This post is also available in: Português Español
El ransomware es una amenaza cibernética silenciosa y devastadora que sigue provocando pérdidas a empresas de todo el mundo. Como se destaca en el informe «State of Ransomware 2024» de Sophos, el 59% de las organizaciones han sido víctimas de ataques de ransomware este año. Si bien este porcentaje representa una ligera caída del 66% con respecto al del año pasado, aún revela la gravedad y persistencia de esta amenaza.
Tal informe ofrece una visión integral del panorama actual del ransomware, con datos recopilados de más de 3000 directores de TI en 14 países entre enero y febrero de 2024. Además, analiza las tendencias, el impacto financiero, los sectores más afectados y las mejores prácticas para mitigar los riesgos.
¿Qué es ransomware?
Para aquellos que no están familiarizados, el ransomware es un tipo de malware que, al infectar un sistema, cifra los datos de la víctima, haciéndolos inaccesibles. Luego, los ciberdelincuentes exigen un rescate, generalmente en criptomonedas, a cambio de la clave de descifrado que promete restaurar el acceso a los datos.
Prevalencia de ransomware
Fuente: Sophos «State of Ransomware 2024»
La incidencia de ataques varía significativamente según el tamaño de la empresa. Las empresas más pequeñas con menos de 10 millones de dólares en ingresos reportan menos ataques en comparación con las grandes corporaciones con ingresos superiores a 5 mil millones de dólares. También, la ubicación geográfica y la industria influyen en la probabilidad de un ataque.
Pérdidas financieras
El informe revela que algunas empresas afectadas por ataques de ransomware optan por pagar el rescate. En promedio, el 34% de las empresas que pagan el rescate consiguen recuperar sus datos. Aunque, cabe mencionar que el pago de rescates termina incentivando nuevos ataques y financiando el mercado del cibercrimen.
Los costos asociados con los ataques de ransomware son asombrosos. Los gastos incluyen no sólo el pago del rescate, sino también los costos de recuperación e interrupción de las operaciones. El informe también presenta datos específicos sobre el coste de los ataques, según su tipo: en promedio, los costos de recuperación de incidentes que involucran la explotación de vulnerabilidades alcanzan los 3 millones de dólares, cuatro veces más que los ataques que se dan por credenciales comprometidas.
Causas de los ataques y sus impactos
Los ataques más comunes incluyen la explotación de vulnerabilidades, compromiso de credenciales y correos electrónicos maliciosos, el phishing inclusive. El informe destaca que el 94% de los ataques intentan comprometer las copias de seguridad, por lo que es esencial mantenerlas offline y separadas de la red principal.
Fuente: Sophos State of Ransomware 2024″
El daño causado por ataques de ransomware puede ser inconmensurable. Alrededor del 49% de los dispositivos de una organización se ven afectados durante un ataque. Paralizando no solo sus operaciones, sino que también puede provocar la pérdida permanente de datos importantes si las copias de seguridad se ven comprometidas, una táctica que los atacantes intentan en el 94% de los casos.
Además, la recuperación completa de un ataque puede llevar meses, con costos que varían pero que a menudo superan los millones de dólares.
Ransomware en diferentes sectores
El impacto financiero es sólo una parte del problema. La interrupción operativa, la pérdida de confianza del cliente y el daño a la reputación son consecuencias igualmente graves. El objetivo son empresas de todos los tamaños, desde pequeñas organizaciones con menos de 10 millones de dólares de ingresos hasta gigantes con ingresos superiores a los 5 mil millones de dólares.
Los sectores críticos como la energía, el petróleo y el gas han sido especialmente atacados, ya que estos sectores enfrentan mayores riesgos debido a su infraestructura crítica. Un ataque exitoso no sólo afecta las operaciones internas, sino que también puede tener consecuencias devastadoras para la sociedad en su conjunto, interrumpiendo el suministro de energía y provocando importantes pérdidas económicas.
Cómo proteger tu empresa
La ciberseguridad debería ser una prioridad absoluta para cualquier empresa que quiera proteger sus activos y garantizar la continuidad del negocio. Existen algunas prácticas para mantener su negocio más seguro, las mencionaré a continuación.
Mantenga los sistemas y el software actualizados: la explotación de vulnerabilidades sin parches es una de las principales causas de los ataques de ransomware. Garantizar que todos los sistemas tengan los parches más recientes reduce significativamente el riesgo de un ataque.
