El ransomware se convirtió en la principal arma de los ciberdelincuentes en 2020. Desde entonces, ha ocupado un lugar destacado en la agenda de la seguridad mundial, asolando a empresas, servicios públicos y particulares por igual. Las organizaciones han tenido que reorientar rápidamente sus estrategias de ciberseguridad, protección de datos y recuperación ante desastres para adaptarse a esta nueva pandemia. Pero, ¿está cambiando la situación? El ransomware y la ciber-resiliencia siguen siendo la prioridad número uno para la mayoría de los equipos de seguridad tres años después, y los titulares interminables de víctimas de ransomware de alto perfil siguen apareciendo. ¿Se vislumbra el final? ¿Qué ha cambiado desde 2020 y qué queda por hacer para cerrar definitivamente el círculo del ransomware?
¿Señales confusas? Responder a esa primera gran pregunta no es sencillo. Por ejemplo, los datos sugieren que en 2022 el número global de ataques de ransomware se redujo significativamente (después de haberse duplicado en 2021) y el análisis de la empresa de blockchain Chainalysis informa que el valor total de los rescates de ransomware pagados en 2022 también se redujo significativamente, ambos signos positivos de que el ransomware global se está desacelerando.
Sin embargo, los informes Veeam Data Protection Trends Report 2023 y Ransomware Trends Report 2023, encuestas a gran escala a organizaciones imparciales de EMEA, América y APJ, pintan un panorama diferente. El primer informe reveló que el 85% de las organizaciones sufrieron al menos un ciberataque durante el año pasado (un aumento del 9% con respecto al año anterior) y el informe sobre ransomware, que encuestó exclusivamente a empresas que habían sufrido un ataque, mostró que un sorprendente 80% de las empresas habían pagado un rescate para recuperar sus datos. Otras encuestas del sector suelen arrojar resultados similares, así que ¿por qué hay una desconexión entre las cifras globales totales y lo que dice la mayoría de las empresas individuales?
Mientras que las encuestas específicas pueden darnos una valiosa medida del estado de una determinada región o industria, las cifras globales totales son complicadas. Naturalmente, la escala es un factor, pero cuando se trata de ransomware puede haber reticencia a admitir haber sufrido una brecha de datos y algunas pólizas de seguros impiden directamente a las empresas hacerlo. El seguimiento de los pagos tampoco es una ciencia exacta, ya que muchas direcciones no habrán sido identificadas en la blockchain y, por tanto, no dispondrán de los datos globales. En algunas regiones, como EMEA, estamos viendo una mayor apertura a la hora de compartir cuando se trata de ransomware, ya que los líderes reconocen que la colaboración y el intercambio de información pueden ayudar a avanzar a la industria de la seguridad y construir conjuntamente una mayor capacidad de recuperación.
¿Qué ha cambiado?
Entonces, ¿qué ha cambiado? Naturalmente, las amenazas evolucionan constantemente y son cada vez más sofisticadas. Pero esto es fundamental para la ciberseguridad: los esfuerzos de protección y resistencia mejoran al mismo tiempo y el juego del gato y el ratón continúa. En el caso concreto del ransomware, hemos visto cómo la actitud ante las exigencias de pago sigue oscilando de un lado a otro. Hace dos años, uno de los mayores pagos por ransomware de la historia se pagó simplemente para «prevenir cualquier riesgo potencial». Desde entonces, la educación sobre lo poco fiable, lo poco ético o lo inoportuno que es esta estrategia ha mejorado en todo el sector, pero han aparecido otros dos inconvenientes que han hecho mucho más difícil acabar con los pagos de ransomware para siempre.
