La importancia de la detección y respuesta
El incremento de ataques cibernéticos es cada vez más preocupante.
Tras dos años con una elevada pero estable actividad de ciberataques, en 2023 se ha detectado un preocupante incremento de ataques de ransomware y extorsión, tal y como refleja Allianz Commercial en su informe anual sobre tendencias en ciberseguridad. Así, el panorama de las ciberamenazas continúa evolucionando.
Los hackers maliciosos se dirigen cada vez más a las cadenas de suministro tanto informáticas como físicas, lanzando ciberataques masivos y encontrando nuevas formas de extorsionar a las grandes y pequeñas empresas. La mayoría de los ataques de ransomware implican ahora el robo de datos personales o comerciales sensibles con fines de extorsión, lo que aumenta el coste y la complejidad de los incidentes, además de conllevar un mayor daño potencial a la reputación. Este estudio anual de Allianz Commercial muestra que el número de casos en los que los datos son exfiltrados aumenta cada año: se duplica del 40% en 2019 a casi el 80% en 2022, cifra que se superará 2023.
"La frecuencia de los siniestros cibernéticos ha repuntado de nuevo este año a medida que los grupos de ransomware continúan evolucionando sus tácticas", afirma Scott Sayce, Director Global de Cyber de Allianz Commercial. "Basándonos en la actividad de reclamaciones durante la primera mitad de 2023, esperamos ver alrededor de un aumento del 25% en el número de reclamaciones anuales a finales de año. Los hackers están centrados de nuevo en las economías occidentales con herramientas más potentes, procesos mejorados y mecanismos de ataque. Ante esta dinámica, es necesario tener una empresa bien protegida y desarrollar una rápida y potente capacidad de detección y respuesta".
¿Cómo está evolucionando el riesgo del ransomware?
Según el informe de Allianz Commercial Tendencias en ciberseguridad 2023: Las últimas amenazas y las mejores prácticas de mitigación de riesgos antes, durante y después de un hackeo, la frecuencia de las reclamaciones cibernéticas se estabilizó en 2022, lo que refleja la mejora de las acciones de ciberseguridad y gestión de riesgos. La persecución a grupos especializados en estos ataques, junto con el conflicto entre Ucrania y Rusia, también ayudaron a reducir la actividad del ransomware. Sin embargo, la actividad del ransomware por sí sola aumentó un 50% interanual durante el primer semestre de 2023. Los denominados kits de ransomware como servicio (RaaS), con precios a partir de 40 dólares, siguen siendo un factor clave en la frecuencia de los ataques. Las bandas de ransomware también están llevando a cabo más ataques y con mayor rapidez: la media de días necesarios para ejecutar un ataque cae de alrededor de 60 días en 2019 a tan solo cuatro.
"Los incidentes de doble y triple extorsión -que utilizan una combinación de cifrado, exfiltración de datos y ataques distribuidos de denegación de servicio- para obtener dinero no son nuevos, pero ahora son más frecuentes", afirma Michael Daum, Director Global de Siniestros Cibernéticos de Allianz Commercial. "Varios factores se están uniendo para hacer que la filtración de datos sea más atractiva para los autores de estas amenazas. El alcance y la cantidad de información personal que se recopila es cada vez mayor, mientras que las normativas sobre privacidad y violación de datos son cada vez más estrictas en todo el mundo. Al mismo tiempo, las tendencias hacia la externalización y el acceso remoto conducen a más interfaces que estos expertos pueden explotar".
La filtración de datos puede incrementar significativamente el coste de un siniestro o una ciber demanda. Tales incidentes pueden tardar más en resolverse, mientras que los análisis de la informática forense pueden ser extremadamente caros. Si se han robado datos, las empresas deben saber exactamente qué datos se han filtrado y es probable que tengan que notificarlo a los clientes, que podrían reclamar una indemnización o amenazar con un litigio.
Este año también se han producido varios ataques masivos de ransomware de gran envergadura, ya que los autores de las amenazas utilizaron exploits de software y puntos débiles en las cadenas de suministro informáticas para atacar a varias empresas. Por ejemplo, el ciberataque masivo MOVEit, que explotó un producto de software de transferencia de datos afectando a millones de personas y miles de empresas, contribuyó al aumento de la frecuencia de reclamaciones en 2023 hasta la fecha, afectando simultáneamente a múltiples asegurados.
"Cabe esperar más ciberataques masivos en el futuro", afirma Daum. "Las empresas y sus aseguradoras deben comprender mejor la interconectividad y las dependencias que existen entre las organizaciones y dentro de las cadenas de suministro digitales".