Implemente soluciones fuertes de backup: tener copias de seguridad actualizadas, tanto en línea como fuera de línea, es esencial. Incluso si los atacantes logran comprometer datos clave, tener copias de seguridad seguras puede permitir una recuperación rápida y evitar pagar el rescate (y vale la pena recordar que no se recomienda pagar el rescate, ya que no hay garantía de recuperación de datos). Aún así, exponer la información también es una estrategia aplicada por ciberdelincuentes. En estos escenarios, contar con un respaldo ayuda a restablecer la operación, sin embargo, la empresa aún estará sujeta a sanciones legales e impactos asociados a la marca. Por tanto, la copia de seguridad no lo es todo.
Entrenamiento continuo de los empleados: muchos ataques comienzan con un simple correo electrónico malicioso. Capacitar a los empleados para que reconozcan y eviten el phishing y otras formas de ingeniería social es fundamental, no lo olvide.
Monitoreo constante y respuesta a incidentes:Contar con un equipo dedicado o subcontratado que pueda monitorear, detectar y responder rápidamente a incidentes de seguridad puede marcar la diferencia a la hora de contener un ataque y restablecer las operaciones.
Respuesta a incidentes
El proceso de respuesta a incidentes de ransomware debe contar un documento amplio y detallado que debe revisarse y comunicarse con frecuencia a los equipos involucrados en el proceso. El objetivo, con los consejos que se presentan a continuación, es organizar un “Norte”, sin embargo, en la práctica, son necesarios muchos otros procesos para coordinar una respuesta viable a incidentes de este tipo.
El primer paso es aislar inmediatamente los sistemas infectados. Desconectar las máquinas afectadas de la red para evitar que el ransomware se propague a otros dispositivos y servidores. Esto puede implicar desconectar físicamente los cables de red o desactivar el Wi-Fi.
Una vez realizado el aislamiento, es fundamental notificar a todas las áreas relevantes. Esto incluye al equipo de TI, que debe liderar la respuesta técnica, y a la directiva, que debe estar al tanto de la situación para tomar decisiones. Además, considere notificar a las autoridades correspondientes, como la policía cibernética, especialmente si existen implicaciones legales o regulatorias.
Una vez aisladas las máquinas infectadas, el equipo de TI debe evaluar el alcance e impacto del ataque. Esto implica identificar qué sistemas y datos se han visto comprometidos, el tipo de ransomware utilizado y si hay evidencia de filtración de datos. Comprender plenamente el impacto es esencial para planificar la recuperación.
Si la empresa cuenta con copias de seguridad actualizadas y seguras, la recuperación de datos es el siguiente paso. Utilice estas copias de seguridad para restaurar los sistemas afectados. Asegúrese de que las copias de seguridad no estén infectadas antes de iniciar el proceso de restauración. Este paso puede llevar mucho tiempo, pero es esencial para recuperar la funcionalidad empresarial normal sin pagar el rescate.
Después de la recuperación, es importante realizar un análisis detallado del incidente. Identifique cómo el ransomware logró penetrar en los sistemas y qué vulnerabilidades fueron explotadas, así como evaluar la eficacia de las medidas de respuesta e identificar áreas de mejora. Este análisis debería dar como resultado un informe que documente el incidente y recomendaciones para fortalecer las defensas contra futuros ataques.
Comunicación y transparencia
Durante y después de un incidente de ransomware, una comunicación clara y transparente es muy importante. Mantenga a los empleados informados sobre el progreso de la recuperación y las medidas adoptadas para proteger los datos. Si es necesario, comuníquese con clientes y socios para garantizar la transparencia y mantener la confianza.
Mejora continua
Utilice las lecciones aprendidas del incidente para mejorar las defensas de ciberseguridad de su empresa. Actualice las políticas y procedimientos de seguridad, implemente capacitación adicional para los empleados y considere inversiones en nuevas tecnologías de protección. La ciberseguridad es un proceso continuo de adaptación y mejora.
La persistencia de la amenaza
El escenario del ransomware mostró signos de desaceleración, según el informe de Sophos; sin embargo, se trata apenas de una encuesta, con una muestra específica, que ciertamente no representa completamente la realidad. Los grupos de ransomware se están volviendo más sofisticados y audaces, apuntando a industrias cada vez más críticas y exigiendo rescates cada vez mayores. Luchar contra esta amenaza requiere vigilancia continua, inversión en tecnologías de seguridad avanzadas y una cultura corporativa centrada en la resiliencia cibernética.
Proteger una empresa contra el ransomware no es tarea fácil, pero con las estrategias y defensas adecuadas es posible minimizar los riesgos y garantizar que, si se produce un ataque, el daño sea contenido y la recuperación sea más rápida.
La ciberseguridad es una inversión continua, pero los costos de descuidar esta área pueden ser catastróficos. Por tanto, reforzar la ciberdefensa es una necesidad urgente para todas las empresas hoy en día.
This post is also available in: Português Español