El ransomware y la ciber-resiliencia siguen siendo la prioridad número uno para la mayoría de los equipos de seguridad tres años después, y los titulares interminables de víctimas de ransomware de alto perfil siguen apareciendo
Uno de ellos es el ciberseguro. Se trata de un campo que ha cambiado drásticamente desde el auge del ransomware, y sigue siendo muy volátil a día de hoy. El ciberseguro no es malo, por supuesto, ya que proporciona a las empresas resistencia financiera frente a una amenaza casi segura. Sin embargo, también ha proporcionado a las organizaciones un medio para pagar las demandas del ransomware. El Informe de Tendencias de Ransomware 2023 de Veeam descubrió que el 77% de los encuestados que pagaron demandas lo hicieron con dinero del seguro. El continuo aumento de las primas puede acabar frenando esta tendencia, al igual que el creciente número de pólizas que excluyen específicamente el ransomware de su cobertura.
Tal vez el factor más importante, y la razón por la que las empresas sienten que no tienen más remedio que pagar rescates en primer lugar, son los ataques dirigidos cada vez más a los repositorios de copias de seguridad. Informes recientes revelan que los ciberdelincuentes fueron capaces de afectar a los repositorios de copias de seguridad en tres de cada cuatro ataques. Si las empresas no disponen de otras copias externas de estos datos o simplemente no están en condiciones de recuperarlos con la suficiente rapidez, puede ser tentador para la junta directiva optar por ceder a las demandas. Aunque, por supuesto, los directivos quieren hacer lo correcto desde el punto de vista de la seguridad, en última instancia su principal prioridad es mantener la empresa en funcionamiento.
¿Qué queda por hacer?
¿Qué tiene que cambiar para inclinar la balanza en la lucha contra el ransomware y que empecemos a ver cómo los ataques y los pagos se reducen definitivamente? Todo se reduce a la educación y la preparación, sobre todo para los que no pertenecen a los equipos de seguridad y backup. Esto incluye acabar con los mitos sobre lo que ocurre antes y después de un ataque de ransomware. Por ejemplo, el cifrado no se produce tan pronto como un empleado hace clic en un enlace malicioso de phishing: pueden pasar meses o incluso un año desde que se produce la brecha de un sistema hasta que se bloquean los datos y se pide un rescate. Del mismo modo, el descifrado tampoco se produce tan pronto como se paga un rescate, ignorando el hecho de que, aproximadamente, una cuarta parte de las empresas pagan un rescate y siguen sin poder recuperar sus datos. Incluso en el mejor de los casos puede ser increíblemente lento descifrar y recuperar. Esto forma parte del modelo de negocio, ya que la mayoría ofrece la opción de comprar más claves de descifrado además del coste del rescate para acelerar el proceso.
Entender a la bestia es el primer paso para estar preparados y poder responder. Un plan de recuperación de ransomware debe tener tres etapas:
1. Preparación – planificar la recuperación, asegurarse de que se dispone de copias de seguridad fiables (siguiendo al menos la regla 3-2-1), disponer de una ubicación de recuperación en caso de catástrofe preparada y lista para funcionar, e intensificar la formación y los ejercicios para garantizar que la empresa y la organización están preparadas.
2. Respuesta – Siguiendo un proceso de respuesta a incidentes predefinido y probado, localizar y contener la brecha, y escanear las copias de seguridad para asegurarse de que no están contaminadas.
3. Recuperación – Recuperar el entorno sin reintroducir el malware o los datos ciber-infectados en el entorno de producción durante la restauración y conseguir que la empresa vuelva a funcionar.
Por último, aunque pueda haber cierto grado de incertidumbre sobre el estado de la lucha global contra el ransomware, lo que no cabe duda es que los ataques de ransomware siguen siendo inevitables para la mayoría de las empresas. Esto no significa que no haya esperanza contra estos ciberdelincuentes, sin embargo, es importante entender que si las empresas están preparadas y diseñan bien su recuperación, pueden alcanzar un punto de resiliencia del 100% contra el ransomware. Eso no significa que no habrá impacto en el negocio de tales ataques, pero significa que es posible recuperarse rápidamente y decir «no» a las demandas de ransomware.