El costo del ransomware: Por qué cada empresa paga, de una forma u otra

Ransomware es una de las ciberamenazas más devastadores que deben enfrentar las empresas en la actualidad. Puede causar daños irremediables a los sistemas, datos y reputación de una compañía; además, el daño financiero puede ser tremendo.

Exploraremos la importancia financiera de los ataques de ransomware, la cual va mucho más allá de los pagos por rescate. Incluso las víctimas que se rehúsan a pagar podrían incurrir en gastos sustanciales y perder ingresos durante la prolongación del incidente mismo, a lo largo del proceso de contención y recuperación, y posiblemente durante semanas y meses después.

Los ataques de ransomware pueden implicar un impacto financiero desastroso para las empresas mediante costos directos e indirectos. Los costos directos por lo general contemplan el costo de cualquier pago de rescate (a cambio de una clave de desencriptación para desbloquear los datos cifrados, una promesa de no seguir adelante con las amenazas para filtrar datos robados, o montar un ataque de negación de servicio a los servidores públicos de la empresa, etc.), así como el costo de contratar expertos para eliminar el malware y restaurar los sistemas perjudicados. Los costos indirectos pueden contemplar pérdida de productividad e ingresos por causa de la inactividad, daño a la reputación, multas por violación de cumplimiento y gastos legales.

Uno de los rescates más pronunciados en llegar al conocimiento público fueron los $70 millones de dólares que se exigieron en el ataque de ransomware de Revil al proveedor de software Kaseya. Las demandas de rescate varían bastante dependiendo de la sofisticación del atacante y de cuánta inteligencia haya reunido respecto a lo que el objetivo pueda llegar a pagar; variando de miles a decenas de millones de dólares.

La demanda del rescate en ocasiones se determina como un porcentaje de los ingresos anuales de la compañía objetivo (generalmente el 3%).

Según las estimaciones de los expertos, el pago por rescate solo considera una pequeña porción (a menudo tan solo el 15%), de los costos generales asociados con el ataque de ransomware.

El costo por inactividad y recuperación de los datos perdidos después de un ataque de ransomware por lo general comprende una parte mucho más grande de los gastos generales de un ataque de ransomware. Después de un incidente de ransomware, las empresas en promedio experimentan un periodo de recuperación de 22 días de inactividad para reanudar las operaciones. El costo promedio de inactividad con frecuencia puede considerarse como cincuenta veces más la exigencia del rescate.

En el amanecer de un ataque de ransomware, toda la compañía debe centrar su atención en la recuperación, desde los equipos de operación informática encargados de la restauración de datos encriptados o dañados y reinicio de las operaciones, a los equipos encargados de las áreas de marketing, asuntos legales, RR. HH. y otras organizaciones que gestionan mensajes en tiempos de crisis. Los costos de ransomware adicionales podrían contemplar oportunidades de ventas perdidas, servicios o productos reducidos, daño reputacional, honorarios por consultores y contratistas externos para agilizar los esfuerzos de recuperación, pérdida de patrimonio en sociedades de cotización oficial, multas por agencias normativas a raíz de la incapacidad de proteger datos de clientes u otras infracciones de cumplimiento, sanciones pagadas a los clientes por incapacidad de cumplir con los acuerdos de nivel de servicio, y así sucesivamente.

Además, los ataques de ransomware revelan puntos débiles en las defensas de ciberseguridad de una compañía, requiriendo de un análisis de datos forenses para identificar la vulnerabilidad que permitió el ataque, la elaboración de un plan para cerrar tales brechas a fin de prevenir la recurrencia de un ataque similar y luego las inversiones adicionales necesarias en tecnología de ciberseguridad, procesos y capacidad humana para ejecutar un plan correctivo.

El costo promedio de una filtración de datos, excluyendo el pago real por el rescate, se espera que alcance los $5 millones de dólares en 2023.

No existe una respuesta universal cuando se trata de la estimación del costo de los ciberataques destructivos. La pérdida financiera sufrida por las compañías puede variar en gran medida dependiendo de varios factores, incluidos:

• El tipo de datos encriptados o comprometidos en el ataque. Si se encriptan datos críticos, la compañía podría tener que pagar un rescate para recuperarlos o abordar el costo de reemplazarlos en caso de que no puedan recuperarse desde su estado encriptado.

• Multas reglamentarias, especialmente si se exponen o pierden datos sensibles.

• La pérdida de productividad, ingresos y otros costos asociados con la incapacidad de la organización para realizar operaciones comerciales habituales.

