El ransomware continúa siendo una de las amenazas más significativas en el panorama de la ciberseguridad. El último informe de Sophos indica que en 2024 cambiaron la frecuencia y el costo de los ataques. A pesar de que las tasas de ataques han mostrado una ligera disminución, los costos de recuperación han aumentado drásticamente. Conoce los hallazgos clave del informe, y ten una mejor comprensión de cómo navegar en este entorno desafiante.
Puntos a destacar
- En 2024, el 59% de las organizaciones sufrieron ataques, lo que representa una disminución del 66% respecto a los dos años anteriores.
- Aumento en los costos de recuperación: El costo medio de recuperación ha ascendido a $2.73 millones, un aumento del 50% respecto al año anterior.
- Uso de rescates: Más de la mitad de las víctimas (56%) pagaron el rescate para recuperar sus datos.
- Diversificación en métodos de recuperación: Casi la mitad de las organizaciones utilizaron múltiples métodos para recuperar datos cifrados.
- Incremento en los pagos de rescate: El pago promedio ha aumentado de $400,000 a $2 millones en un año.
Análisis del Estado del Ransomware en 2024
El informe de Sophos “Estado del Ransomware en 2024“ nos revela que, aunque las tasas de ataque han disminuido, “los costos generales de recuperación (excluyendo cualquier pago de rescate) han aumentado a $2.73 millones” (Sophos, 2024). En 2024, el 59% de las organizaciones informaron haber sido víctimas de ransomware. Este descenso es un indicativo positivo, pero con más de la mitad de las organizaciones aún afectadas, la vigilancia debe mantenerse.
“Si bien hemos visto que los ataques de ransomware han alcanzado una especie de ‘homeostasis’; o incluso disminuyen en algunos sectores, los ataques contra instituciones de salud siguen intensificándose tanto en número como en alcance. La naturaleza altamente sensible de la información médica y la necesidad de acceso constante a los datos convierten al sector salud en un objetivo principal para los ciberdelincuentes. Lamentablemente, los delincuentes han aprendido que pocas organizaciones de salud están preparadas para responder a estos ataques, lo que se refleja en los tiempos de recuperación cada vez más largos. Estos ataques pueden tener efectos devastadores, como hemos visto este año con incidentes importantes que han afectado la atención a los pacientes”, comentó en un comunicado de prensa John Shier, CTO de campo de Sophos.
“Para combatir a estos adversarios, las instituciones de salud deben adoptar un enfoque más proactivo y liderado por humanos para la detección y respuesta a amenazas, combinando tecnología avanzada con monitoreo continuo para adelantarse a los atacantes.”
Aumento en los costos de recuperación
El informe de Sophos sobre el estado del ransomware en 2024 revela una preocupante tendencia en relación con los costos de recuperación tras un ataque. A pesar de una ligera disminución en las tasas de ataques, donde el 59% de las organizaciones reportaron haber sido víctimas, los costos asociados a la recuperación han aumentado significativamente. En este año, el costo promedio de recuperación ha alcanzado los $2.73 millones, lo que representa un incremento del 50% respecto a los $1.82 millones reportados en 2023 (Sophos, 2024).
Este aumento se produce en un contexto donde las organizaciones enfrentan un panorama cibernético cada vez más complejo y costoso. La creciente dependencia de tecnologías digitales y la sofisticación de los ataques han impulsado a las empresas a invertir más en la recuperación de datos, así como en medidas preventivas y en fortalecer su seguridad.
Además, se ha observado que “tener su totalidad de dispositivos cifrados es extremadamente raro“, con solo el 4% de las organizaciones reportando que el 91% o más de sus dispositivos fueron afectados (Sophos, 2024). Esto indica que, aunque la mayoría de las organizaciones no sufren ataques completos, los costos de recuperación por los daños son cada vez mayores, lo que puede generar una presión financiera significativa para las empresas.
Las organizaciones deben considerar que los costos aumentan al diseñar sus estrategias de ciberseguridad y respuesta a incidentes. Es fundamental subrayar la necesidad de implementar medidas robustas de prevención y recuperación para minimizar el impacto financiero de posibles ataques en el futuro.
Mayores demandas y pagos de rescate
El informe destaca un aumento significativo en las demandas y pagos de rescate por parte de las organizaciones afectadas. Por primera vez, más de la mitad (56%) de las organizaciones que experimentaron cifrado de datos admitieron haber pagado el rescate para recuperar su información, lo que refleja un cambio notable en la dinámica de respuesta ante estos ataques (Sophos, 2024).
El costo medio de los rescates ha aumentado drásticamente, pasando de USD $400,000 a USD $2 millones en solo un año. Este incremento en las demandas se acompaña de un cambio en la disposición de las víctimas para cumplir con estas exigencias. Solo el 24% de los encuestados afirmó que el monto que pagaron coincidió con la suma originalmente solicitada. En contraste, el 44% pagó menos de lo que se demandó inicialmente, mientras que un 31% pagó más (Sophos, 2024).
