En nuestro post anterior, hablamos de la anatomía del ataque de ransomware Colonial Pipeline, de las nuevas y alarmantes tendencias y técnicas utilizadas por los ciberdelincuentes, y de los nuevos objetivos y tácticas que están utilizando para aumentar la eficacia de sus ataques. Es importante que la conversación sobre el ransomware incluya los costos de estos ataques, tanto financieros como intangibles, así como el dilema ético de pagar un rescate.
Aumento de los costes
El informe de Cybercrime Magazine para el año 2020 estima que los daños de la ciberdelincuencia mundial para este año superarán los 6 billones de dólares, de los cuales 20.000 millones están directamente asociados al ransomware (un aumento de 57 veces con respecto a 2015). Con el incremento de la sofisticación, la frecuencia y los nuevos objetivos, no es difícil ver que el costo del ransomware crecerá significativamente año tras año.
En realidad, el coste mundial del ransomware es mucho mayor, en parte porque algunas organizaciones no informan cuando pagan rescates. Dicho esto, el verdadero costo del ransomware no se limita solo al costo del rescate. También incluye el coste de la pérdida de productividad, el daño a la marca, la reparación y otros costes tanto tangibles como intangibles. Si se combinan estos factores, está claro que el ransomware supone un reto en 2021.
Un impacto mayor, más allá del dinero
En años anteriores, el equipo de investigación de seguridad de Hillstone ha visto muchos incidentes de ransomware, pero la mayoría de ellos no recibieron la atención de los medios de comunicación. ¿Qué es lo que ha hecho que los recientes ataques de ransomware que han sido noticia sean tan diferentes de los demás? La respuesta: Los objetivos.
Por ejemplo, Colonial Pipeline no es sólo una empresa privada, sino que forma parte de la infraestructura crítica del país. Las repercusiones del ataque de ransomware a Colonial, una organización que suministra casi la mitad del combustible que se consume en la Costa Este, han repercutido en toda la sociedad. Ahora nos preocupan la escasez y el acaparamiento de combustible, las interrupciones de los envíos y la seguridad de las infraestructuras nacionales.
Para la mayoría de las empresas, los costes «blandos» de un ataque de ransomware pueden ser fácilmente mucho mayores que el costo del rescate. Por ejemplo, la pérdida de oportunidades de venta, el descontento de los clientes, el daño a la reputación de la empresa, la pérdida de confianza de los accionistas, las penalizaciones por incumplimiento de las obligaciones contractuales, las multas por falta de cumplimiento y el costo de la reparación y recuperación del ataque pueden ascender rápidamente a millones de dólares.
¿Pagar o no pagar?
Por principio, los expertos en ciberseguridad no recomiendan pagar rescates. El negocio del ransomware desaparecería rápidamente si nadie pagara. Sin embargo, en el caso de algunos ataques muy selectivos y dañinos, la víctima podría no tener otra opción que cumplir con las demandas de rescate.
No hay una regla de oro sobre si pagar o no un rescate porque cada caso es diferente, sin embargo, considere estos puntos:
- No hay garantía de que una empresa reciba una clave de descifrado, o de que ésta funcione una vez recibida. Al fin y al cabo, se trata de ciberdelincuentes.
- Pagar puede abrir la puerta a más ataques de ransomware. Una vez que se paga, se corre la voz entre los ciberdelincuentes y otros podrían intentar conseguir otro pedazo del pastel.
- Si los atacantes exfiltraron datos, considérenlos perdidos. Hay poca o ninguna certeza si los datos se han subido a la Dark Web o a otros sitios.
- Esto intensifica el problema del ransomware. Una vez que los atacantes tienen el dinero, pueden invertirlo en ataques más sofisticados contra las organizaciones.
Algunas organizaciones se sienten obligadas a pagar. Por ejemplo, las organizaciones sanitarias o los departamentos de policía en los que está en juego la vida y la seguridad de las personas, y cuya restauración a partir de las copias de seguridad llevaría demasiado tiempo, necesitan sus datos cuanto antes. Hay otros factores que también pueden influir en la decisión, como si las copias de seguridad están o no actualizadas o si la corrupción del sistema operativo requiere un borrado y reconstrucción completos de varios ordenadores.
Por supuesto, como primera línea de protección contra los ataques de ransomware, debe considerarse una solución de copia de seguridad y recuperación de desastres. Éstas pueden ayudarle a hacer frente a las consecuencias de un ataque. Pero ¿qué se puede hacer para prevenir un ataque de ransomware? Hay una serie de respuestas en toda la protección de terminales y redes que pueden ser muy eficaces contra los ataques de ransomware. Las discutiremos en nuestro próximo post.