Hoy en día un 19 % aproximadamente de las empresas que han sufrido ataques exitosos de ransomware [i] ha sido capaz de recuperar sus datos sin tener que pagar el precio del rescate exigido por los ciberdelincuentes, por ello es tan importante la ciberresilencia frente a todo tipo de ataques informáticos. Debe recordarse y tenerse presente que España se ha convertido en el tercer país de Europa que más ataques de este tipo recibe.
En parte, esta incapacidad para recuperar la información secuestrada se debe a la falta de soluciones de recuperación masiva de datos y planes de backup en los planes de ciberseguridad implantados por las compañías.
Aunque eventualmente no puedan evitar ser víctimas de un ataque de ransomware sin muchas otras medidas, estos elementos sí permitirían agilizar y tener claros los tiempos de recuperación antes desastres de este tipo.
Los problemas habituales a los que se tienen que enfrentar las empresas en las tareas de recuperación tras la producción de un ciberataque, son básicamente los que se indican a continuación:
- La existencia de sistemas de «backup» tradicionales, que ocasionan que la recuperación sea muy lenta.
- Los conflictos y los problemas existentes al recuperar por rutas largas en los ficheros.
- La operatividad de los «backups» antiguos, produciendo en la mayoría de los casos, la pérdida de la información, al ser esta irrecuperable durante uno o varios días.
- El gran volumen de máquinas y datos que tienen que ser objeto de recuperación.
- Y finalmente la producción de una parada de carácter técnica de la empresa, ocasionada y motivada a consecuencia de la lenta recuperación de los sistemas.
En este sentido, cabe vez se hace más necesario el hecho de disponer como una prioridad de soluciones eficaces y eficientes de recuperación que permitan tanto la recuperación de dichos datos, como la posibilidad de garantizar la continuidad del negocio en el menor de los tiempos posibles.
Planes de ciberseguridad
Ante esta situación, las empresas se ven obligadas a contar con planes de ciberseguridad que incluya prevención, detección temprana, respuesta y recuperación frente a este tipo de ciberataques, todo ello reforzado con unas infraestructuras actuales.
Por ello, puede afirmarse que el Plan de recuperación frente a ataques de ransomware no es un plan que recupere a una empresa del desastre, sino el establecimiento de un conjunto de recomendaciones, acciones y estrategias basadas en una tipología de arquitectura e infraestructura que prevea los ataques y sea capaz de responder lo más rápido posible.
La carencia de este tipo de planes y de infraestructuras de este siglo, adaptados a las nuevas necesidades, ha provocado que las grandes organizaciones, tanto de carácter público como de tipo privado, paralicen sus actividades y servicios y tarden en recuperarlos paralizando el desarrollo de su actuación a todos los niveles
Las consecuencias de no contar con soluciones de recuperación instantánea masiva pueden llevar desde la pérdida de datos críticos, interrupción de la continuidad del negocio hasta la reducción de la productividad al tener que dedicar más tiempo y recursos a reconstruir los datos perdidos.
Esta situación conduce de manera inexorable a la necesidad de que las empresas, con independencia de su tamaño y del sector económico o de actividad donde desarrollen la misma, procedan a realizar inversiones en tecnologías y estrategias de ciberseguridad, como algo completamente esencial para garantizar de una manera efectiva la continuidad del negocio, y, al mismo tiempo, ser capaces de poder minimizar el impacto de los ciberataques en los servicios críticos de cualquier organización, favoreciendo su recuperación.
A los efectos de reflejar la actualidad de la situación derivada de los ataques de ransomwares, la empresa Sophos hizo público, que el coste medio total de la recuperación tras un ataque de «ransomware» se ha duplicado en un año, aumentando desde 761,106 dólares en 2020 a 1,85 millones de dólares en 2021.
Los resultados mundiales también muestran que sólo el 8 % de las empresas consiguen recuperar todos sus datos tras pagar un rescate, con un 29% que solo recupera la mitad de los datos robados.
El coste medio de la recuperación tras un ataque de ransomware es ahora 10 veces mayor que el coste que supone el pago del rescate, de media
En este sentido, deben tenerse presente las siguientes consideraciones al respecto:
- El coste medio global para remediar un ataque de «ransomware» se ha duplicado en los últimos 12 meses. El coste de recuperación, incluyendo el tiempo de inactividad de la empresa, la pérdida de pedidos o costes operacionales entre otros aumenta de una media de 761.106 dólares en 2020 a 1,85 millones de dólares en 2021. Lo que supone que el coste medio de la recuperación tras un ataque de «ransomware» es ahora 10 veces mayor que el coste que supone el pago del rescate, de media.