Creciente número de casos de ciberataques públicos
En el pasado, el número de incidentes cibernéticos que se hacían públicos era bajo. Hoy en día, es una historia diferente ya que con la exfiltración de datos, los hackers amenazan con publicar los datos robados. El análisis de Allianz Commercial sobre las grandes pérdidas cibernéticas (más de 1 millón de euros), muestra que la proporción de casos que se hacen públicos aumentó de alrededor del 60% en 2019 al 85% en 2022, y en 2023 será aún mayor. "Hoy en día, si se produce una filtración de datos, es probable que se haga pública, y todas las empresas deben estar preparadas para ello", afirma Rishi Baviskar, director global de Consultoría de Riesgos Cibernéticos de Allianz Commercial.
Con consecuencias financieras y de reputación potencialmente costosas, las empresas pueden sentirse más presionadas a pagar rescates por el robo de datos. El número de empresas que pagan un rescate ha aumentado año tras año: de solo el 10% en 2019 al 54% en 2022 (datos extraídos únicamente del análisis de grandes pérdidas, de más de 1 millón de euros). Las empresas tienen dos veces y media más probabilidades de pagar un rescate si los datos se filtran, además del cifrado.
Sin embargo, pagar un rescate por los datos filtrados no resuelve necesariamente el problema. La empresa puede seguir enfrentándose a litigios con terceros por la filtración de datos, especialmente en Estados Unidos. De hecho, hay pocos casos en los que una empresa deba creer que no hay otra solución que pagar el rescate para poder volver a acceder a sus sistemas o datos. Cualquier parte afectada debe siempre informar y cooperar con las autoridades.
La importancia de una detección precoz y una respuesta rápida a las ciberamenazas
Proteger una organización contra las intrusiones sigue siendo el juego del gato y el ratón, en el que los ciberdelincuentes llevan ventaja. El análisis de Allianz Commercial de más de 3.000 siniestros cibernéticos en los últimos cinco años muestra que la manipulación externa de los sistemas es la causa de más del 80% de todos los incidentes. Los autores de las amenazas están explorando ahora formas de utilizar la inteligencia artificial (IA) para automatizar y acelerar los ataques, creando malware, phishing y simulación de voz potenciados por IA más eficaces. Junto con los dispositivos móviles conectados -Allianz Commercial ha observado un número creciente de incidentes causados por una ciberseguridad deficiente en este ámbito-, las vías de ataque solo tienen perspectivas de aumentar.
Prevenir un ciberataque es cada vez más difícil. Por lo tanto, las capacidades y herramientas de detección y respuesta tempranas adquieren mayor relevancia. Alrededor del 90% de los incidentes se contienen pronto. Sin embargo, si no se detiene un ataque en sus primeras fases, se reducen enormemente las posibilidades de evitar que se convierta en algo mucho más grave y costoso.
"La ciberseguridad tradicional se ha centrado en la prevención con el objetivo de mantener a los atacantes fuera de una red", afirma Baviskar. "Aunque la inversión en prevención reduce el número de ciberataques exitosos, siempre quedará una 'brecha' que permitirá a los ataques colarse. Por ejemplo, no es posible evitar que todos los empleados hagan clic en correos electrónicos de phishing cada vez más sofisticados".
Las empresas deberían dirigir el gasto adicional en ciberseguridad a la detección y respuesta, en lugar de limitarse a añadir más capas de protección y prevención. Sólo un tercio de las empresas descubre una violación de datos a través de sus propios equipos de seguridad. Sin embargo, la tecnología de detección precoz está fácilmente disponible y es eficaz.
"Los sistemas de detección mejoran constantemente y pueden ahorrar mucho trabajo, reduciendo los tiempos. Esto es algo que buscamos en nuestras evaluaciones y suscripciones de ciber riesgos", añade Baviskar.
Las brechas cibernéticas que no se detectan y contienen a tiempo pueden ser hasta 1.000 veces más caras que las que sí se detectan, destaca el análisis de Allianz Commercial, y muestra que la detección y respuesta tempranas pueden evitar que una pérdida de 20.000 euros se convierta en una de 20 millones de euros.
"La prevención determina la frecuencia de los ataques y la respuesta es responsable de la importancia de la pérdida, tanto si se trata de un incidente informático menor como de una crisis corporativa", afirma Daum. "Creemos que las empresas pueden prepararse de forma significativa y que hay margen de mejora en la forma de responder a estas amenazas. Así, las capacidades de detección y respuesta tempranas serán clave para mitigar el impacto de los ciberataques y garantizar un mercado de ciberseguros sostenible en el futuro".