Por Edwin Weijdema, Field CTO para EMEA y tecnólogo en jefe de ciberseguridad en Veeam
El ransomware se convirtió en la principal arma de los ciberdelincuentes en 2020. Desde entonces, ocupó un lugar destacado en la agenda de seguridad mundial, afectando a empresas, servicios públicos y particulares por igual.
Las organizaciones han tenido que reorientar rápidamente sus estrategias de ciberseguridad, protección de datos y recuperación ante desastres para adaptarse a esta nueva pandemia.
Pero, ¿está cambiando la situación? Cuatro años después, el ransomware y la cibernética siguen siendo la prioridad No. 1 para la mayoría de los equipos de seguridad, y los interminables titulares de víctimas de ransomware de alto perfil siguen apareciendo.
¿Se acerca el final? ¿Qué cambió desde el 2020 y qué queda por hacer para cerrar definitivamente el círculo del ransomware?
¿Señales contradictorias?
Responder a esta primera gran pregunta no es fácil. Por ejemplo, algunos datos sugieren que en 2022 el número global de ataques de ransomware se redujo significativamente (después de haberse duplicado en 2021).
El análisis de la empresa de blockchain Chainalysis informa que el valor total de los pagos de ransomware pagados en 2022 también se redujo significativamente –ambos, signos positivos de que el ransomware global se está desacelerando–.
Sin embargo, el Informe de Tendencias de Protección de Datos 2024 de Veeam y el Informe Ede Tendencias de Ransomware 2023 (ambas, encuestas a gran escala de organizaciones imparciales en EMEA, América y APJ) muestran un panorama diferente.
El primero reveló que 3 de cada 4 organizaciones sufrieron al menos un ataque de ransomware durante el año pasado, y el segundo, que encuestó exclusivamente a empresas que habían sufrido un ataque, descubrió que un sorprendente 80% de las empresas habían pagado un rescate para recuperar los datos.
Otras encuestas del sector suelen revelar resultados similares, así que ¿por qué hay una desconexión entre las cifras globales totales y lo que dicen la mayoría de las empresas individuales?
Mientras que las encuestas específicas pueden darnos una valiosa medida de la situación de una determinada región o industria, las cifras globales totales son complicadas.
Naturalmente, la escala es un factor, pero cuando se trata de ransomware, puede haber reticencia a admitir haber sufrido una violación de datos y algunas pólizas de seguros impiden directamente a las empresas hacerlo.
El seguimiento de los pagos con criptomonedas tampoco es una ciencia exacta, ya que muchas direcciones no habrán sido identificadas en blockchain y, por lo que estarán ausentes en los datos globales.
En ciertas regiones, como EMEA, estamos viendo una mayor apertura a compartir cuando se trata de ransomware, ya que los líderes reconocen que la colaboración y el intercambio de información pueden ayudar a avanzar a la industria de la seguridad y construir conjuntamente una mayor capacidad de recuperación.
¿Qué ha cambiado?
Entonces, entre tanto gris, ¿qué ha cambiado definitivamente? Naturalmente, las amenazas evolucionan constantemente y son cada vez más sofisticadas. Pero esto es fundamental para la ciberseguridad: los esfuerzos de protección y resistencia mejoran al mismo tiempo y el juego del gato y el ratón continúa.
En el caso concreto del ransomware, hemos visto cómo la actitud ante las exigencias de pago sigue oscilando de un lado a otro.
Hace dos años, uno de los mayores pagos por ransomware de la historia se pagó simplemente para ‘prevenir cualquier riesgo potencial’. Desde entonces, la educación sobre lo poco fiable, poco ética e inoportuna que es esta estrategia ha mejorado en todo el sector, pero han aparecido otros dos inconvenientes que han hecho mucho más difícil acabar con los pagos de ransomware para siempre.