• Daño a la reputación. Los clientes y socios podrían decantarse por reducir o terminar su relación con la empresa por miedo a la seguridad de sus datos; las ventas potenciales podrían retrasarse o alejarse de acuerdos pendientes; la publicidad negativa podría afectar de manera adversa la confianza del inversionista y el precio de las acciones.

Al tomarse el tiempo de revisar todos estos factores, las compañías pueden obtener una mejor idea de cuánto un ataque exitoso dirigido por una banda especializada en ransomware podría costarles en el corto y largo plazo, y por qué es necesario tener un plan de respuesta a incidentes implementado.

Cuando las compañías pagan un rescate, podrían creer que están eliminando por completo el riesgo planteado por el ciberataque. Esta es una ilusión peligrosa por numerosas razones:

• Los atacantes podrían seguir teniendo acceso activo a los sistemas y datos de la compañía.

• Los atacantes podrían exfiltrar datos sensibles que pudieren divulgar al público en caso de no recibir un pago.

• Pagar un rescate no garantiza que los infractores no realizarán ataques futuros.

• Pagar el rescate podría propiciar que otros criminales fijen a la compañía como objetivo.

Existen varios ejemplos del impacto financiero de los ataques de ransomware en empresas de cada industria, en cada geografía y de cualquier tamaño.

De acuerdo con el Departamento de Justicia de los EE. UU., apenas el 75% de todos los casos de ransomware involucran la participación de pequeñas empresas. Y un estudio reciente demuestra que el 60% de las pequeñas empresas que son víctimas de ciberataques dejan la actividad económica dentro de seis meses.

• En septiembre de 2022, la banda especializada en ransomware, Hive, reclamó la responsabilidad por contabilizar cuatro víctimas en una semana. Los criminales obtuvieron acceso a los sistemas de Empress EMS (Servicios médicos de emergencia), un proveedor de servicios de ambulancia y respuesta a emergencias en New York. Más de 320.000 personas fueron afectadas por este incidente.

• Damart, una empresa de vestuario francesa con más de 130 sucursales en el mundo, fue víctima de un ataque de ransomware en 2022, en el cual los criminales exigieron un rescate de $2 millones. Como resultado de la infección de ransomware, su capacidad para procesar nuevas órdenes se vio impedida y la atención al cliente quedó fuera de servicio.

• Nvidia fue víctima de un incidente de ransomware en 2022 en el que se filtraron credenciales de empleados a información de propiedad en línea. El grupo de ransomware Lapsus$ afirmó haber exfiltrado un terabyte de datos de la compañía y exigió un rescate de 1 millón de dólares más un porcentaje en una tarifa sin especificar.

• Lincoln College en Lincoln, Illinois debió cerrar sus puertas luego de un ataque de ransomware en diciembre de 2021, bloqueando todos sus sistemas para reclutamiento, retención y recaudación de fondos.

Estos ejemplos ilustran la variedad en impacto financiero y el verdadero costo que los ataques de ransomware pueden tener sobre las empresas, dependiendo del tamaño y tipo de los negocios, el alcance del ataque y la respuesta al ataque.

El sector de la salud con frecuencia suele ser un blanco para los ataques de ransomware

Los especialistas en ransomware escogen víctimas en cada industria, aunque ciertos sectores verticales se ven favorecidos a raíz de su vulnerabilidad ante presiones externas específicas, por ej., atención de salud, finanzas, gobierno, educación y tecnología.

Industria de la atención de salud: Los hospitales con frecuencia poseen datos sensibles que los infractores pueden aprovechar y muchos cuentan con un nivel de protección deficiente en relación con otras industrias en materia de ciberseguridad. El bloqueo de los sistemas de entrega de asistencia de salud puede poner en riesgo las vidas de los pacientes.

Finanzas: Los bancos y otras instituciones financieras almacenan datos confidenciales de clientes. Los criminales luego pueden utilizar estos datos financieros para extorsionar dinero de las víctimas o cometer robo de identidad. Los reguladores industriales y gubernamentales pueden imponer sanciones rígidas a empresas que infringen las normas de cumplimiento referentes a la privacidad de los datos.

Agencias gubernamentales: Las instituciones y agencias gubernamentales con frecuencia poseen o gestionan datos de infraestructura crítica o información clasificada y los infractores pueden utilizar estos datos para chantajear a sus víctimas o interrumpir operaciones. Los líderes políticos son sensibles a las reacciones públicas cuando los servicios constituyentes cruciales quedan sin conexión durante periodos prolongados.

