El coste del ransomware: ¿por qué todas las empresas pagan de una forma u otra?

El ransomware es una de las amenazas cibernéticas más devastadoras que enfrentan las empresas en la actualidad. Puede causar daños irreparables a los sistemas, datos y la reputación de una empresa, y el daño financiero puede ser grave.

Exploremos la importancia financiera de los ataques de ransomware, que van mucho más allá de los pagos de rescate. Incluso las víctimas que se niegan a pagar incurrirán en gastos sustanciales y pérdida de ingresos por la duración del incidente en sí, durante todo el proceso de contención y recuperación, y potencialmente durante semanas y meses después.

Los ataques de ransomware pueden tener un impacto financiero desastroso en las empresas a través de costos directos e indirectos. Los costos directos generalmente incluyen el costo de cualquier rescate pagado (a cambio de una clave de descifrado para desbloquear datos cifrados, la promesa de no cumplir con las amenazas de filtrar datos robados o montar un ataque de denegación de servicio en los servidores públicos de la empresa, etc.), así como el costo de contratar expertos para eliminar el malware y restaurar los sistemas afectados. Los costos indirectos pueden incluir pérdida de productividad e ingresos debido al tiempo de inactividad, daños a la reputación, multas por incumplimiento y gastos legales.

Uno de los rescates más excesivos que se han concido públicamente fueron los $70 millones exigidos en el ataque de ransomware Revil contra el proveedor de software Kaseya. Las demandas de rescate varían ampliamente dependiendo de la sofisticación del atacante y la cantidad de inteligencia que ha reunido sobre cuánto puede pagar el objetivo, que varía de miles a decenas de millones de dólares.

La demanda de rescate a veces se determina como un porcentaje de los ingresos anuales de la empresa objetivo (generalmente 3%).

Según las estimaciones de los expertos, el pago del rescate solo representa una pequeña parte, a menudo tan solo el 15%, de los costos totales asociados con el ataque de ransomware.

El costo del tiempo de inactividad y la recuperación de datos perdidos después de un ataque de ransomware generalmente comprende una parte mucho mayor de los gastos generales de un ataque de ransomware. Después de un incidente de ransomware, el negocio promedio experimenta un período de recuperación de 22 días de tiempo de inactividad para reanudar las operaciones. El coste medio del tiempo de inactividad a menudo puede ascender a 50 veces más que la demanda de rescate.

A raíz de un ataque de ransomware, toda la empresa debe cambiar su atención a la recuperación, desde los equipos de operaciones de TI que restauran datos cifrados o dañados y reinician las operaciones hasta los equipos de marketing, legales, recursos humanos y otras organizaciones que manejan mensajes de crisis. Los costos adicionales de ransomware pueden incluir oportunidades de ventas perdidas, producción reducida de productos o servicios, daño a la reputación, tarifas para consultores externos y contratistas para acelerar los esfuerzos de recuperación, pérdida de capital en empresas que cotizan en bolsa, multas por parte de agencias reguladoras por no proteger los datos del cliente u otras violaciones de cumplimiento, multas pagadas a los clientes por no cumplir con los acuerdos de nivel de servicio, etc.

Además, los ataques de ransomware revelan puntos débiles en las defensas de ciberseguridad de una empresa, lo que requiere un análisis de datos forenses para identificar la vulnerabilidad que permitió el ataque, la construcción de un plan para cerrar esas brechas para evitar la recurrencia de un ataque similar, y luego, las inversiones adicionales necesarias en tecnología de ciberseguridad, procesos y habilidades de las personas para ejecutar el plan de remediación.

Se espera que el coste medio global de una violación de datos, sin incluir el pago real del rescate, alcance los $5 millones en 2023.  

No hay una respuesta única para todos al estimar el costo de los ciberataques destructivos. La pérdida financiera sufrida por las empresas puede variar mucho dependiendo de varios factores, incluyendo:

·        El tipo de datos cifrados o comprometidos en el ataque. Si los datos críticos están cifrados, la compañía puede tener que pagar un rescate para recuperarlos o abordar los costos de reemplazarlos si no se pueden recuperar de su estado cifrado.

·        Multas regulatorias, especialmente si se pierden o exponen datos particularmente sensibles.

·        Pérdida de productividad, ingresos y otros costos asociados con la incapacidad de la organización para llevar a cabo las operaciones comerciales normales.