Uno de ellos es el ciberseguro. Se trata de un campo que ha cambiado drásticamente desde el auge del ransomware, y sigue siendo muy volátil hoy en día.
El ciberseguro no es malo, por supuesto, ya que brinda a las empresas resistencia financiera frente a una amenaza casi segura. Sin embargo, también ha proporcionado a las organizaciones un medio para pagar las demandas del ransomware.
El Informe de Tendencias de Ransomware 2023 descubrió que el 77% de los encuestados que pagaron demandas lo hicieron con dinero del seguro. Es posible que el aumento constante de las tarifas frene esta tendencia, al igual que el creciente número de pólizas que excluyen específicamente al ransomware de su cobertura.
Tal vez el factor más importante, y la razón por la que las empresas sienten que no tienen alternativa más que pagar rescates en primer lugar, son los ataques dirigidos cada vez más a los repositorios de copias de seguridad.
Informes recientes revelan que los ciberdelincuentes fueron capaces de afectar a los repositorios de copias de seguridad en 3 de cada 4 ataques.
Si las empresas no disponen de otras copias externas de estos datos o simplemente no están en condiciones de recuperarlos con la suficiente rapidez, puede ser tentador para la junta directiva optar por ceder a las demandas.
Aunque, por supuesto, los directivos quieren hacer lo correcto desde el punto de vista de la seguridad, en última instancia su principal prioridad es mantener la empresa en funcionamiento.
¿Qué queda por hacer?
¿Qué debe cambiar para inclinar la balanza en la lucha contra el ransomware y que empecemos a ver cómo los ataques y los pagos se reducen definitivamente?
Todo se basa en la educación y la preparación, sobre todo de quienes no forman parte de los equipos de seguridad y copias de seguridad. Esto incluye terminar con los mitos sobre lo que ocurre antes y después de un ataque de ransomware.
Por ejemplo, el cifrado no se produce tan pronto como un empleado hace clic en un enlace de phishing malicioso: pueden pasar meses o incluso un año desde que se produce la violación de un sistema hasta que se bloquean los datos y se pide un rescate.
Del mismo modo, el descifrado tampoco se produce tan pronto como se paga un rescate, ignorando el hecho de que aproximadamente una cuarta parte de las empresas pagan un rescate y siguen sin poder recuperar sus datos, incluso en el mejor de los casos puede ser increíblemente lento descifrar y recuperar.
Esto forma parte del modelo de negocio, ya que la mayoría ofrece la opción de comprar más claves de descifrado además del coste del rescate para acelerar el proceso.
Entender a la bestia es el primer paso para estar preparado para responder a ella. Un plan de recuperación de ransomware debe constar de tres fases:
- Preparación – planificar la recuperación, asegurarse de que se dispone de copias de seguridad fiables (siguiendo al menos la regla 3-2-1), disponer de una ubicación de recuperación ante desastres preparada y lista para funcionar, y aumentar la formación y los ejercicios para garantizar que la empresa y la organización están preparadas.
- Respuesta – Seguir un proceso de respuesta a incidentes predefinido y probado, localizar y contener la infiltración y analizar las copias de seguridad para asegurarse de que no están contaminadas.
- Recuperación – Recuperar el entorno sin reintroducir el malware o los datos ciber-infectados en el entorno de producción durante la restauración y conseguir que la empresa vuelva a funcionar.
Para concluir, aunque pueda haber cierto grado de incertidumbre sobre el estado de la lucha mundial contra el ransomware, lo que no cabe duda es que estos ataques siguen siendo inevitables para la mayoría de las empresas.
Esto no significa que no haya esperanza contra estos ciberdelincuentes, pero es importante entender que, si las empresas están preparadas y diseñan bien su recuperación, pueden alcanzar un punto de resiliencia del 100% contra el ransomware. Lo anterior no quiere decir que, aunque puede haber impacto de tales ataques en el negocio, uno puede recuperarse rápidamente y decir «no» a las demandas de ransomware.