Este panorama sugiere que, aunque las organizaciones están cada vez más dispuestas a pagar rescates, también están adoptando estrategias más cautelosas y negociadoras al enfrentar estas situaciones. El uso de copias de seguridad ha disminuido ligeramente, lo que podría indicar una mayor dependencia en los rescates, a pesar de los riesgos asociados con esta práctica.
Las empresas deben pensar bien antes de pagar rescates, ya que hacerlo puede tener consecuencias legales y éticas. Si se vuelve común pagar, los atacantes seguirán aprovechándose para ganar dinero. Por eso, es crucial mejorar la seguridad cibernética y buscar otras formas de recuperar datos sin cumplir con las exigencias de los atacantes.
Principales causas de los ciberataques
También se identifican las principales causas que facilitan los ataques de ransomware, destacando la importancia de abordar estas vulnerabilidades para mitigar futuros riesgos. Las contraseñas robadas y las vulnerabilidades de ciberseguridad no atendidas empataron como las causas más significativas de los ataques, cada una representando el 34% de los incidentes reportados (Sophos, 2024).
Este hallazgo resalta la verdadera necesidad de implementar buenas prácticas de manejo de contraseñas y políticas de seguridad que incluyan actualizar sistemas y corregir fallas conocidas. Los atacantes suelen aprovechar estas debilidades para acceder a las redes, poniendo en riesgo datos importantes y el funcionamiento continuo de la empresa.
Además, el informe sugiere que el 95% de las organizaciones afectadas por ransomware reportaron intentos de los ciberdelincuentes de comprometer sus respaldos durante el ataque. Esta estadística enfatiza la importancia de proteger los datos operativos, y también las copias de seguridad, ya que son un recurso vital para la recuperación tras un incidente.
El uso de contraseñas seguras y una rápida respuesta a vulnerabilidades dificulta que los atacantes implementen sus tácticas. Por lo tanto, es esencial que las empresas adopten un enfoque proactivo en su ciberseguridad, que incluya educación continua para los empleados sobre las mejores prácticas de seguridad y la implementación de tecnologías como la autenticación multifactor (MFA, Multi Factor Autentication) para reducir el riesgo de compromisos.
La autenticación multifactor (MFA) protege tus cuentas al solicitar varias pruebas de identidad al iniciar sesión. Además de tu contraseña, podrías necesitar un código que se envía a tu teléfono o un escaneo de huella digital. Esto hace que sea mucho más difícil para alguien más acceder a tus cuentas, incluso si tienen tu contraseña.
Al abordar estas causas, las organizaciones pueden fortalecer su postura de seguridad y disminuir la probabilidad de ser víctimas de ataques cibernéticos en el futuro.
Intentos de afectar los respaldos de información
El informe también revela una tendencia alarmante en los ataques de ransomware: el 95% de las organizaciones afectadas reportaron que los ciberdelincuentes intentaron comprometer sus respaldos de información durante el ataque (Sophos, 2024). Esta estrategia se ha vuelto común entre los atacantes, ya que acceder a los respaldos puede dificultar la recuperación de datos y obligar a las organizaciones a considerar el pago de rescates.
La intención de los atacantes de afectar los respaldos destaca la importancia crítica de proteger los datos operativos, y también las copias de seguridad. Cuando los ciberdelincuentes logran acceder a estos respaldos, pueden cifrarlos o eliminarlos, lo que puede dejar a la organización sin opciones efectivas para restaurar la información en caso de un ataque exitoso. Esto convierte a los respaldos en un objetivo prioritario para los atacantes, quienes buscan maximizar su poder de negociación al amenazar con pérdidas irreparables de datos.
Para proteger mejor los datos, las empresas deben asegurar sus sistemas de respaldo. Esto significa mantener las copias de seguridad separadas del resto de la red, usar cifrado para proteger la información y hacer pruebas regularmente para asegurarse de que los datos estén intactos y accesibles. También es importante tener reglas claras sobre cómo manejar y recuperar estos respaldos, con varias copias guardadas en distintos lugares.
Al fortalecer la seguridad de sus respaldos y adoptar un enfoque proactivo, las organizaciones pueden reducir significativamente el impacto de un ataque de ransomware y mantener su capacidad operativa incluso ante incidentes graves.
Probabilidades de pagar el rescate para recuperar datos
El informe indica que más de la mitad de las víctimas de ataques de ransomware (56%) han pagado el rescate para recuperar sus datos (Sophos, 2024). Este comportamiento muestra la creciente desesperación de las organizaciones que pierden información crítica y necesitan restaurar sus operaciones rápidamente.
La tendencia a pagar rescates ha aumentado a pesar de los riesgos asociados, como el fomento de una cultura de extorsión y la posibilidad de que los atacantes vuelvan a comprometer sistemas, incluso después de recibir el pago. El informe también revela que solo el 24% de los encuestados pagaron el monto original solicitado por los ciberdelincuentes; un 44% pagó menos y un 31% más, lo que indica que las organizaciones están adoptando un enfoque más estratégico y negociador en estos casos (Sophos, 2024).
