas, pero extraordinariamente prácticas y versátiles.
Pero en general, hoy, el setup tiende a ser una notebook más un smartphone o una tablet, y el backup se mantiene en la nube y en uno o más discos externos. Esta última es una buena noticia. Excepto porque solemos postergar eso de ir al cajón donde tenemos los discos externos, conectar uno y ejecutar el respaldo. Confiamos, pues, en Dropbox (o cualquiera de los otros), con las consecuencias antedichas, en el caso de que entre un ransomware.
Sin embargo, ese backup en un disco externo, desconectado de la computadora, guardado en aquél cajón, es vital. Si el primero es nuestro bote, el segundo servirá como un último recurso: el salvavidas. Es probable que, haciendo copias semanales o quincenales en un disco externo, no tengamos las últimas versiones de todo. Pero hay un axioma de la informática personal: nadie hace backup a mano todos los días. Nadie. Por un millón de motivos. La mejor receta para perder todo a manos de los piratas es ponerse metas demasiado ambiciosas. Un backup semanal o quincenal es mejor que uno diario, porque a éste no lo vamos a poder sostener en el tiempo. Semanal, quincenal y cuando volvemos de un viaje con 3000 fotos en el teléfono.
Hacer un backup manual suena mucho más complicado de lo que parece. En realidad, si nos tomamos un rato, podemos configurar un perfil en SyncBack Free o el programa que hayamos elegido, y luego es cuestión de enchufar el disco externo, activar el perfil (es un doble clic) y esperar a que termine el proceso. Por lo general lleva unos pocos minutos. En la versión comercial de SyncBack es posible ejecutar el backup con sólo enchufar una unidad externa; no he probado la vasta oferta de software para backup, pero es posible que haya aplicaciones sin cargo que hacen esto mismo.
La seguridad de nuestros datos ha sido un juego del gato y el ratón desde siempre, desde que empezamos a disponer de computadoras de propósito general en nuestros hogares y oficinas. Hubo una época en la que había que cuidarse de no meter cualquier diskette en la PC. Después llegó Internet y sus links y adjuntos infectados. Uno debe ser cauteloso con los pendrives y, por si esto no fuera bastante, con las apps non sanctas. Todo cambia, ya se sabe, y más con estas tecnologías.
Ahora bien, ¿qué se ha mantenido inmutable durante estos 30 años de computación personal (y desde mucho antes, en rigor)? Exacto, el backup. Una copia de respaldo de esos archivos que no queremos perder (que, eventualmente, no debemos perder) es algo tan elemental como que un buque tenga botes salvavidas. Cierto, los barcos zarpan y llegan a buen puerto todo el tiempo, pero en un naufragio nadie aceptará como excusa para la falta de botes el hecho de que los hundimientos son excepcionales.
Con el backup ocurre lo mismo. Cada tanto le damos clic a algo que no debíamos, nos olvidamos de actualizar el sistema operativo, el disco duro falla de forma catastrófica o nos arrebatan el celular. En tales casos, el bote salvavidas que nos va a permitir volver a la civilización digital con unas pocas magulladuras es una copia de respaldo de nuestros archivos (típicamente, textos, imágenes, videos, planillas de cálculo, planos, cualquier cosa que no podemos ir a comprar en una tienda o bajar de Internet).
Hay un solo backup que no sirve: el que nos olvidamos de hacer.
Sin embargo, los ciberataques que encriptan parte o todo el contenido del disco duro, llamados ransomware, han dado una vuelta de tuerca a la forma en que producimos y mantenemos nuestras copias de respaldo. La razón es prístina. Para tener un backup regularmente actualizado hay que automatizar el proceso. Un programa gratis como SyncBack Free resuelve fácilmente esto en una computadora con Windows; hay aplicaciones de este tipo para todos los sistemas operativos (que, por su parte, vienen con un accesorio para este fin), y con más o menos opciones. En SyncBack se crea un perfil para el trabajo de backup y se lo puede programar para que se ejecute de forma automática; por ejemplo, todos los días a las 3 de la mañana. De hecho, unas pocas líneas en un archivo de ejecución por lotes podría resolver la cuestión; luego, es sólo cuestión de agregarlo a las Tareas Programadas de Windows (o equivalente en los otros sistemas).