- Los rescates pagados fueron de 170.404 dólares de media.
A pesar de que el pago más alto realizado por alguno de los encuestados fue de 3,2 millones de dólares, el rescate medio pagado más común alcanzó los 10.000 dólares.
Por ejemplo, es interesante tener en cuenta que 10 empresas encuestadas pagaron rescates de 1 millón de dólares o más.
- El número de empresas que han pagado el rescate aumenta desde el 26% en 2020 hasta un 32% en 2021, a pesar de que ni 1 de cada 10 (8%) recuperaron todos sus datos.
Consecuentemente con la publicación de estos datos, es imprescindible que las empresas, asuman determinadas prácticas vinculadas con la ciberseguridad, como un elemento más del cumplimiento normativo, en aras precisamente de prevenir dichos ciberataques, y tal como viene señalándose, para paliar y mitigar sus consecuencias una vez que dicho «ransomware», y otros ciberataques se han producido.
Buenas prácticas
Como ejemplos de buenas prácticas en este sentido, pueden indicarse las que se citan seguidamente[ii]:
- Hay que asumir que cualquier empresa puede ser atacada.
El ransomware sigue siendo muy frecuente.
Ningún sector, país o tamaño de empresa es inmune al riesgo.
Es mejor estar preparado y no llegar a ser golpeado, que al revés.
- Hay que realizar copias de seguridad y mantener una copia offline.
Las copias de seguridad son el método más utilizado por las empresas encuestadas para recuperar sus datos tras un ataque.
Hay que optar por el enfoque común en el sector del 3:2:1 (tres conjuntos de copias de seguridad, usando dos métodos diferentes y una de ellas guárdala «offline»).
- Es necesario desplegar una protección por capas.
Dado que cada vez hay más ataques de ransomware que implican extorsión, es más importante que nunca mantener a los adversarios alejados desde el primer momento.
Por ello, se hace necesario utilizar una protección por capas para bloquear a los atacantes en el máximo número posible de puntos del perímetro
- Del mismo modo, es preciso combinar la intervención de expertos con tecnología antiransomware.
La clave para detener el ransomware es una defensa profunda que combine tecnología dedicada al antiransomware y caza de amenazas dirigida por humanos.
La tecnología proporciona la escalabilidad y la automatización que necesita una empresa, mientras que los expertos son los más capaces de detectar las tácticas, técnicas y procedimientos que indican que un atacante está intentando entrar en el entorno.
Si no dispone de las habilidades necesarias internamente, se hace necesario considerar la posibilidad de recurrir a una empresa especializada en ciberseguridad: los Centros de Operaciones de Seguridad (SOC’s) son ahora una opción realista para empresas de todos los tamaños.
- Constituye un error pagar por el rescate de la información secuestrada o encriptada.
Es fácil de decir, pero mucho más difícil de hacer cuando una empresa está paralizada por un ataque de ransomware.
Independientemente de cualquier consideración ética, pagar el rescate es una manera muy poco efectiva de recuperar los datos.
Si finalmente se adoptar la decisión de ceder y aceptar la realización del pago exigido por los ciberdelincuentes, hay que tener presente que los atacantes restaurarán, de medio, solo dos terceras partes de los archivos objeto de dichas malas prácticas, descartándose la recuperación de toda la información en su integridad.
- Finalmente, debe contarse con plan de recuperación de malware.
La mejor manera de evitar que un ciberataque se convierta en una brecha completa es prepararse con antelación.
Las empresas que son víctimas de un ataque suelen darse cuenta de que podrían haber evitado importante pérdidas financieras y problemas si hubieran contado de manera oportuna y preventiva, con un plan de respuestas ante este tipo de incidentes.
La adopción de estas buenas prácticas no excluye la existencia de otras medidas de carácter preventivo, que trate de mitigar las consecuencias que se derivan de este tipo de ciberataques, que pueden ser de lo más variado.
Consejos desde el Incibe
En este sentido, por ejemplo, debe preverse que dicho ataque no solo puede llevarse a cabo contra los servidores donde se encuentre almacenada principalmente la información operativa de la empresa, sino que incluso, el mismo puede derivarse también contra los servidores de respaldo donde se guarda la misma, haciendo mucho más compleja cualquier operación de recuperación de los datos en su conjunto.
