Leía la semana pasada por ArsTechnica (EN) el caso de Rick Romero, el fundador de la empresa VFEmail, un proveedor de correo que nació a principios de siglo precisamente tras la irrupción del virus ILOVEYOU, que seguramente muchos de los que estáis por aquí recordaréis.

Básicamente, todos los activos de su empresa han desaparecido de la noche a la mañana. Alguien había conseguido acceder a absolutamente toda la infraestructura del servicio, tumbando los servidores y borrando todas las bases de datos y copias de seguridad que tenía el pobre Romero.

Lo comentaba, de hecho, por Twitter, totalmente destrozado (EN), ya que de la noche a la mañana se había quedado sin compañía.

Para realizar un ataque de este tipo el atacante ha tenido que conseguir el acceso a varias cuentas distintas (hablamos de que no solo se ha cargado el contenido de los servidores, sino los hosts de correo, los hosts de las máquinas virtuales y el propio clúster de servidores), lo que en principio descarta un ataque masivo, y apunta a que en efecto detrás puede haber intereses específicos.

Quizás la competencia, quizás alguien que por la razón que fuese tenía tirria a VFEmail o al propio Romero.

Que la historia es terrible, y por supuesto no se lo deseo ni a mi peor enemigo.

Pero…

La pregunta que me queda tras leer todo lo ocurrido es, ¿cómo es posible que un negocio como VFEmail no contase con una gestión de copias de seguridad separadas?

Es decir, puedo llegar a comprender que cualquiera de nosotros trabajemos con algo en la nube, y que incluso todavía a día de hoy me encuentre en la mayoría de PYMES una arquitectura de servidores puramente local, ¿pero un servicio que nace precisamente con la óptica de la seguridad, y que tiene vocación de ofrecerse a cualquier usuario en cualquier parte del mundo?

Y no quiero resultar pretencioso. Es cierto que contra algo así estamos muy pero que muy jodidos cualquiera. Si alguien con los recursos suficientes quiere jodernos, es probable que tarde o temprano lo acabe consiguiendo.

Pero joder, qué menos que tener copias FUERA de ese clúster de servidores. Copias de seguridad que se hacen automáticamente cada día/semana, y otras copias de seguridad que aunque sea manualmente se realizan periódicamente por nosotros mismos a algo en local.

Nada que ya no haya dicho en su día explicando cómo deberíamos gestionar las copias de seguridad.

Llegados a una situación límite como la que estamos viendo, es verdaderamente complicado que alguien ya no solo haya hackeado todos nuestros servicios digitales, sino que además nos haya robado físicamente nuestros discos duros (pasamos de un riesgo global a uno global y local). Discos donde entiendo debería haber copias de las imágenes de los servidores, de los hosts y por supuesto del contenido, para que una vez hemos cambiado todas las contraseñas y limpiado las potenciales brechas por donde se ha colado el cabronazo, podamos volver a levantar el servicio.

Que no sé, lo mismo me estoy perdiendo algo, pero al menos en el artículo me sorprende que nadie haya caído en esta consideración.

Bajo una estructura de copias de seguridad adecuada y bien modularizada, un ataque como éste es una putada, pero no tiene porqué representar el final de la empresa. Conllevará muchísimo trabajo recuperarlo todo, pero la base, que es el contenido, nuestros usuarios, y la parametrización de servidores y hosts, entiendo que ya la tendríamos convenientemente segurizada…

 

Cada semana publico una pieza en abierto por estos lares como ejemplo del tipo de contenido al que tienen acceso los mecenas de la Comunidad. Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.