Las aplicaciones para administrar discos en la nube -Dropbox, Google Drive y OneDrive, de Microsoft, entre otros- también actualizarán sus contenidos cuando cambien en nuestra computadora. No hay que hacer nada y si ocurre un accidente allí estarán nuestros archivos. Mejor imposible. Hasta que aparecieron los ransomware. Puesto que al cifrar los ficheros en nuestra máquina éstos aparecen como cambiados, la aplicación pisará los archivos que todavía tenemos a salvo en la nube con los encriptados. Lo mismo hará, ciegamente, el programa de backup que se ejecuta automáticamente (todos los días, a las 3 de la mañana).
Dicho más simple: esos mecanismos bien aceitados que creaban todos los días copias de respaldo para nosotros son los mismos que, cuando ataca un ransomware, propagan el desastre. Tenemos todo respaldado en la nube y tal vez en un servidor interno; con tal meticulosidad que tanto los originales como las copias se encuentran cifrados. Por supuesto, se puede desactivar la sincronización automática de los discos en la nube, pero resulta que ésta es toda la gracia de estos servicios.
Por añadidura, existen ataques, como el sonado WannaCry, que buscan activamente discos de red -donde quizás tenemos uno de nuestros backup- y también los encriptan. Lindísimo.
Cada escenario es diferente. En mi caso, se hacen varias copias cada noche de forma automática en varias ubicaciones (léase computadoras). Es un lujo que los que todavía usamos computadoras personales de escritorio nos podemos dar: siempre encendidas, siempre en red (aunque falle Internet) y con procesos que hacen cosas por nosotros, estemos presentes o no, son un poco más aparatosas, pero extraordinariamente prácticas y versátiles.
Pero en general, hoy, el setup tiende a ser una notebook más un smartphone o una tablet, y el backup se mantiene en la nube y en uno o más discos externos. Esta última es una buena noticia. Excepto porque solemos postergar eso de ir al cajón donde tenemos los discos externos, conectar uno y ejecutar el respaldo. Confiamos, pues, en Dropbox (o cualquiera de los otros), con las consecuencias antedichas, en el caso de que entre un ransomware.
Sin embargo, ese backup en un disco externo, desconectado de la computadora, guardado en aquél cajón, es vital. Si el primero es nuestro bote, el segundo servirá como un último recurso: el salvavidas. Es probable que, haciendo copias semanales o quincenales en un disco externo, no tengamos las últimas versiones de todo. Pero hay un axioma de la informática personal: nadie hace backup a mano todos los días. Nadie. Por un millón de motivos. La mejor receta para perder todo a manos de los piratas es ponerse metas demasiado ambiciosas. Un backup semanal o quincenal es mejor que uno diario, porque a éste no lo vamos a poder sostener en el tiempo. Semanal, quincenal y cuando volvemos de un viaje con 3000 fotos en el teléfono.
Hacer un backup manual suena mucho más complicado de lo que parece. En realidad, si nos tomamos un rato, podemos configurar un perfil en SyncBack Free o el programa que hayamos elegido, y luego es cuestión de enchufar el disco externo, activar el perfil (es un doble clic) y esperar a que termine el proceso. Por lo general lleva unos pocos minutos. En la versión comercial de SyncBack es posible ejecutar el backup con sólo enchufar una unidad externa; no he probado la vasta oferta de software para backup, pero es posible que haya aplicaciones sin cargo que hacen esto mismo.
Pero tampoco alcanza
La epidemia de ransomware ha dejado una lección: hay que tener una copia de respaldo offline. Los piratas todavía no han podido conectarse con ese disco externo que tenemos guardado en un cajón (aunque podrían mañana ensayar otras maldades).
