Dos de cada tres empresas españolas han sufrido un ataque de ransomware en 2021

  • Actualidad

No hay lugar a dudas. El gran protagonismo este año en el campo de las ciberamenazas ha sido el ransomware, junto con los ataques a la cadena de suministro. Según los datos de CrowdStrike, dos de cada tres empresas españolas han sufrido un ataque de carácter extorsivo en el último año. El coste medio del rescate ha aumentado hasta los 1,79 millones de dólares y la mayoría de las empresas que los pagan sufre después una segunda extorsión.

Recomendados: 

Empresas data driven: estrategias de datos para marcar la diferencia Evento 

Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento

El ransomware y los ataques a la cadena de suministro han sido predominantes en 2021, según el informe anual sobre seguridad global de CrowdStrike, realizado por la firma de análisis Vanson Bourne.

Ataques recientes como los de Sunburst o Kaseya han puesto de manifiesto los peligros a los que se enfrenta la cadena de suministro; de hecho, según el estudio, el 63% de los responsables de seguridad admite que está perdiendo la confianza que tenía en los fabricantes tradicionales, como Microsoft, debido al incremento de incidentes que están observando en empresas que confían en ellos. Tres de cada cuatro (77%) responsables de seguridad consultados afirman que sus empresas han sufrido un ataque en su cadena de suministro y el 84 % teme sufrir algún incidente en su cadena de suministro en los próximos años. 

En España, en concreto, el 80 % de las empresas consultadas admite evitar a socios en los que perciben sistemas débiles de seguridad por miedo a sufrir un ataque indirecto y hasta el 37% ha perdido la confianza en sus socios después de analizar sus sistemas. Aun así, el 70% de los directores de seguridad de nuestro país sigue pensando que los máximos responsables de sus respectivas compañías no son conscientes de los peligros de un ataque a la cadena de suministro, a pesar de que cuatro de cada diez (39%) sufrió un incidente relacionado con la cadena de suministro en los últimos doce meses.

Dos millones de dólares anuales de pérdidas por ransomware
El estudio muestra la efectividad de los ataques de ransomware: los rescates han crecido un 62,7% en 2021 hasta alcanzar los 1,79 millones de dólares, frente a extorsiones medias de 1,1 millones de dólares en 2020, aunque según los servicios de inteligencia de CrowdStrike, las peticiones de rescate medio se acercan a los seis millones de dólares.

Pero más allá de esto, las empresas están alertando de una “doble extorsión”, ya que los ciberdelincuentes aprovechan la intención de pago de las víctimas para exigir más dinero si no quieren que se publiquen o vendan los datos robados: el 96% de las empresas que pagaron un rescate por descifrar sus datos fueron extorsionadas también para pagar más dinero, una media de 792.493 dólares.

Entre los datos que llaman la atención del estudio destaca el hecho de que más de la mitad de las empresas (57 %) no cuenta con una estrategia global de protección frente al ransomware y que dos de cada tres sufrieron un ataque relacionado con ransomware en los últimos doce meses. El pago medio de las extorsiones fue de 1,34 millones de dólares en EMEA.

En España, el 64% de las empresas consultadas recibió un ataque relacionado con ransomware en el último año pero solo un cuarto de las afectadas pagó el rescate (entre 250.000 y 2,5 millones de dólares). Al menos sirvió para que dos tercios de las afectadas mejorarán de alguna manera sus protocolos de protección. En cualquier caso, la mitad de los CSO españoles (48 %) alerta de que existe una falta de compromiso interno sobre concienciación en materia de ciberseguridad y, de hecho, según el 43 %, se mantiene la responsabilidad exclusiva de protección sobre el equipo técnico y no sobre el conjunto de profesionales de la compañía.

El hecho de que los ciberdelincuentes no estén alcanzando las sumas de dinero que exigen no implica que no estén teniendo un éxito arrollador en sus intenciones, ya que las empresas se han dado cuenta de la amenaza que puede suponer la exposición de sus datos al público, pero lo que más llama la atención es que no vayan en la buena dirección en lo que a detección y tiempos de respuesta se refiere.

60 minutos para acabar con un incidente, una utopía
Desde CrowdStrike se recomienda seguir la regla 1-10-60, según la cual los equipos de seguridad deben demostrar la capacidad de detectar una amenaza en el primer minuto desde que se inicia la intrusión, entender el incidente en 10 minutos y contener y erradicar el ataque en 60 minutos.

En la actualidad, se estima que las organizaciones tardan 146 horas en detectar un incidente, frente a las 117 horas que tardaban en 2020. Una vez detectado, necesitan 11 horas para entender cómo se ha producido y en qué consiste la amenaza, y 16 horas más para remediarla.

En España, la mayoría de las empresas necesitan un día completo tan sólo para detectar el incidente aunque hay algunas afortunadas –o bien preparadas-, tres de cada diez, que son capaces de hacerlo en una hora. Las quejas para tardar tanto se refieren a que se utilizan muchas soluciones diferentes que no están correctamente integradas como para tomar decisiones rápidas y coherentes, para el 45 %  de los expertos; y que es muy complicado responder a ataques modernos desde infraestructuras heredadas, para el 39 %.

Según el informe Threat Hunting de CrowdStrike publicado este mismo año, el equipo de Falcon OverWatch informaba de que los ciberdelincuentes solo necesitan 92 minutos de media para sobrepasar los sistemas de seguridad de una empresa, lo que muestra las dificultades de los equipos de seguridad, abrumados por el alto volumen de alertas y herramientas de protección que no facilitan los flujos de trabajo correctos para dar respuestas útiles ante un ataque.