Al pagar un rescate por ‘ransomware’, las empresas duplican los costes de recuperación

Crece un 12% el riesgo de ransomware en España, según Avast

Estos costes ascienden hasta los 750.000 dólares frente a los 375 000 dólares que terminan asumiendo las compañías con copias de seguridad.

La mayoría de las empresas reciben ataques de ransomware. Así lo confirma un 66 % de las compañías que han sido encuestadas por Sophos para la elaboración de su informe “El Estado del Ransomware 2023”, que a pesar de su nombre recoge las experiencias vividas por el entorno empresarial durante 2022.

Este 66 % es la misma cifra de afectados que el año anterior. Pero, en esta ocasión, los ciberdelincuentes consiguieron cifrar los datos en 3 de cada 4 (76 %) ataques de ransomware lanzados. Se trata de la tasa de cifrado de datos más alta de los últimos años. Hay que tener en cuenta que Sophos comenzó a elaborar este informe en 2020 y ese es el periodo más lejano con el que se pueden realizar comparaciones.

“Las tasas de cifrado de datos en ataques de ransomware han vuelto a niveles muy altos tras sufrir un bajón temporal durante los meses de pandemia, lo que resulta bastante preocupante”, comenta al respecto Chester Wisniewski, CTO de Sophos.

“Los grupos de ransomware han estado refinando sus métodos y acelerando sus ataques para reducir el tiempo con el que cuentan los equipos de seguridad para interrumpirlos”, señala.

“Con dos tercios de las empresas informando de que han sido víctimas de los criminales del ransomware por segundo año consecutivo, es probable que hayamos llegado a un punto muerto”, apunta el directivo, que cree que “la clave para reducir esta cifra es trabajar para reducir drásticamente tanto el tiempo de detección como el tiempo de respuesta”.

“La caza de amenazas dirigida por equipos humanos es muy eficaz para detener a estos ciberdelincuentes en su avance, pero las alertas deben investigarse y los atacantes deben ser desalojados de las redes empresariales en horas y días, no en semanas y meses”, apunta. “Los analistas experimentados pueden reconocer los patrones de una intrusión activa en cuestión de minutos y pasar a la acción”.

“Esta”, concluye, “es probablemente la diferencia entre el tercio que se mantiene a salvo y los dos tercios que no. Hoy en día, las empresas deben estar alerta 24/7 para levantar una defensa eficaz”.

Cabe señalar que casi la mitad (46 %) de las empresas que sufrieron el cifrado los datos en 2022 decidió pagar el rescate, algo que desaconsejan los expertos en seguridad. Las empresas de mayor tamaños se muestran más propensas a pagar. Así, la mayoría de las que tienen unos ingresos anuales de al menos 500 millones de dólares accedieron a las peticiones de los ciberdelincuentes. Sobre todo lo hicieron las que superan los 5000 millones de dólares en ingresos.

Una de las conclusiones más destacadas a las que llega la investigación es que aquellas organizaciones que pagan el rescate para recuperar sus datos terminan duplicando los costes de recuperación. Estos costes llegan a los 750 000 dólares frente a los 375 000 dólares que asumen las compañías que implementan sistemas de copias de seguridad para poder recuperar sus datos sin ceder al chantaje.

Chester Wisniewski explica que “la mayoría de las víctimas no podrán recuperar todos sus archivos simplemente pagando por las claves de cifrado, también se verán obligados a reconstruir y recuperar sus datos a partir de copias de seguridad. Pagar rescates”, dice, “no sólo enriquece a los ciberdelincuentes, sino que ralentiza la respuesta al incidente y añade costes a una situación ya de por sí terriblemente cara”.

De hecho, pagar el rescate implica por lo general tiempos de recuperación más largos. El 45 % de las empresas que se apoyan en el backup se recuperaron en el plazo de una semana frente al 39 % de aquellas que desembolsan el dinero solicitado.

¿Y cuáles son las causas raíz más frecuentes de los ataques de ransomware? En el número se encuentra la explotación de una vulnerabilidad, una causa que está implicada en el 36 % de los casos. Le siguen las credenciales comprometidas (29 %).

En un 30 % de las situaciones en los que los datos resultaron cifrados por la acción del ransomware, los ciberdelincuentes también los robaron, lo que habla de la popularización el método de la doble inmersión donde el cifrado va acompañado de una extracción de la información.