Durante la crisis de Covid-19 se ha producido otro brote en el ciberespacio: una pandemia digital impulsada por el ransomware.

El aumento de la frecuencia y la gravedad de los incidentes de ransomware se debe a varios factores: el creciente número de patrones de ataque diferentes, como las campañas de extorsión «dobles» y «triples»; un modelo de negocio criminal en torno al «ransomware como servicio» y las criptomonedas; el reciente aumento de las peticiones de rescate; y el aumento de los ataques a la cadena de suministro.

«El número de ataques de ransomware puede incluso aumentar antes de que la situación mejore», afirma Scott Sayce, Director Global de Ciberseguridad de AGCS. «No todos los ataques son selectivos. Por otro lado, la mayor adopción de criptomonedas, como el Bitcoin, que permiten realizar pagos anónimos, es otro factor clave en el aumento de los incidentes de ransomware.

Cinco áreas de enfoque

 En el informe, la AGCS identifica cinco tendencias en el ámbito del ransomware, aunque éstas están en constante evolución y pueden cambiar rápidamente en la carrera del «gato y el ratón» entre los ciberdelincuentes y las empresas:

  • El desarrollo del «ransomware como servicio» ha facilitado a los delincuentes la realización de ataques. Dirigidos como un negocio comercial, grupos de hackers como REvil y Darkside venden o alquilan sus herramientas de hacking a otros. También ofrecen una serie de servicios de apoyo. Como resultado, hay muchos más actores de amenazas maliciosas operando.
  • De la simple a la doble y a la triple extorsión… Las tácticas de «doble extorsión» van en aumento. Los delincuentes combinan el cifrado inicial de los datos o sistemas, o incluso, cada vez más, de sus copias de seguridad, con una forma secundaria de extorsión, como la amenaza de divulgar datos sensibles o personales. En este caso, las empresas afectadas tienen que gestionar la posibilidad de que se produzca tanto una interrupción importante de la actividad como una violación de los datos, lo que puede aumentar considerablemente el coste final del incidente. Los incidentes de «triple extorsión» pueden combinar ataques DDoS, encriptación de archivos y robo de datos, y no sólo se dirigen a una empresa, sino también a sus clientes y socios comerciales. Un caso notable fue el de una clínica de psicoterapia en Finlandia: se pidió un rescate al hospital. Al mismo tiempo, también se pidieron sumas más pequeñas a los pacientes a cambio de no revelar su información personal.
  • Ataques a la cadena de suministro: Hay dos tipos principales: los que se dirigen a los proveedores de software/servicios informáticos y los utilizan para propagar el malware (por ejemplo, los ataques a Kaseya o Solarwinds). O los que tienen como objetivo las cadenas de suministro físicas o las infraestructuras críticas, como el que afectó a Colonial Pipeline. Es probable que los proveedores de servicios se conviertan en objetivos principales, ya que a menudo suministran soluciones de software a cientos o miles de empresas y, por tanto, ofrecen a los delincuentes la posibilidad de obtener un mayor beneficio.
  • Dinámica de los rescates: Las peticiones de rescate se han disparado en los últimos 18 meses. Según Palo Alto Networks, la demanda media de extorsión en Estados Unidos fue de 5,3 millones de dólares en el primer semestre de 2021, un aumento del 518% respecto a la media de 2020; la demanda más alta fue de 50 millones de dólares, frente a los 30 millones del año anterior. La cantidad media pagada a los hackers es unas 10 veces inferior a la demanda media, pero esta tendencia general al alza es alarmante.
  • Pagar o no pagar: El pago de rescates es un tema controvertido. Las fuerzas del orden suelen desaconsejar el pago de las demandas de extorsión para no incentivar aún más los ataques. Incluso cuando una empresa decide pagar un rescate, el daño puede estar ya hecho. Restaurar los sistemas y permitir la recuperación de la empresa es una tarea enorme, incluso cuando una empresa tiene la clave de descifrado.

Principales impulsores de las pérdidas

Los costes de interrupción y restauración de la actividad empresarial son los principales impulsores de las ciberpérdidas, como los ataques de ransomware, según el análisis de siniestros de AGCS. Representan más del 50% del valor de los cerca de 3.000 siniestros cibernéticos del sector asegurador por valor de unos 750 millones de euros (885 millones de dólares) en los que ha participado en seis años.

El coste total medio de la recuperación y el tiempo de inactividad -una media de 23 días- de un ataque de ransomware se duplicó con creces en el último año, pasando de 761.106 dólares a 1,85 millones de dólares en 2021.

El aumento de los ataques de ransomware en los últimos años ha provocado un cambio importante en el mercado de los ciberseguros. Las tarifas de los ciberseguros han aumentado, según el corredor Marsh, mientras que la capacidad se ha reducido. Los suscriptores están poniendo cada vez más atención en los controles de ciberseguridad empleados por las empresas.

«Tres de cada cuatro empresas no cumplen los requisitos de AGCS en materia de ciberseguridad», explica Marek Stanislawski, Líder Global de Ciber Suscripción de la compañía. «Las empresas necesitan invertir en ciberseguridad. Las pérdidas pueden evitarse si las organizaciones siguen las mejores prácticas. Una casa con la puerta abierta tiene muchas más posibilidades de ser robada que una casa cerrada”, puntualiza.

Mejores prácticas de seguridad informática

 La AGCS ha publicado una lista de comprobación con recomendaciones para una gestión eficaz del ciberriesgo. «En alrededor del 80% de los incidentes de ransomware las pérdidas podrían haberse evitado si las organizaciones hubieran seguido las mejores prácticas», afirma Rishi Baviskar, Líder Global de Ciber Expertos de AGCS Risk Consulting.

«La aplicación regular de parches, la autenticación multifactorial, así como la formación en seguridad de la información y la concienciación y la planificación de la respuesta a incidentes son esenciales para evitar los ataques de ransomware. También constituyen una buena ciber higiene», subraya.