El número total de ataques de ransomware en la UE es mucho mayor que los reportados
- Actualidad
Los incidentes de ransomware de los que las empresas informan públicamente son solo la punta del iceberg, según un informe de la Agencia de la UE para la Ciberseguridad (ENISA). Según sus datos, el número total de ataques de este tipo es mucho mayor, lo que evidencia que existen deficiencias en los mecanismos de notificación en todo el territorio.
El informe sobre el panorama de amenazas sobre ataques de ransomware publicado, que acaba de publicar ENISA descubre las deficiencias de los mecanismos de notificación actuales en toda la UE. La agencia europea ha analizado 623 incidentes de ransomware en la UE, Reino Unido y Estados Unidos, que tuvieron lugar entre mayo de 2021 y junio de 2022, recopilados de informes de los gobiernos, empresas de seguridad, prensa, blogs verificados y, en algunos casos, fuentes relacionadas de la web oscura.
ENISA concluye que los grupos de ransomware (encontró al menos 47 actores de ransomware únicos) robaron en ese tiempo alrededor de 10 terabytes de datos cada mes y que el 58,2% de la información sustraída incluía datos personales de empleados. En el 94,2% de los incidentes, la agencia dice no saber si la empresa pagó el rescate o no. Sin embargo, cuando la negociación falla, los atacantes suelen exponer y hacer que los datos estén disponibles en sus páginas web. Esto es lo que sucede en general y es una realidad para el 37,88% de los incidentes. Por tanto, concluye que el 62,12% restante de las empresas llegaron a un acuerdo con los atacantes o encontraron otra solución.
Sin embargo, estas cifras solo pueden representar una parte del panorama general. En realidad, el estudio revela que el número total de ataques de ransomware es mucho mayor. En la actualidad, este total es imposible de capturar ya que aún hay demasiadas organizaciones que no hacen públicos sus incidentes o no informan sobre ellos a las autoridades pertinentes.
Además, la información sobre los incidentes revelados también es bastante limitada ya que, en la mayoría de los casos, las organizaciones afectadas desconocen cómo los actores de amenazas lograron obtener acceso inicial. Al final, pueden tratar el problema internamente (por ejemplo, decidir pagar el rescate) para evitar la publicidad negativa y garantizar la continuidad del negocio. Sin embargo, como recuerda ENISA, esto no ayuda a combatir la causa; al contrario, alienta el fenómeno y alimenta el modelo de negocio del ransomware.
En este contexto, la agencia está explorando formas de mejorar este informe de incidentes, y espera que la nueva Directiva de Seguridad de la Información y las Redes (NIS 2) cambie la forma en que se notifican los incidentes de ciberseguridad.
Recomendaciones
El estudio recomienda a las organizaciones que refuercen su resiliencia frente al ransomware, manteniendo actualizadas sus copias de seguridad, que éstas estén aisladas de red, y hacer al menos tres backups, dos en medios de almacenamiento diferentes, y una copia offline. También deben disponer de software de seguridad en los dispositivos de los usuarios, que esté diseñado para detectar la mayoría del ransomware y tomar medidas para restringir los privilegios administrativos.
Si se es víctima de un ataque, los pasos a seguir son ponerse en contacto con las autoridades nacionales de ciberseguridad o con las fuerzas del orden para recibir orientación; no negociar con los atacantes ni pagar el rescate, poner en cuarentena el sistema afectado, y visitar el portal No More Ransom, donde encontrarán herramientas de descifrado.
