La tasa de cifrado de ransomware alcanza su máximo desde 2020
Más de tres cuartas partes de los ataques de ransomware el año pasado lograron cifrar los datos.
Sophos, líder mundial en innovación y entrega de ciberseguridad como servicio, publica los resultados de su informe anual "El Estado del Ransomware 2023", que revela que los ciberdelincuentes lograron cifrar los datos en el 76% de todos los ataques de ransomware contra las empresas encuestadas. Se trata de la tasa de cifrado de datos en ataques de ransomware más alta desde que Sophos empezó a realizar este informe en 2020.
La encuesta también revela que cuando las empresas pagan un rescate para recuperar sus datos, acababan duplicando los costes totales de recuperación (alcanzando los 750.000 dólares en costes de recuperación frente a los 375.000 dólares en el caso de las empresas que utilizaron copias de seguridad para recuperar sus datos). Además, pagar el rescate también suele implicar tiempo de recuperación más largos: el 45% de las empresas que utilizaron copias de seguridad se recuperaron en una semana, frente al 39% de las que pagaron el rescate.
De forma global, el 66% de las empresas encuestadas sufrieron un ataque de ransomware en 2022, coincidiendo con el mismo porcentaje que el año anterior. Lo que sugiere que la tasa de ataques de ransomware se ha mantenido estable, en contra de la percepción de una reducción de los ataques.
"Las tasas de cifrado de datos en ataques de ransomware han vuelto a niveles muy altos tras sufrir un bajón temporal durante los meses de pandemia, lo que resulta bastante preocupante. Los grupos de ransomware han estado refinando sus métodos y acelerando sus ataques para reducir el tiempo con el que cuentan los equipos de seguridad para interrumpirlos", explica Chester Wisniewski, CTO de Sophos. "Por otro lado, el coste de los ataques aumenta considerablemente cuando se pagan rescates. La mayoría de las víctimas no podrán recuperar todos sus archivos simplemente pagando por las claves de cifrado, también se verán obligados a reconstruir y recuperar sus datos a partir de copias de seguridad. Pagar rescates no sólo enriquece a los ciberdelincuentes, sino que ralentiza la respuesta al incidente y añade costes a una situación ya de por sí terriblemente cara".
Al analizar la causa raíz de los ataques de ransomware, la más común fue una vulnerabilidad explotada (implicada en el 36% de los casos), seguida de credenciales comprometidas (identificada en el 29% de los casos). Estos resultados coinciden con las conclusiones recientemente publicadas en el informe de Sophos Active Adversary Report 2023.
Entre las conclusiones del informe "El estado del ransomware 2023" destacan:
• En el 30% de los casos en los que se cifraron los datos, también se robaron, lo que sugiere que este método de "doble inmersión" (cifrado y extracción de datos) es cada vez más habitual.
• El sector de la educación fue el que registró el mayor nivel de ataques de ransomware: el 79% de las instituciones de educación superior encuestadas y el 80% de las de educación básica fueron víctimas de un ataque de ransomware.
• En general, el 46% de las empresas encuestadas en las que se cifraron los datos pagaron el rescate. Sin embargo, las empresas más grandes son mucho más propensas a pagar. De hecho, más de la mitad de las empresas con ingresos de 500 millones de dólares o superiores pagaron el rescate, con el promedio más alto entre las empresas que tienen ingresos de más de 5.000 millones de dólares al año. Esto puede deberse, en parte, al hecho de que las empresas más grandes tienen más probabilidades de tener un ciberseguro independiente que cubra el pago de rescates.
"Con dos tercios de las empresas informando de que han sido víctimas de los criminales del ransomware por segundo año consecutivo, es probable que hayamos llegado a un punto muerto. La clave para reducir esta cifra es trabajar para reducir drásticamente tanto el tiempo de detección como el tiempo de respuesta. La caza de amenazas dirigida por equipos humanos es muy eficaz para detener a estos ciberdelincuentes en su avance, pero las alertas deben investigarse y los atacantes deben ser desalojados de las redes empresariales en horas y días, no en semanas y meses. Los analistas experimentados pueden reconocer los patrones de una intrusión activa en cuestión de minutos y pasar a la acción. Esta es probablemente la diferencia entre el tercio que se mantiene a salvo y los dos tercios que no. Hoy en día, las empresas deben estar alerta 24/7 para levantar una defensa eficaz", afirma Wisniewski.