Muchos de vosotros seguro que conoceréis Veeam Backup, la solución de protección de datos que permite realizar copias de seguridad y recuperaciones en entornos virtuales, físicos, NAS y nativos de la nube. Esto se debe a que su facilidad de uso y eficiencia lo han convertido en un pilar fundamental en la estrategia de backup de muchas organizaciones.

En un contexto donde los ataques de ransomware están a la orden del día, Veeam Backup se ha consolidado como una herramienta esencial para la continuidad del negocio y la resiliencia ante la nueva oleada de amenazas que reciben las organizaciones de hoy en día.

Sin embargo, ¿qué pasaría si esta solución de protección se convirtiera en la puerta de entrada para un actor malicioso?

Una de las grandes ventajas de Veeam Backup es su capacidad para integrarse fácilmente con otras soluciones clave en entornos IT. Es común verlo conectado con vSphere, la plataforma de virtualización de VMware, o con sistemas NAS, utilizados para el almacenamiento de datos en red.

Además de ello, su compatibilidad con múltiples soluciones cloud ampliamente utilizadas, como es el caso de Azure, lo convierte en una pieza fundamental para la gestión eficiente y segura de copias de seguridad en la nube.

En el mundo IT, la automatización de tareas, especialmente cuando involucra la integración entre distintos softwares, conlleva beneficios significativos. Sin embargo, también implica ciertas condiciones, en su mayoría relacionadas con el proceso de autenticación. Es fundamental evaluar estos aspectos, ya que pueden influir en la seguridad, el control de acceso y la privacidad de los datos, por lo que es necesario sopesar sus ventajas y posibles riesgos antes de implementarlos.

En el panorama actual de la ciberseguridad, la complejidad de las soluciones implementadas para la protección contra amenazas crecientes aumenta constantemente. Debido a esto, tanto los actores maliciosos, que tratan de comprometer a organizaciones y sistemas para su propio beneficio, como los operadores Red Team, cuya misión es identificar y reportar vulnerabilidades para su posterior corrección, se ven impulsados a identificar y explotar nuevas deficiencias en los sistemas, adaptando sus métodos y desarrollando nuevas TTPs que les permitan evadir las defensas existentes.

Las herramientas desarrolladas tanto por los operadores como por los atacantes hostiles están diseñadas para la evasión de soluciones de seguridad como los EDR. Esto se debe a que mantener la operación fuera del radar del Blue Team es de vital importancia. Ser detectado supondría la obtención de IOC por parte del equipo de defensa, el cual aprovecharía para desmantelar toda una operación, bloqueando direcciones IP y dominios, creando YARAs para los artefactos o implementando las últimas actualizaciones en todas sus soluciones de seguridad.

Estas acciones, además de incrementar el nivel de alerta del Blue Team, supondrían el fin o el reinicio de un ataque u operación, ya que el vector de entrada podría ser mitigado o directamente bloqueado y sería necesario volver a montar la infraestructura casi por completo. Es por ello por lo que mantener el OPSEC de una operación es de vital importancia, evitando generar alertas que puedan notificar a los defensores y de esta manera cumplir el objetivo sin llegar a ser detectado.