·        Daño a la reputación. Los clientes y socios pueden optar por reducir o terminar su relación con el negocio por temor a la seguridad de los datos; las perspectivas de ventas pueden retrasar o alejarse de los acuerdos pendientes; la publicidad negativa puede afectar negativamente la confianza de los inversores y el precio de las acciones.

Al tomarse el tiempo para revisar todos estos factores, las empresas pueden tener una mejor idea de cuánto les podría costar a corto y largo plazo un ataque exitoso de una pandilla de ransomware, y por qué es necesario tener un plan de respuesta a incidentes.

Cuando las empresas pagan un rescate, pueden creer que están eliminando completamente el riesgo que representa el ciberataque. Esta es una ilusión peligrosa por varias razones:

·        Los atacantes aún pueden tener acceso activo a los sistemas y datos de la compañía.

·        Los atacantes pueden haber filtrado datos confidenciales que podrían divulgar públicamente si no se les paga.

·        Pagar el rescate no garantiza que los atacantes no lanzarán futuros ataques.

·        Pagar el rescate puede alentar a otros atacantes a dirigirse a la compañía.

Hay muchos ejemplos del impacto financiero de los ataques de ransomware en las empresas de todas las industrias, en todas las geografías, de todos los tamaños.

Según el Departamento de Justicia de los Estados Unidos, aproximadamente el 75% de todos los casos de ransomware involucran a pequeñas empresas. Y la investigación reciente muestra que el 60% de las pequeñas empresas que son víctimas de ataques cibernéticos salen del negocio dentro de los seis meses.

·        En septiembre de 2022, la pandilla de ransomware Hive se atribuyó la responsabilidad de cuatro víctimas en una semana. Los atacantes obtuvieron acceso a los sistemas de Empress EMS (Emergency Medical Services), un proveedor de servicios de ambulancia y respuesta a emergencias con sede en Nueva York. Más de 320.000 personas se vieron afectadas por este incidente.

·        Damart, una compañía francesa de ropa con más de 130 tiendas en todo el mundo, fue afectada por un ataque de ransomware en 2022, donde los atacantes exigieron un rescate de $2 millones. Como resultado de la infección de ransomware, su capacidad para procesar nuevos pedidos se vio afectada y la atención al cliente no estuvo disponible.

·        Nvidia sufrió un incidente de ransomware en 2022 que filtró las credenciales de los empleados y la información propietaria en línea. El grupo de ransomware Lapsus$ afirmó haber exfiltrado un terabyte de datos de la compañía y exigió un rescate de $1 millón más un porcentaje de una tarifa no especificada.

·        Lincoln College en Lincoln, Illinois, tuvo que cerrar sus puertas después de un ataque de ransomware en diciembre de 2021, bloqueando todos sus sistemas de reclutamiento, retención y recaudación de fondos.

Estos ejemplos ilustran el impacto financiero variable y el costo real que los ataques de ransomware pueden tener en las empresas, dependiendo del tamaño y el tipo de negocio, el alcance del ataque y la respuesta al ataque.

Los atacantes de ransomware se dirigen a las víctimas en todas las industrias, aunque ciertos sectores verticales se ven favorecidos por su vulnerabilidad a presiones externas específicas, por ejemplo, atención médica, finanzas, gobierno, educación y tecnología.

Industria de atención médica: los hospitales a menudo tienen datos confidenciales de pacientes que los atacantes pueden explotar, y muchos están menos protegidos que otras industrias con respecto a la ciberseguridad. El bloqueo de los sistemas de prestación de atención médica puede poner en riesgo la vida de los pacientes.

Finanzas: los bancos y otras instituciones financieras almacenan datos confidenciales de los clientes. Los atacantes pueden usar estos datos financieros para extorsionar a las víctimas o cometer robo de identidad. Los reguladores de la industria y el gobierno pueden imponer sanciones severas a las empresas que violen las normas de cumplimiento sobre privacidad de datos.

Agencias gubernamentales: las instituciones y agencias gubernamentales a menudo poseen o administran datos de infraestructura crítica o información clasificada, y los atacantes pueden usar estos datos para chantajear a las víctimas o interrumpir las operaciones. Los líderes políticos son sensibles a que las reacciones públicas de los servicios constitutivos críticos se desconecten durante períodos prolongados.