Instituciones educativas: Las organizaciones educativas a menudo retienen información de identificación personal (IIP) o documentos de investigación. Los criminales pueden utilizar estos datos financieros para extorsionar dinero de las víctimas o venderla en el mercado negro. Las restricciones de presupuesto y personal informático, así como la tendencia de los estudiantes a ser descuidados en los sitios web que visitan y con las aplicaciones que descargan, crean un entorno tecnológico con muchas más vulnerabilidades de lo habitual en el mundo comercial.

Tecnología: Las compañías de tecnología padecen varios de estos problemas al igual que otras empresas; podrían tener problemas para ponerse al día con el parchado de las vulnerabilidades conocidas y contrarrestar las últimas amenazas de seguridad. Aunque su riesgo de sufrir daño reputacional es mayor para las empresas no asociadas a fines tecnológicos; clientes, prospectos y socios suelen abandonar una compañía tecnológica de la cual se sepa que haya sufrido un ataque de ransomware exitoso o de otro malware en el pasado.

De conformidad con un informe reciente, los ataques de ransomware aumentaron de manera drástica en 2022; 25% de todas las filtraciones contemplaron presencia de ransomware. Además, el ransomware afectó al 66% de las organizaciones en el 2021; un incremento del 78% desde 2020.

La exigencia promedio por rescate se ha incrementado drásticamente a medida que los criminales comprenden que muchas organizaciones están dispuestas a pagar para evitar una interrupción importante y los costos asociados a un ataque de ransomware. Por ejemplo, The Washington Post informó que los pagos de ransomware alcanzaron un 70 por ciento en 2021.

El advenimiento de las criptomonedas como el Bitcoin es otro de los elementos impulsores relevantes en el éxito de las bandas especializadas en ransomware y en su capacidad para seguir operando a expensas de las fuerzas policiales. Los pagos por rescate en criptomoneda son difíciles de rastrear y pueden convertirse fácilmente en efectivo. Además, muchos de los negocios avocados al cibercrimen operan en gran medida en la web obscura.

Los criminales que utilizan ransomware ya no solo dependen de los ataques de encriptación para exigir rescates de sus objetivos. Con mayor frecuencia, los agresores exfiltran en silencio una cantidad importante de datos sensibles antes de activar un ataque de ransomware. Independiente de que la víctima esté dispuesta a pagar o no por la clave de desencriptación, es mucho más probable que paguen para evitar que el agresor filtre datos sensibles en línea y expongan la empresa a diversos riesgos de índole legal, reputacional y de cumplimiento.

Existen numerosos ejemplos de estos tipos de ataques. Por ejemplo, Optus, una subsidiaria de Singtel y el segundo operador móvil más grande de Australia (con más de 10,5 millones de suscriptores), sufrieron una filtración de seguridad en septiembre de 2022. Los intrusos afirmaban haber obtenido los datos de 11 millones de clientes y exigieron un millón de dólares en rescate.

Marriott International reveló que la información privada de 500 millones de huéspedes fue robada en una filtración de datos en 2022. Cuando Twitter fue hackeado, docenas de cuentas de gran reputación mediática fueron secuestradas en un intento por estafar a las personas mediante la transacción de criptomonedas.

El pago promedio por ransomware es difícil de estimar con precisión. No todos los ataques son informados y los costos incurridos pueden variar ampliamente dependiendo del tamaño y naturaleza de la organización bajo ataque, la cantidad de datos encriptados y del rescate exigido. Sin embargo, algunas estimaciones sugieren que el costo de los ataques de ransomware podría situarse en mil millones de dólares al año.

De acuerdo con el Informe de ciberamenazas de fin de año 2022 de Acronis, el costo total promedio de una filtración de datos en los Estados Unidos fue casi de $9,5 millones. Como se mencionó antes, el costo promedio por incidente en todo el mundo se prevé que exceda los $5 millones en 2023.

En el Informe de mercado de ransomware del 2022, los analistas de industria Cybersecurity Ventures predicen que el ransomware tendrá un costo agregado para sus víctimas de unos $265 mil millones al año para 2031.

De acuerdo con los datos reunidos por Statista en una encuesta internacional de profesionales de TI en 2022, alrededor del 72% de los encuestados pagaron un rescate y recuperaron sus datos comprometidos.

