Los ataques de ransomware siguen representando una de las mayores amenazas que existen para las empresas. La proliferación de herramientas aliadas como la IA o el ML benefician a que los ciberdelincuentes puedan perfeccionar sus ataques y generar un mayor impacto. De hecho, el ransomware supuso el 17% de los ataques detectados durante el primer trimestre de 2024.
Estos datos pueden extraerse del último informe trimestral elaborado por Talos Incident Response. Por tanto, se convierte en la segunda ciberamenaza de mayor envergadura para las empresas, solo por detrás de los ataques de compromiso del correo electrónico empresarial (BEC), que representaron el 50%.
Se sufren menos ataques, pero se paga más
Dicho esto, Sophos elaboró su informe anual del estudio El Estado del Ransomware 2024, en el que detalla que, pese a que la tasa de ataque haya disminuido, los pagos de rescate han aumentado un 500% en el último año.
Se estima que las empresas llegaron a pagar rescates de unos dos millones de dólares de media, mientras que en 2023 la cifra era de 400.000 dólares de media. No obstante, el informe señala que el coste medio de recuperación alcanzó los 2,73 millones de dólares, lo que representa un incremento de casi un millón desde los 1,82 millones de dólares notificados por Sophos en 2023.
No obstante, el 46% de las empresas con ingresos inferiores a 50 millones de dólares recibieron, en el último año, una petición de rescate de siete cifras. Esta situación asfixia a las pequeñas empresas que se ven afectadas por la economía de la ciberdelincuencia.
Los ataques de ransomware cobran costes desorbitados. Existen ataques que buscan rescates multimillonarios, mientras que otros buscan ataques de menor cantidad pero más numerosos.
Menos de una cuarta parte (24%) de las empresas que pagan el rescate entregan la cantidad solicitada originalmente, y el 44% de los encuestados declara haber pagado una cantidad menor de la requerida en un inicio. De igual modo, el 94% de las empresas afectadas por ransomware el año pasado afirmaron que los ciberdelincuentes intentaron poner en peligro sus copias de seguridad durante el ataque, porcentaje que se eleva al 99% en el caso de las administraciones públicas locales y estatales.
Se producen menos ataques
Hay que tener en cuenta que los ciberdelincuentes que efectúan ataques de ransomware emplean un software malicioso que bloquea el acceso a todos los dispositivos corporativos o que se encarga de cifrar los archivos. Posteriormente, éstos se ponen en contacto con la empresa para reclamar un rescate, normalmente millonario. Si no se atiende a sus peticiones, suelen amenazar con filtrar las informaciones como método de coacción.
No obstante, pagar la cantidad reclamada por los ciberdelincuentes no asegura la recuperación de los archivos. Pese a todo, el estudio de Sophos denota una ligera reducción en la tasa de ataques de ransomware. Y es que se aprecia un 59% de las empresas afectadas frente al 66% de 2023.
Incluso las empresas más pequeñas (de menos de 10 millones de dólares de ingresos), siguen siendo objetivo habitual de los ataques por ransomware, aunque representan un 47%.
El Informe revela que el 63% de las peticiones de rescate eran de un millón de dólares o más, con un 30% de peticiones de más de 5 millones de dólares. De ahí que los operadores de ransomware busquen grandes pagos.
La metodología empleada
Por segundo año consecutivo, las vulnerabilidades explotadas fueron la causa más común de ataque (afectando al 32% de las empresas). Le siguieron las credenciales comprometidas (29% de las empresas) y el correo electrónico malicioso (23%).
De igual modo, se producen coincidencias con los resultados de la respuesta aa incidentes. Además, existe un mayor índice de compromiso de las copias de seguridad (75%), cifrado de datos (67%) y propensión a pagar el rescate (71%).
El impacto financiero y operativo fue mayor, con un coste medio de recuperación de 3,58 millones de dólares, frente a los 2,58 millones de dólares con credenciales comprometidas.
La situación de España
Esta reducción en la proliferación de ataques de ransomware también se hace latente en España. De hecho, frente al 77% del año 2023, el primer trimestre de 2024 ha dejado cifras muy optimistas, con el 59% de las empresas españolas atacadas por algún tipo de ransomware.
En el Informe de Ransomware 2024, elaborado por la compañía S2 Grupo, se recoge que España es el séptimo país del mundo más afectado por los ciberataques con la técnica del ransomware as a service (RaaS). El objetivo principal es obtener beneficios económicos, algo que se ven especialmente en aquellos países que lideran el ranking: EEUU, Canadá, Reino Unido, Alemania, Francia e Italia. Además, Brasil es uno de los países más afectados por esta amenaza en los últimos meses.
Medidas de actuación
El Informe de Sophos también señala que el 97% de las empresas afectadas por ransomware durante 2023 acudieron a las Fuerzas de Seguridad y/o organismos oficiales públicos para obtener ayuda. De hecho, el 61% declaró recibir asesoramiento y el 60% recibió ayuda de investigación. De igual modo, el 58% sufrió el cifrado de datos.
Las empresas suelen evitar colaborar con las Fuerzas de Seguridad para que sus ataques no saliesen a la luz pública y se viesen afectadas su reputación empresarial y su situación en el mercado. Las nuevas normativas relativas a los incidentes cibernéticos han normalizado esta colaboración.
Todo pasa por comprender el perfil de riesgo con herramientas evaluativas, así como implementar una protección para endpoints, diseñada para detener una serie de técnicas de ransomware. En cualquier caso, es importante crear y mantener un plan de respuesta ante incidentes, además de copias de seguridad periódicas y prácticas de recuperación de datos de las copias de seguridad