Instituciones educativas: las organizaciones educativas a menudo retienen información de identificación personal (PII, por sus siglas en inglés) o documentos de investigación. Los atacantes pueden usar esta información para extorsionar a las víctimas o venderla en el mercado negro. Las limitaciones de presupuesto y personal de TI, así como la tendencia de los estudiantes a ser descuidados con los sitios web a los que acceden y las aplicaciones que descargan, crean un entorno tecnológico con muchas más vulnerabilidades que las típicas del mundo comercial.

Tecnología: las empresas tecnológicas sufren muchos de los mismos problemas que otras empresas: pueden tener dificultades para mantenerse al día con los parches de vulnerabilidades conocidas y contrarrestar las últimas amenazas de seguridad. Pero su riesgo de daño a la reputación es mayor que el de las empresas no tecnológicas. Los clientes, prospectos y socios tienen más probabilidades de huir de una empresa de tecnología que se sabe que ha sufrido un ransomware exitoso u otro ataque de malware.

Según un informe reciente, los ataques de ransomware aumentaron drásticamente en 2022: el 25% de todas las infracciones involucraron ransomware. Además, el ransomware afectó al 66% de las organizaciones en 2021, un aumento del 78% con respecto a 2020.

La demanda promedio de rescate ha aumentado dramáticamente a medida que los atacantes se dan cuenta de que muchas organizaciones están dispuestas a pagar para evitar la interrupción significativa y los costos asociados con un ataque de ransomware. Por ejemplo, The Washington Post informó que los pagos de ransomware aumentaron un 70% en 2021.

El advenimiento de las criptomonedas como Bitcoin es otro habilitador importante del éxito y la capacidad de las pandillas de ransomware para continuar operando sin obstáculos por parte de las autoridades. Los pagos de rescate en criptomonedas son difíciles de rastrear y se pueden convertir fácilmente en efectivo. Además, muchas empresas de ciberdelincuencia operan en gran medida a través de la web oscura.

Los atacantes de ransomware ya no confían únicamente en los ataques de cifrado para extraer rescates de sus objetivos. Cada vez más, los atacantes filtran silenciosamente una cantidad significativa de datos confidenciales antes de desencadenar el ataque de ransomware. Ya sea que la víctima esté dispuesta o no a pagar por la clave de descifrado, es mucho más probable que pague para evitar que el atacante filtre datos confidenciales en línea y exponga al negocio a varios tipos de riesgos legales, de reputación y de cumplimiento.

Ha habido numerosos ejemplos de este tipo de ataques. Por ejemplo, Optus, una subsidiaria de Singtel y el segundo operador móvil más grande de Australia (con más de 10,5 millones de suscriptores), sufrió una violación de seguridad en septiembre de 2022. Los atacantes afirmaron haber obtenido los datos de 11 millones de clientes y exigieron un rescate de $1 millón.

Marriott International reveló que la información privada de 500 millones de huéspedes fue robada en una violación de datos en 2022. Cuando Twitter fue hackeado, docenas de cuentas de alto perfil fueron tomadas en un intento de estafar a las personas con criptomonedas.

El pago medio de ransomware es difícil de estimar con precisión. No se informan todos los ataques, y los costos incurridos pueden variar ampliamente dependiendo del tamaño y la naturaleza de la organización objetivo, la cantidad de datos cifrados y el rescate exigido. Sin embargo, algunas estimaciones sugieren que el costo de los ataques de ransomware podría ser de millardos de dólares por año.

Según el Informe de ciberamenazas de fin de año 2022 de Acronis , el coste total medio de una filtración de datos en Estados Unidos fue de casi $9,5 millones. Como se mencionó anteriormente, se espera que el costo promedio por incidente en todo el mundo supere los $5 millones en 2023.

En su Informe de Mercado de Ransomware 2022, los analistas de la industria Cybersecurity Ventures predicen que el ransomware costará a sus víctimas un total de $265 millardos al año para 2031.

Según los datos recopilados por Statista en una encuesta de 2022 a profesionales de TI globales, alrededor del 72% de los encuestados pagaron un rescate y recuperaron sus datos comprometidos.