Sin embargo, en comparación al 2021, los pagos por ransomware bajaron en más del 40% durante el 2022, ya que las víctimas se rehúsan a pagarle a sus extorsionadores, de acuerdo con la empresa de análisis de cadena de bloques Chainalysis. De acuerdo con el Informe de criptocrimen de 2023 de la empresa, los ataques de ransomware realizaron extorsiones por $456,8 millones a sus víctimas en 2022. Esto representa una baja significativa de los $765,6 millones en 2021 y de los $765 millones en 2020.

Las pólizas de ciberseguro pueden cubrir ataques de ransomware, pero la cobertura específica y los términos de estas pólizas pueden variar dependiendo de la aseguradora y de la póliza adquirida. Por ejemplo, algunas pólizas podrían cubrir pagos por rescate, mientras que otras podrían solo cubrir los costos de restaurar datos o sistemas.

Sin embargo, mientras que muchas pólizas de ciberseguro cubren ataques de ransomware, las tarifas de estas pólizas se han incrementado de manera drástica en los últimos años. Esto se debe a la creciente cantidad de ciberataques que se ejecutan en todo el mundo. Las compañías de seguro poseen un mejor entendimiento de los riesgos inherentes a la actividad comercial en línea y están cobrando primas de seguro más elevadas como consecuencia.

El precio de recuperarse de un ataque de ransomware puede variar ampliamente dependiendo del alcance y de la gravedad del incidente, y pagar un rescate no es el único costo asociado.

Los costos de recuperación por ransomware contemplan gastos asociados a recuperación de datos, restauración de sistema, cumplimiento legal y reglamentario y daño reputacional, no solo los pagos por el rescate en sí. De acuerdo con algunos informes, el costo promedio de un ataque de ransomware es de $4,54 millones, sin incluir el costo de los pagos de rescate, cuyo promedio se sitúa en $812,360.

Existen varios métodos que pueden utilizarse para recuperarse de un ataque de ransomware, pero el requerimiento más relevante es tener una buena estrategia de respaldo y recuperación ante desastres para que usted pueda restaurar sus datos en caso de que sean encriptados.

También debe contar con un antivirus, antimalware o software de autenticación de dos factores instalado para evitar la infección inicial. Además, es importante adoptar las medidas necesarias para evitar la ocurrencia de ataques reiterados, ya que los costos de prevención generalmente son inferiores al costo de recuperación.

No solo las grandes empresas con importantes recursos son víctimas de ciberataques, sino que estos ataques también afectan a empresas más pequeñas con presupuestos más ajustados y menos experiencia.

Independiente del tamaño de la organización, es crucial tener un plan de respaldo y recuperación ante desastres implementado para garantizar la continuidad empresarial. Esto permite la restauración rápida de sus datos en caso de que un sistema se vea comprometido.

• Educar a los empleados sobre el ransomware y cómo funciona. Los empleados deben estar al tanto de los riesgos asociados con la apertura de ficheros adjuntos y de hacer clic en enlaces provenientes de fuentes desconocidas.

• Implementar medidas de seguridad como firewall, detección de intrusión y sistemas de prevención, autenticación multifactor y filtrado de correo electrónico.

• Mantener actualizados sistemas y software con lo último en parches de seguridad. Esto le ayudará a acabar con cualquier vulnerabilidad conocida que los intrusos puedan aprovechar.

El ransomware es una amenaza en evolución y las empresas pequeñas deben adoptar medidas proactivas para protegerse contra las pérdidas financieras.

Al invertir en soluciones de ciberseguridad, adiestrar al personal para detectar actividad sospechosa, tener respaldos confiables para recuperación de datos y un plan exhaustivo para lidiar con estas amenazas, las empresas pueden reducir los costos asociados con los ataques de ransomware.

Acronis Cyber Protect es una solución de ciberprotección económica e integrada que utiliza inteligencia artificial (IA) para detectar actividad maliciosa y evitar que las compañías caigan presas de los ataques de ransomware. Trabaja analizando la conducta de los archivos y aplicaciones en un sistema, poniendo fin a los procesos maliciosos y automáticamente revirtiendo cualquier daño efectuado.

Incluye un motor anti-ransomware robusto que detecta y bloquea de manera proactiva los intentos de encriptar o eliminar sus datos, y los protege contra otros tipos de malware. Además, Acronis Cyber Protect puede restaurar rápidamente cualquier dato cifrado por ransomware; incluye las mejores capacidades de respaldo y recuperación ante desastres de la industria, convirtiéndole en una herramienta valiosa para las empresas.

¿Desea ver a Acronis Cyber Protect en acción? ¡Comience su prueba gratuita de 30 días hoy!