El pago promedio de los rescates de datos tras ciberataques a empresas ha aumentado un 500% en el último año. Las organizaciones que pagaron rescates indicaron que el pago promedio fue de 2 millones de dólares, frente a los 400.000 dólares de 2023. Sin embargo, los rescates son solo una parte de los costos.
De acuerdo con el informe anual “Estado del ransomware 2024” de Sophos, sin tener en cuenta los rescates, el gasto promedio de recuperación alcanzó los 2,73 millones de dólares, un aumento de casi un millón en comparación con los 1,82 millones de dólares reportados en 2023.
La encuesta de este año de la empresa de soluciones de seguridad, indica una ligera reducción en la tasa de ataques de ransomware, con un 59% de las organizaciones siendo afectadas, versus el 66% en 2023. Mientras que la posibilidad de ser atacado por ransomware aumenta a medida que crecen los ingresos, incluso las organizaciones más pequeñas (menos de 10 millones de dólares en ingresos) siguen siendo atacadas regularmente, con algo menos de la mitad (47%) afectadas por ransomware en el último año.
El informe de 2024 también descubrió que el 63% de las extorsiones fueron de un millón de dólares o más, con un 30% de las peticiones de más de 5 millones de dólares, lo que sugiere que los operadores de ransomware están buscando enormes sumas de dinero. Y este tipo de ataques no sólo afecta a las organizaciones con más ingresos encuestadas: casi la mitad (46%) de las organizaciones con ingresos inferiores a 50 millones de dólares recibieron una petición de rescate de siete dígitos en el último año.
“No debemos permitir que la ligera disminución en las tasas de ataques nos lleve a ser complacientes. Los ataques de ransomware siguen siendo la amenaza más dominante hoy en día y están alimentando la economía del cibercrimen. Sin el ransomware, no veríamos la misma variedad y volumen de amenazas y servicios previas que alimentan estos ataques. Los costos disparados de los ataques de ransomware contradicen el hecho de que este es un delito que afecta a todos por igual. El panorama del secuestro informático ofrece algo para cada cibercriminal, independientemente de su habilidad. Mientras que algunos grupos se centran en rescates multimillonarios, hay otros que se conforman con sumas más bajas al hacerlo en volumen”, dice John Shier, CTO de campo de Sophos.
Por segundo año consecutivo, las vulnerabilidades explotables fueron la causa más comúnmente detectada de los ataques, afectando al 32% de las organizaciones. Le siguieron de cerca las contraseñas comprometidas (29%) y el correo electrónico malicioso (23%). Las compañías víctimas en las que el ataque comenzó con vulnerabilidades explotables informaron de un impacto más grave para su organización, con una mayor tasa de riesgo para las copias de seguridad (75%), cifrado de datos (67%) y propensión a pagar el rescate (71%) que cuando los ataques comenzaron con contraseñas comprometidas.
Las compañías encuestadas también sufrieron un impacto financiero y operativo considerablemente mayor, con un costo medio de recuperación de 3,58 millones de dólares, frente a los 2,58 millones de dólares en los casos en los que los ciberataques comenzaron con contraseñas comprometidas, y una mayor proporción de organizaciones atacadas que tardaron más de un mes en recuperarse.
Menos de una cuarta parte (24%) de las organizaciones que pagan el rescate entregan la cantidad solicitada originalmente, y el 44% de los encuestados declararon haber pagado menos de la cantidad solicitada originalmente. El pago medio de un rescate fue del 94% de la petición inicial. En más de cuatro quintas partes (82%) de los casos, la financiación del rescate procedía de múltiples fuentes. En general, el 40% de la financiación total del rescate procedía de las propias organizaciones y el 23% de las aseguradoras. El 94% de las organizaciones afectadas por ransomware el año pasado afirmaron que los ciberdelincuentes intentaron poner en peligro sus copias de seguridad durante el ataque, porcentaje que se eleva al 99% en el caso de las entidades públicas locales y estatales. En el 57% de los casos, los intentos de vulnerar las copias de seguridad tuvieron éxito. En el 32% de los incidentes en los que se cifraron los datos, éstos también fueron robados (un ligero aumento con respecto al 30% del año pasado), lo que aumentó la capacidad de los atacantes para extorsionar a sus víctimas.
“La gestión del riesgo es la parte central de lo que hacemos como defensores. Las dos causas más comunes de los ataques de ransomware, la explotación de vulnerabilidades y la vulneración de contraseñas, son evitables, pero siguen afectando a demasiadas organizaciones. Las empresas deben evaluar de manera crítica sus niveles de exposición a estas amenazas y abordarlas de inmediato. En un entorno de defensa en el que los recursos son escasos, es hora de que las organizaciones también les impongan costos a los atacantes. Sólo subiendo el nivel de lo que se requiere para violar la infraestructura de las redes las organizaciones podrán maximizar sus inversiones en seguridad”, indica Shier.
Los datos del informe “Estado del ransomware en 2024” proceden de una encuesta vendor-agnostic realizada a 5,000 líderes de ciberseguridad/TI entre enero y febrero de 2024. Los encuestados se encuentran en 14 países de América, Europa, Oriente Medio y África y Asia-Pacífico. Las organizaciones encuestadas tienen entre 100 y 5,000 empleados, y sus ingresos oscilan entre menos de 10 millones de dólares y más de 5,000 millones de dólares.
En esta nota