Sin embargo, en comparación con 2021, los pagos de ransomware disminuyeron en más del 40% durante 2022, ya que las víctimas se resistieron a pagar a sus extorsionadores, según la firma de análisis de blockchain Chainalysis. Según el Informe de Criptocrimen 2023 de la firma, los atacantes de ransomware extorsionaron a las víctimas con $456,8 millones en 2022. Esto representa una disminución significativa de $765,6 millones en 2021 y $765 millones en 2020.

Las pólizas de seguro cibernético pueden cubrir ataques de ransomware, pero la cobertura específica y los términos de estas pólizas pueden variar según la aseguradora y la póliza comprada. Por ejemplo, algunas pólizas pueden cubrir pagos de rescate, mientras que otras solo pueden cubrir los costos de restauración de datos o sistemas.

Sin embargo, aunque muchas pólizas de seguro cibernético cubren ataques de ransomware, las tarifas de estas pólizas han aumentado drásticamente en los últimos años. Esto se debe al creciente número de ciberataques que tienen lugar en todo el mundo. Las compañías de seguros tienen una mejor comprensión de los riesgos de hacer negocios en línea, y están cobrando primas de seguro más altas como resultado.

El precio de la recuperación de un ataque de ransomware puede variar ampliamente dependiendo del alcance y la gravedad del incidente, y pagar un rescate no es el único costo involucrado.

Los costos de recuperación de ransomware incluyen gastos relacionados con la recuperación de datos, la restauración del sistema, el cumplimiento legal y regulatorio y el daño a la reputación, no solo los pagos de rescate reales. Según algunos informes, el coste medio de un ataque de ransomware es de $4,54 millones, sin incluir el coste de los pagos de rescate, que promedian $812.360.

Hay una serie de métodos que se pueden utilizar para recuperarse de un ataque de ransomware, pero el requisito más importante es tener una buena estrategia de copia de seguridad y recuperación ante desastres para que pueda restaurar sus datos si están cifrados.

También debe tener instalado un software antivirus, antimalware y de autenticación de dos factores para evitar la infección inicial. Además, es importante tomar medidas para evitar que se repitan los ataques, ya que el coste de la prevención suele ser mucho menor que el coste de la recuperación.

No solo las grandes empresas con recursos considerables son víctimas de ataques cibernéticos, sino que estos ataques también afectan a las empresas más pequeñas con presupuestos más ajustados y menos experiencia.

Independientemente del tamaño de su organización, es vital contar con un plan sólido de copia de seguridad y recuperación ante desastres para garantizar la continuidad del negocio. Esto permite la restauración rápida de sus datos en caso de un compromiso del sistema.

·        Informar a los empleados sobre el ransomware y cómo funciona. Los empleados deben ser conscientes de los riesgos asociados con la apertura de archivos adjuntos en correo electrónico y hacer clic en enlaces de fuentes desconocidas.

·        Implementación de medidas de seguridad como firewalls, sistemas de detección y prevención de intrusiones, autenticación multifactor y filtrado de correo electrónico.

·        Mantener los sistemas y el software actualizados con los últimos parches de seguridad. Esto ayudará a cerrar cualquier vulnerabilidad conocida que los atacantes puedan explotar.

El ransomware es una amenaza en evolución, y las pequeñas empresas deben tomar medidas proactivas para protegerse contra las pérdidas financieras.

Al invertir en soluciones de ciberseguridad, capacitar al personal para detectar actividades sospechosas, tener copias de seguridad confiables para la recuperación de datos y un plan integral para lidiar con estas amenazas, las empresas pueden reducir los costos asociados con los ataques de ransomware.

Acronis Cyber Protect es una solución de protección cibernética integrada y rentable que utiliza inteligencia artificial (IA) para detectar actividad maliciosa y evitar que las empresas sean víctimas de ataques de ransomware. Funciona analizando el comportamiento de archivos y aplicaciones en un sistema, terminando procesos maliciosos y revirtiendo automáticamente cualquier daño causado.

Incluye un sólido motor antiransomware que detecta y bloquea de forma proactiva los intentos de cifrar o eliminar sus datos, y protege contra otros tipos de malware. Además, Acronis Cyber Protect puede restaurar rápidamente cualquier dato cifrado por ransomware. Incluye las mejores capacidades de copia de seguridad de datos y recuperación ante desastres, lo que la convierte en una herramienta valiosa para las empresas.

¿Quiere ver Acronis Cyber Protect en acción? ¡Comience hoy mismo su período de prueba de 30 días!