Para prevenir ciberataques, el compromiso del factor humano es esencial. Por ello se deben definir políticas, buenas prácticas y rutinas, así como sistemas tecnológicos de protección e instrumentos para transferir los riesgos, para reducir la incidencia de los ataques cibernéticos
Desde el Incibe, se recomienda la adopción de las siguientes medidas fundamentalmente de carácter organizativo, para evitar o al menos paliar los ataques de «ransomware», que son las siguientes:
- Establecer políticas sobre el uso de los dispositivos en la oficina y en movilidad, incluyendo el acceso remoto a equipos o servidores.
- Habilitar un sistema de acceso a la información limitado, en el que cada trabajador cuente con los permisos para consultar y disponer de la información necesaria y mediante el cual se puedan rastrear accesos y modificaciones.
- Asegurar el uso de contraseñas robustas e individuales, que se cambian con frecuencia y no se comparten ni se reutilizan. El acceso a servicios críticos debe estar protegido por sistemas más robustos de doble autenticación.
- Establecer procesos de formación y educación para que todos los empleados sean conscientes de los ciberriesgos, fomentando que cualquier actividad «online» que se salga de la rutina o sea arriesgada (como el envío de información confidencial) sea autorizada por el responsable de la ciberseguridad.
- Extender el uso de acuerdos de confidencialidad que vayan más allá de la finalización del contrato de trabajo.
- Poner en marcha políticas de uso y acceso a la información, así como medidas para protegerla. Además, se deben definir una serie de buenas prácticas para gestionar la fuga de información.
- Llevar a cabo copias de seguridad con frecuencia, así como test para comprobar que todo está correctamente almacenado y es posible recuperarlo. Así, en caso de incidente, la recuperación podrá ser más rápida.
- Mantener los equipos actualizados, incluyendo el software y los antivirus. Un programa desactualizado es siempre más vulnerable.
Por todo ello, y ante las graves e imprevisibles que estos ataques están produciendo, esta situación está motivando la generación y el desarrollo de nuevas tecnologías, que tienen por objetivo básicamente la resilencia de los datos frente al ransomware y otros ciberataques, y a través de las mismas se pretende la monitorización activa de los datos en tiempo real, con lo que los tiempos de recuperación se aceleran sobre la base de puntos de restauración previamente validados, lo que permite a las empresas obtener una copia de sus datos de una manera mucho más accesible.
Todo ello, conduce a la consecuencia consistente en que debemos acercar la ciberseguridad a las personas, hacer que la sensibilización esté presente en todos los ámbitos de nuestras vidas y tomar iniciativas en torno a la fusión de la ciberseguridad y los negocios.
Reglas fundamentales que limitan las consecuencias de los ciberataques
No obstante, ello, dos son las reglas fundamentales que limitan las consecuencias derivadas de los ciberataques en cualquier organización.
La primera de ellas hace referencia a la responsabilidad individual y el sentido común que cada persona ha de tener, en su relación con la tecnología y la informática, evitando correr riesgos innecesarios, y poner en peligro la seguridad de la organización.
Y la segunda de ellas, estriba en la configuración de la ciberseguridad como un elemento más del «Compliance» de la persona jurídica, como un valor propio de la empresa, que cada directivo y trabajador debe interiorizar como un elemento más de su relación con el puesto de trabajo, y con los valores que la organización impone para el ejercicio de sus cometidos laborales y profesionales.
[i] El ransomware es un tipo de malware que bloquea los datos o el dispositivo de una víctima y amenaza para mantenerlo bloqueado.
Según el IBM Security X-Force Threat Intelligence Index 2023, los ataques de ransomware representaron el 17 por ciento de todos los ciberataques en 2022.Los primeros ataques de ransomware simplemente exigían un rescate a cambio de la clave de cifrado necesaria para recuperar el acceso a los datos afectados o el uso del dispositivo infectado. Mediante la realización de copias de seguridad de los datos de forma regular o continua, una organización podría limitar los costes derivados de este tipo de ataques de cibersecuestro y, a menudo, evitar el pago de la petición de rescate.
Sin embargo, en los últimos años, los ataques de cibersecuestro han evolucionado para incluir ataques de doble y triple extorsión, que aumentan considerablemente las apuestas, incluso para las víctimas que mantienen rigurosamente las copias de seguridad de los datos o pagan el rescate inicial.
Los ataques de doble extorsión añaden la amenaza de robar los datos de la víctima y filtrarlos en internet. Además, los ataques de triple extorsión amenazan con utilizar los datos robados para atacar a los clientes o socios comerciales de la víctima.
En este sentido, cfr. IBM “¿Qué es el ransomware?”. IBM
[ii] Cfr.: Encuesta Sophos. “El estado del ransomware 2021”. Sophos. Obra citada.