Pagar el rescate no es una buena opción, puesto que duplica los costes de recuperación
El 76% de los ataques de ransomware de 2022 implicaron un cifrado de datos
Sophos, empresa de ciberseguridad, publica los resultados del informe anual “El estado del Ransomware 2023”. Este documento revela que la tasa de ataques de ransomware se mantiene estable en un 66% y que los ciberdelincuentes lograron cifrar los datos en el 76% de todos los ataques de ransomware, contra las empresas encuestadas. Esto se traduce en la tasa de cifrado de datos en ataques de ransomware más alta desde que la corporación lleva a cabo el informe.

La encuesta también revela que cuando las empresas pagan un rescate para recuperar sus datos, acababan duplicando los costes totales de recuperación (alcanzando los 750.000 dólares en costes de recuperación frente a los 375.000 dólares en el caso de las empresas que utilizaron copias de seguridad para recuperar sus datos). Además, pagar el rescate también suele implicar tiempo de recuperación más largo: el 45% de las empresas que utilizaron copias de seguridad se recuperaron en una semana, frente al 39% de las que pagaron el rescate.
De forma global, el 66% de las empresas encuestadas sufrieron un ataque de ransomware en 2022, coincidiendo con el mismo porcentaje que el año anterior. Lo que sugiere que la tasa de ataques de ransomware se ha mantenido estable, en contra de la percepción de una reducción de los ataques.
“Las tasas de cifrado de datos en ataques de ransomware han vuelto a niveles muy altos tras sufrir un bajón temporal durante los meses de pandemia, lo que resulta bastante preocupante. Los grupos de ransomware han estado refinando sus métodos y acelerando sus ataques para reducir el tiempo con el que cuentan los equipos de seguridad para interrumpirlos”, explica Chester Wisniewski, CTO de Sophos. "Por otro lado, el coste de los ataques aumenta considerablemente cuando se pagan rescates. La mayoría de las víctimas no podrán recuperar todos sus archivos simplemente pagando por las claves de cifrado, también se verán obligados a reconstruir y recuperar sus datos a partir de copias de seguridad. Pagar rescates no sólo enriquece a los ciberdelincuentes, sino que ralentiza la respuesta al incidente y añade costes a una situación ya de por sí terriblemente cara” asegura Wisniewski.
Al analizar la causa raíz de los ataques de ransomware, la más común fue una vulnerabilidad explotada (implicada en el 36% de los casos), seguida de credenciales comprometidas (identificada en el 29% de los casos). Estos resultados coinciden con las conclusiones recientemente publicadas en el informe de Sophos Active Adversary Report 2023.
Entre las conclusiones del informe destacan:
- En el 30% de los casos en los que se cifraron los datos, también se robaron, lo que sugiere que este método de “doble inmersión” (cifrado y extracción de datos) es cada vez más habitual.
- El sector de la educación fue el que registró el mayor nivel de ataques de ransomware: el 79% de las instituciones de educación superior encuestadas y el 80% de las de educación básica fueron víctimas de un ataque de ransomware.
- En general, el 46% de las empresas encuestadas en las que se cifraron los datos pagaron el rescate. Sin embargo, las empresas más grandes son mucho más propensas a pagar. De hecho, más de la mitad de las empresas con ingresos de 500 millones de dólares o superiores pagaron el rescate, con el promedio más alto entre las empresas que tienen ingresos de más de 5.000 millones de dólares al año. Esto puede deberse, en parte, al hecho de que las empresas más grandes tienen más probabilidades de tener un ciberseguro independiente que cubra el pago de rescates.
Cómo acelerar las defensas ante el cibercrimen
Los expertos en ciberseguridad de Sophos recomiendan las siguientes buenas prácticas para ayudar a las empresas a defenderse contra el ransomware y los ciberataques relacionados:
1. Reforzar aún más las barreras defensivas con:
- Herramientas de seguridad que protejan contra los vectores de ataque más comunes, incluyendo la protección de endpoints con fuertes capacidades anti-exploit para prevenir la explotación de vulnerabilidades, y un enfoque de acceso a la red Zero Trust (ZTNA) para frustrar cualquier intento de abuso de credenciales comprometidas.
- Tecnologías adaptativas que responden automáticamente a los ataques, interrumpiendo a los adversarios y dando tiempo a los defensores para responder.
- Detección, investigación y respuesta a las amenazas 24/7, ya sea con un equipo interno o en colaboración con un proveedor especializado de Managed Detection and Response (MDR).
2. Optimizar la preparación frente a un posible ataque, lo que incluye realizar copias de seguridad periódicas, practicar la recuperación de datos desde copias de seguridad y mantener actualizado el plan de respuesta ante incidentes.
3. Mantener una buena higiene de seguridad, incluyendo la aplicación oportuna de parches y la revisión periódica de las configuraciones de las herramientas de seguridad.