Este incremento en la disposición a pagar rescates puede verse influenciado por la disminución en el uso efectivo de copias de seguridad. La caída en la recuperación a través de respaldos, que pasó del 70% en 2023 al 68% en 2024, sugiere que las organizaciones podrían estar perdiendo confianza en sus capacidades para recuperarse sin ceder a las demandas de los atacantes (Sophos, 2024).
Ante este panorama, es crucial que las organizaciones evalúen cuidadosamente las implicaciones éticas y legales de pagar rescates. Deben mejorar sus estrategias de prevención y recuperación, asegurándose de que los respaldos sean seguros y accesibles, y adoptando medidas proactivas para evitar ataques de ransomware. Esto puede reducir la probabilidad de pagar rescates en el futuro y mejorar la ciberseguridad.
Métodos de recuperación diversificados
El informe también destaca que muchas organizaciones están adoptando un enfoque multi-método para la recuperación de datos. Casi el 47% de las organizaciones afectadas utilizaron más de un método para recuperar sus datos cifrados, lo que refleja un cambio hacia estrategias más complejas y adaptativas.
Conclusión
En 2024, la situación del ransomware es mixta: los ataques han bajado, pero los costos y la complejidad de los incidentes han aumentado. Las organizaciones deben prepararse para estos desafíos mejorando su seguridad y diversificando sus estrategias de recuperación. La colaboración entre las organizaciones y las fuerzas del orden también es crucial para mitigar el impacto de estos ataques.
Basándonos en los hallazgos del informe, se proponen las siguientes recomendaciones:
- Mantener copias de seguridad actualizadas: Asegurarse de que las copias de seguridad estén actualizadas y sean accesibles para facilitar la recuperación (Sophos, 2024).
- Implementar estrategias proactivas: Adoptar un enfoque proactivo en la detección y respuesta a amenazas, combinando tecnología avanzada con monitoreo continuo (Sophos, 2024).
- Capacitación continua: Realizar capacitaciones regulares a los empleados sobre ciberseguridad y mejores prácticas para prevenir ataques.
- Adoptar múltiples métodos para recuperación: Utilizar más de un método para recuperar datos cifrados, como trabajar con fuerzas del orden o usar claves de descifrado que ya se han hecho públicas (Sophos, 2024).
- Evaluar proveedores y herramientas: Realizar auditorías periódicas sobre proveedores y herramientas utilizadas para identificar vulnerabilidades.
- Prácticas de manejo de contraseñas: Implementación de prácticas efectivas para el manejo de contraseñas es esencial para proteger la información sensible y la infraestructura de una organización. A través de la creación de contraseñas fuertes, el uso de gestores de contraseñas, la actualización regular, la autenticación multifactor y la educación continua, las empresas pueden fortalecer su postura de seguridad y reducir significativamente el riesgo de ciberataques.
- Educación continua en ciberseguridad: La educación continua y una cultura organizacional enfocada en la ciberseguridad son componentes esenciales para proteger a las organizaciones de amenazas cibernéticas. A través de capacitación regular, simulaciones prácticas y un enfoque colaborativo hacia la seguridad, las empresas pueden empoderar a sus empleados para que se conviertan en la primera línea de defensa contra los ataques. Al hacer de la ciberseguridad una prioridad cultural, las organizaciones pueden fortalecer su resiliencia frente a los desafíos del entorno digital actual.
Invitamos a los lectores a reflexionar sobre las medidas de seguridad en sus organizaciones y a implementar estrategias proactivas contra el ransomware. Mantenerse informado y preparado es clave para enfrentar esta amenaza en constante evolución.
Referencias
- Adam, S. (2024, April 30). The state of ransomware 2024. Sophos News. https://news.sophos.com/en-us/2024/04/30/the-state-of-ransomware-2024/
- Shier, J. (2024, June 10). It’s oh so quiet (?): The Sophos Active Adversary Report for 1H 2024. Sophos News. https://news.sophos.com/en-us/2024/04/03/active-adversary-report-1h-2024/
- Sophos. (2024, abril). The state of ransomware 2024. https://assets.sophos.com/X24WTUEQ/at/9brgj5n44hqvgsp5f5bqcps/sophos-state-of-ransomware-2024-wp.pdf
Glosario
- Autenticación multifactor (MFA): Técnica de seguridad que exige dos o más formas de identificación, como una contraseña y un código enviado por SMS.
- Ciberseguridad: Conjunto de prácticas y tecnologías diseñadas para proteger los sistemas informáticos de ataques maliciosos.
- Cifrado: Proceso de transformar información en un formato accesible solo con una clave específica, protegiendo su contenido.
- Demanda: Solicitud o exigencia hecha por los atacantes para recibir un pago a cambio de liberar datos secuestrados.
- Recuperación: Restaurar datos o sistemas tras un ataque cibernético, a menudo utilizando copias de seguridad.
- Rescate: Cantidad de dinero que los atacantes piden a las víctimas para devolver el acceso a sus datos o sistemas.
- Vulnerabilidades: Fallas o debilidades en un sistema informático que pueden ser aprovechadas por atacantes para obtener acceso no autorizado.
