El porcentaje de empresas afectadas por ataques de ransomware continúa incrementándose y ha pasado del 37% en 2020 al 66% en 2021, según un estudio elaborado por Sophos en el que han participado 5.300 empresas de todo el mundo de entre 100 y 5.000 empleados.
En concreto, de las empresas españolas que respondieron, esta cifra se incrementó hasta el 71%.
Ricardo Maté, director general de Sophos para el sur de Europa, ha sido el encargado de presentar el estudio, que revela que los sectores más afectados por esta situación son la energía, los medios de comunicación y el retail.
Maté ha explicado que la efectividad de los ataques es "cada vez mayor", ya que el éxito de los atacantes detectados en el cifrado de la información a nivel mundial ha pasado de ser del 54% en 2020 al 65% en 2021, aunque aquellos basados en la extorsión han disminuido, del 7% al 4%.
Además, el volumen ha subido un 57%, mientras que la complejidad lo ha hecho en un 59% y el impacto un 53%.
La media de los rescates en España se sitúa en los 174.660 dólares
Todo ello se ha visto reflejado en la cantidad del rescate demandado por los ciberdelincuentes, ya que, según ha precisado el director general de Sophos para el sur de Europa, al tener que dedicar más tiempo en su elaboración debido a una mayor complejidad, el dinero que demandan es cada vez más elevado porque a las firmas "no les queda más remedio que pagar".
Así, aquellos en los que se solicitan un millón o más de dólares se han multiplicado por 3 en apenas un año en todo el mundo, de acuerdo con las 965 empresas que han compartido su importe para el estudio.
El informe apunta que, aunque en el 21% de los ataques se piden rescaten de menos de 10.000 dólares (9.440 euros), el pago medio fue de 812.360 dólares (766.985 euros).
Maté ha precisado que en sectores como la fabricación o la energía, al tener un impacto mayor, fue más elevado y la media se situó en los 2 millones de dólares (1,8 millones de euros).
En España, concretamente, la media de pago alcanzó los 185.000 dólares (174.660 euros).
El portavoz de Sophos ha señalado que la dificultad no solo se encuentra en dar respuesta a una amenaza, sino también en la recuperación posterior una vez solventada. Según ha explicado, el tiempo medio se sitúa en un mes tras el ataque de ransomware.
[En busca de propuestas para impulsar la ciberseguridad en España y su uso en las pymes]
A ello se suma el coste económico que afronta la empresa para volver a ser productiva, que, a nivel mundial, en 2020 fue de 1,85 millones de dólares (1,6 millones de euros), mientras que en 2021 fue de 1,4 millones (1,3 millones de euros), una reducción que se justifica en el aumento de planes de prevención ante incidencias puestos en marcha por las compañías.
Al contrario, en España esta cifra se ha incremento, pasando de 600.000 dólares (566.600 euros) en 2020 a 750.000 dólares (708.250 euros) en 2021.
El informe subraya que hay sectores cuyo tiempo medio de recuperación es mayor, entre ellos la educación o el Gobierno, frente a otros como el de fabricación o los servicios financieros, que tardan menos en volver a operar de forma normal.
Maté ha precisado que, en el caso de las pymes, el impacto es mucho mayor y hay casos en los que llegan incluso a desaparecer porque no pueden hacer frente al rescate que les solicitan o, si pueden, no tienen la capacidad necesaria para retomar su actividad previa al ataque.
15 días dentro de las empresas antes del ataque
El informe elaborado por Sophos también apunta que la media de tiempo que los atacantes han estado dentro de las organizaciones antes de lanzar un ataque ha sido de 15 días, frente a los 11 de 2020, aunque la cantidad aumentaba a los 34 días si no había ransomware, es decir, en caso de que la motivación no fuese económica, sino otras como robar información.
Además, desde el momento en el que han conseguido hacerse con todos los datos hasta que lanzan el ataque de media pasan 4 días.
En un 47% de los casos, la manera de entrar de los atacantes en el sistema fue a través de una vulnerabilidad en el software y la manera de moverse dentro del mismo fue mediante un RDP (remote desktop protocol) en un 82% frente al 69% de 2020.
[El Incibe gestionó más de 130.000 incidentes de ciberseguridad en 2020]
Maté ha señalado que Conti fue el grupo más activo de todos los ciberdelincuentes en un 18% frente al 5% del ejercicio previo y la vulnerabilidad detectada en Microsoft Exchange, Proxy Logon o Proxy Shell, fue la más utilizada para entrar.
El portavoz de Sophos ha precisado que han notado un crecimiento en el poder de los intermediarios de acceso inicial, es decir, usuarios que se dedican a buscar recovecos para entrar en la seguridad de las empresas y venden este método a los ciberdelincuentes.
Además, en la ecuación de la seguridad online ha entrado otro componente fundamental como son los ciberseguros.
El 92% de las firmas cuentan con un ciberseguro
Según el informe, el 92% de las empresas consultadas disponen de uno y, de ellas, el 83% disponen de cobertura específica para ransomware que cubre los costes de recuperación y, en ocasiones, incluso el pago del rescate. En España esta cifra baja al 51%.
No obstante, debido a la complejidad de los ataques y a su proliferación, también han aumentado las exclusiones presentes en las pólizas (un 34%), donde se exigen una serie de condiciones como la definición de una respuesta ante incidentes o de productos certificados por ellos.
Maté ha explicado que hay empresas cuyo enfoque actual en ciberseguridad es ineficiente, ya que utilizan herramientas dispares y que consumen muchos recursos, todavía aplican procesos manuales de detección o respuestas, solo contemplan respuestas reactivas.
Desde Sophos precisan que algunos de los puntos esenciales que deben tener en cuenta las empresas en materia de ciberdefensa es garantizar protección de alta calidad en todos los puntos de su entorno, así como cazar las amenazas potenciales o fortalecer el entorno informático.
A la par, resaltan la necesidad de disponer de un plan de respuesta ante ciberincidentes, hacer hacer copias de seguridad de forma recurrente, formar a los empleados y aplicar parches a las vulnerabilidades, especialmente en el acceso y la autenticación.