Pagar a los cibercriminales para recuperar los datos cifrados durante un ataque de ransomware a una empresa no es la mejor manera de recuperarse y además, sale cara. De hecho, el coste total de la recuperación tras el ataque casi se duplica cuando las empresas pagan el rescate, según ‘El estado del ransomware en 2020’, encuesta realizada a nivel mundial por Sophos.
La encuesta ha sido realizada a 5.000 responsables en la toma de decisiones de TI en empresas de 26 países en 6 continentes, entre ellos Europa, América del Norte y del Sur, Asia-Pacífico y Asia Central, Oriente Medio y África.
A nivel global, más de la mitad de las organizaciones, el 51%, ha experimentado un ataque de ransomware importante en los últimos 12 meses, comparado con el 54% de las empresas durante 2017. Los datos fueron cifrados en casi tres cuartos, el 73%, de los ataques que lograron penetrar en una organización.
El coste medio de enfrentar el impacto de un ataque de este tipo, incluyendo el tiempo de inactividad de la empresa, los pedidos perdidos, los costes operativos, etc. fue más de 730.000 dólares cuando la empresa no pagó el rescate. Por el contrario, para aquellas que lo pagaron, el coste medio ascendió a 1.4 millones de dólares, casi el doble. Más de una cuarta parte de las empresas afectadas por un ataque de ransomware en todo el mundo, el 27%, admitieron haber pagado el rescate.
El 53% de las empresas españolas fueron víctimas de un ataque de ransomware
En España, el estudio se ha llevado a cabo con 200 responsables de TI de empresas que abarcan desde 100 hasta 5.000 trabajadores, de todos los sectores. Los resultados revelan que el 53% de las empresas españolas sufrieron un ataque de ransomware importante durante el 2019, frente al 42% que esperan sufrirlo en el futuro.
Estos ataques supusieron de media un coste de 260.000 euros para las empresas atacadas, a pesar de que solo un 4% de las organizaciones en las que sus datos fueron cifrados, reconocen haber pagado el rescate solicitado por los ciberdelincuentes.
Chester Wisniewski, científico investigador principal de Sophos, explica:
Las empresas pueden sentir una intensa presión para pagar el rescate y evitar así los daños producidos por el tiempo de inactividad. A primera vista, pagar el rescate parece una forma efectiva de recuperar los datos secuestrados, pero es una falsa ilusión. Los resultados de Sophos muestran que hacerlo, no supone una gran diferencia en el proceso de recuperación. Esto podría deberse a que es poco probable que exista una única clave mágica de descifrado con la recuperarse del ataque. A menudo, los ciberatacantes pueden compartir con los usuarios varias claves (una vez han pagado el rescate) para restaurar los datos secuestrados, y este es un proceso complejo y que requiere mucho tiempo.
Más de la mitad recuperaron sus datos de copias de seguridad sin pagar el rescate
De entre todos los países encuestados, más de la mitad, el 56%, de los responsables de TI encuestados pudieron recuperar sus datos de las copias de seguridad sin pagar el rescate. Por el contrario, en una muy pequeña minoría de casos, tan solo el 1%, el pago del rescate no supuso la recuperación de los datos.
Esta cifra asciende al 5% en el caso de las organizaciones del sector público. De hecho, el 13% de las empresas del sector público encuestadas afirmó que nunca lograron restaurar los datos cifrados, en comparación con el 6% del global.
Sin embargo, en contra de la creencia popular, el sector público fue el menos afectado por ataques de ransomware, ya que sólo el 45% de las empresas encuestadas de este sector, afirmó haber sido víctima de un ataque de ransomware importante en el año anterior. A nivel mundial, los medios de comunicación, las empresas de ocio y entretenimiento del sector privado fueron las más afectadas por el ransomware, con un 60% de las empresas encuestadas reportando ataques importantes.
Los atacantes aumentan la presión para pagar
Los investigadores de los SophosLabs publican también un nuevo informe, ‘Maze Ransomware: Extorsionando a las víctimas durante un año y sumando‘, en el que examinan las herramientas, técnicas y procedimiento utilizados por esta amenaza avanzada de ransomware, que combina el cifrado de datos con el robo de información y amenaza de exposición.
Este enfoque, que los investigadores de Sophos han observado también en otras familias de ransomware como LockBit, está diseñado para aumentar la presión sobre la víctima para que page el rescate. El nuevo informe de Sophos ayudará a los profesionales de la seguridad a comprender y anticiparse a los cambios en los comportamientos de los atacantes de ransomware y proteger así sus empresas.
Wisniewski destacó:
Un sistema efectivo de copias de seguridad que permita a las empresas restaurar los datos cifrados sin pagar a los atacantes es crítico para el negocio, pero también existen otros elementos importantes a considerar si una compañía quiere ser verdaderamente resistente frente al ransomware,
Los adversarios muy avanzados, como los operadores que están detrás del ransomware Maze, no solo cifran los archivos, sino que también roban datos para su posible exposición o con el objetivo de extorsionar a la víctima. Recientemente hemos informado de que el ransomware LockBit está utilizando esta táctica. Algunos atacantes también intentan borrar o sabotear las copias de seguridad para dificultar a las víctimas la recuperación de los datos y aumentar así la presión para que paguen. La manera de evitar estas maniobras maliciosas es mantener las copias de seguridad offline y utilizar soluciones de seguridad eficaces, con varias capas de seguridad, que puedan detectar y bloquear los ataques en diferentes etapas y evitar la eliminación o el daño de los datos.