Por eso, ahora, en lugar de extorsionar a sus víctimas para darles las claves que descifrarán los archivos secuestrados, les roban esos documentos y las amenazan con exhibir esos archivos en línea. Para una compañía, eso es cosa seria. Para un particular, aunque crea lo contrario, también. Este tipo de amenaza se denomina doxware (doxviene de docs, una forma abreviada de decir documentos en inglés). Netflix sufrió un ataque de esta clase en mayo, cuando les sustrajeron capítulos de la nueva temporada de Orange is the new black y pidieron un rescate para no hacerlos públicos. No les pagaron y los capítulos, que debían salir al aire a partir de junio, fueron puestos en línea. En 2014, le robaron información sensible a Sony, y también pidieron rescate. La extorsión es el factor común del ransomware y el doxware, no así las formas de defenderse de estas amenazas.
Una posible solución para enfrentar esta situación es cifrar la carpeta personal o, al menos, Mis Documentos. En tal caso, los piratas podrán llevarse nuestros archivos, pero no podrán publicar nada, porque los encontrarán encriptados. Excepto, claro, que los piratas vuelvan a dar una vuelta de tuerca y el ataque extraiga y robe, ya que está, los certificados digitales que permiten descifrar nuestros archivos. ¿Se puede? Sí, por supuesto que se puede.
De vuelta al tablero de diseño, entonces. ¿Qué pasaría si usamos un programa como VeraCrypt para crear particiones encriptadas?
VeraCrypt reserva una parte del espacio de disco (digamos, 50 GB) y la transforma en una partición cifrada. Desde afuera, mientras esa partición no esté montada, se verá como un archivo enorme, pero por completo indescifrable. Una vez montada, se verá como un disco nuevo en la máquina (por ejemplo, E:) y se podrá operar con él de la manera convencional: guardar, borrar, copiar y mover archivos, crear carpetas y subcarpetas, etcétera.
La epidemia de ransomware ha dejado una lección: hay que tener una copia de respaldo offline. Los piratas todavía no han podido conectarse con ese disco externo que tenemos guardado en un cajón (aunque podrían mañana ensayar otras maldades).
Por eso, ahora, en lugar de extorsionar a sus víctimas para darles las claves que descifrarán los archivos secuestrados, les roban esos documentos y las amenazan con exhibir esos archivos en línea. Para una compañía, eso es cosa seria. Para un particular, aunque crea lo contrario, también. Este tipo de amenaza se denomina doxware (doxviene de docs, una forma abreviada de decir documentos en inglés). Netflix sufrió un ataque de esta clase en mayo, cuando les sustrajeron capítulos de la nueva temporada de Orange is the new black y pidieron un rescate para no hacerlos públicos. No les pagaron y los capítulos, que debían salir al aire a partir de junio, fueron puestos en línea. En 2014, le robaron información sensible a Sony, y también pidieron rescate. La extorsión es el factor común del ransomware y el doxware, no así las formas de defenderse de estas amenazas.
Una posible solución para enfrentar esta situación es cifrar la carpeta personal o, al menos, Mis Documentos. En tal caso, los piratas podrán llevarse nuestros archivos, pero no podrán publicar nada, porque los encontrarán encriptados. Excepto, claro, que los piratas vuelvan a dar una vuelta de tuerca y el ataque extraiga y robe, ya que está, los certificados digitales que permiten descifrar nuestros archivos. ¿Se puede? Sí, por supuesto que se puede.
De vuelta al tablero de diseño, entonces. ¿Qué pasaría si usamos un programa como VeraCrypt para crear particiones encriptadas?
VeraCrypt reserva una parte del espacio de disco (digamos, 50 GB) y la transforma en una partición cifrada. Desde afuera, mientras esa partición no esté montada, se verá como un archivo enorme, pero por completo indescifrable. Una vez montada, se verá como un disco nuevo en la máquina (por ejemplo, E:) y se podrá operar con él de la manera convencional: guardar, borrar, copiar y mover archivos, crear carpetas y subcarpetas, etcétera.
Una partición cifrada de 1 GB montada en VeraCrypt como el disco E:.
En caso de un ataque de doxware, los piratas se llevarán a lo sumo un archivo cifrado. Con todo, hay que tener varios recaudos. Iván Arce, CTO de Quarkslab, una compañía de seguridad que oportunamente hizo la auditoría de VeraCrypt, me aclaró que hay un punto débil en esta estrategia. "Cuando se monta la partición cifrada, el sistema operativo tiene acceso a los archivos descifrados, así que en ese caso no serviría". Sabias palabras. ¿Solución? Me dijo Arce que hay que ser muy disciplinado y desmontar la partición cuando no se la usa; en tales condiciones, es una buena solución contra el doxware. ¿Hay alguna forma de automatizar esto? Lo mejor es acostumbrarse a cerrar la partición cifrada a mano cuando no la usamos, pero VeraCrypt puede configurarse para que las desmonte automáticamente luego de un cierto número de minutos, cuando se bloquea la sesión, cerramos sesión (esa es una opción predeterminada) o se pone en marcha el protector de pantalla.
"Bueno" no significa "perfecto", sin embargo. "Si tenés un malware corriendo en tu máquina, puede simplemente esperar a que montes la partición", me explicó Arce. La aclaración vale, porque una regla de oro en seguridad informática es la de no confiar en soluciones infalibles. Y porque en un sistema comprometido la seguridad queda de inmediato entre comillas.
En caso de un ataque de doxware, los piratas se llevarán a lo sumo un archivo cifrado. Con todo, hay que tener varios recaudos. Iván Arce, CTO de Quarkslab, una compañía de seguridad que oportunamente hizo la auditoría de VeraCrypt, me aclaró que hay un punto débil en esta estrategia. "Cuando se monta la partición cifrada, el sistema operativo tiene acceso a los archivos descifrados, así que en ese caso no serviría". Sabias palabras. ¿Solución? Me dijo Arce que hay que ser muy disciplinado y desmontar la partición cuando no se la usa; en tales condiciones, es una buena solución contra el doxware. ¿Hay alguna forma de automatizar esto? Lo mejor es acostumbrarse a cerrar la partición cifrada a mano cuando no la usamos, pero VeraCrypt puede configurarse para que las desmonte automáticamente luego de un cierto número de minutos, cuando se bloquea la sesión, cerramos sesión (esa es una opción predeterminada) o se pone en marcha el protector de pantalla.
"Bueno" no significa "perfecto", sin embargo. "Si tenés un malware corriendo en tu máquina, puede simplemente esperar a que montes la partición", me explicó Arce. La aclaración vale, porque una regla de oro en seguridad informática es la de no confiar en soluciones infalibles. Y porque en un sistema comprometido la seguridad queda de inmediato entre comillas.
Arce me dijo también que conviene usar encriptación del disco completo y de archivos individuales. "Cada método sirve para cosas diferentes", apuntó. Me anoté mentalmente volver a hablar con él sobre cada uno de tales escenarios. En todo caso, a los fines de esta columna, VeraCrypt es una manera razonablemente sencilla y sin cargo para dejar nuestros archivos inaccesibles para los secuestradores.
Quienes hayan usado TrueCrypt, del que se deriva VeraCrypt, notarán que aquél software (hoy discontinuado) tardaba mucho menos en montar las particiones cifradas. Mounir Idrassi, fundador y CEO de Idrix, que lleva adelante el proyecto VeraCrypt, me explicó el año pasado que esta diferencia en el tiempo de montaje se debe a que "aumentamos la seguridad en la derivación de claves". No es una espera eterna, pero Idrassi me pasó este link en el que se explica como reducir el tiempo de montaje. No lo aconsejo, de todos modos.
Por su parte, Cristian Gallardo, gerente regional de Avast!, me aclaró otro punto que solemos subestimar: la contraseña de la partición encriptada que crea VeraCrypt tiene que ser robusta. Si los piratas se hacen del archivo, pueden intentar un ataque de fuerza bruta. Si la contraseña es 123456 o alguna otra combinación de esa clase, la sacarán en segundos.
Otro mes, otro ransomware. A las contramedidas mencionadas hasta aquí hay que sumar dos asuntos con los que hemos venido insistiendo desde hace décadas (y a los que se sigue dando tan poca importancia como al backup): actualizar en cuanto haya parches para vulnerabilidades críticas y pensar dos veces antes de abrir adjuntos o seguir enlaces. En las pantallas, mucho más que en la más explosiva pochoclera de Hollywood, todo es ilusión.
A. T.
