ciberataque

El precio de un ciberataque: ¿Qué sale más a cuenta, protegerse o pagar el ransom?

Cuando sufrimos un ciberataque no nos puede pillar desprevenidos, tenemos que saber cómo vamos a afrontarlo. Para ello, lo primero que tenemos que plantear es cuánto nos va a costar el ciberataque, qué problemas puede implicar y, lo más importante, cuánto vamos a tardar en recuperarnos.

En este artículo planteamos precisamente la primera de esas preguntas, qué impacto económico va a tener para nuestra organización el hecho de afrontar un ciberataque, ya sea pagando el rescate que piden los ciberdelincuentes o protegiéndonos antes de que este ocurra.

Por último, analizamos también una “tercera opción”: ¿Y si decidimos no ceder al chantaje, pero no contamos con un plan de protección en el momento de sufrir el ciberataque?

continuidad de negocio

 

Cuando sufrimos un ciberataque, ¿Cuánto nos cuesta pagar el ransom?

Según Cinco Días, el pago promedio tras un ciberataque de ransomware aumentó un 82% en la primera mitad de 2021 a nivel global, llegando a un récord de 570.000 dólares (484.777 euros), ya que los ciberdelincuentes emplearon tácticas cada vez más agresivas para obligar a las organizaciones a pagar rescates mayores.

Estos ataques de ransomware han impedido a muchas empresas seguir adelante con su actividad, al no poder acceder a sus sistemas. Algunos de los casos más sonados de 2021 fueron los de Colonial Pipeline (que llegó a pagar 5 millones de dólares) y JBS (hasta 11 millones para recuperar la normalidad en sus operaciones).

Se prevé que los ataques de ransomware continúen tomando impulso en los próximos meses, a medida que los ciberdelincuentes perfeccionen las tácticas para obligar a las víctimas a pagar y también desarrollen nuevos enfoques para hacer que los ataques sean más disruptivos. Un ejemplo de lo que se espera ver es una mayor orientación a los proveedores de servicios administrados y sus clientes, a raíz del ataque que aprovechó el software de administración remota de Kaseya, que se utilizó para distribuir ransomware a los clientes de los proveedores de servicios administrados.

 

Principales tipos de ransomware: Cómo lo hacen los ciberdelincuentes para que la empresa pague

Una de las tendencias más importantes de estos últimos años es el aumento de la “extorsión cuádruple”. Y es que ahora, los operadores de este tipo de ciberataque (el ransomware) suelen usar hasta cuatro técnicas para presionar a las víctimas para que paguen.

  1. El cifrado, que obliga a las víctimas a pagar para recuperar el acceso a datos codificados y sistemas informáticos comprometidos, que dejan de funcionar porque los archivos clave están cifrados.
  2. El robo de datos. En este caso, los ciberdelincuentes divulgan información confidencial si no se paga un rescate.
  3. La denegación de servicio (DoS), con la que las bandas de ransomware lanzan ataques de denegación de servicio que cierran los sitios web públicos de la víctima.
  4. El acoso. En este caso, los ciberdelincuentes se comunican con los clientes, socios comerciales, empleados y medios de comunicación para informarles que la organización fue pirateada.

En este punto hay que plantear cómo llega un ransomware a poder cifrar o a robar los datos de una empresa, algo que veremos en el siguiente punto.

ciberataque

 

El caso de España: Coste medio de un ciberataque y quién decide pagar

Durante 2021 se registraron más de 40.000 ciberataques al día en España. El Ministerio del Interior informó que a lo largo del año pasado neutralizó más de 10.000 acciones dirigidas contra sistemas de información de diferente intensidad sobre servicios esenciales.

El coste medio que afrontó cada empresa española como consecuencia de un ciberataque se ha duplicado en el último año, pasando de 54.388 euros en 2020 hasta los 105.655 euros en 2021. A pesar de esta cifra, España es el único país que reduce en dos puntos los ciberataques sufridos de 2021 a 2022.

En España, los ataques basados en el correo electrónico dominaron el panorama de las amenazas en 2021: el 89% de las empresas españolas se enfrentó a amplios ataques de phishing en 2021. Además de ser más activos, los ciberdelincuentes tuvieron más éxito en 2021. El 82% de las organizaciones españolas experimentó al menos un ataque de phishing exitoso.

Por otra parte, el 68% se enfrentó al menos a un ataque de ransomware basado en el email y el 77% se enfrentó a uno o más ataques BEC o fraude del CEO. El 62% de las organizaciones españolas afirmaron que se enfrentaron a al menos una infección de ransomware derivada de un payload distribuido por correo electrónico, y una posterior entrega de malware u otro exploit.

Según la revista Byte, de entre las empresas que fueron atacadas en 2021, el 39% optó por pagar al menos un rescate. Para desglosar esto, el 37% de ellas pagó un rescate y obtuvo acceso a sus datos cifrados; el 42% pagó un rescate inicial y otro(s) posterior(es) y obtuvo acceso a los datos/sistemas (el porcentaje más alto de todas las regiones a nivel mundial); y el 21% pagó un rescate inicial, se negó a pagar más y no obtuvo acceso a los datos.

España, en comparación con otros países, tiene pocas empresas que podríamos considerar “expertas” en ciberseguridad. En concreto, España cuenta solo con un 2% de empresas expertas frente a otros países europeos como Reino Unido (6%), Países Bajos (5%), Irlanda (4%) o Francia (5%).

Si seguimos comparando España con el resto del mundo, vemos también un dato interesante: Las organizaciones españolas son las que menos utilizan un modelo de consecuencias (es decir, reprender a los empleados que interactúan con ataques de phishing reales o simulados). Tan solo el 29% de las organizaciones españolas afirma utilizar un modelo así, muy por debajo de la media mundial del 55%.

Con un 39%, las organizaciones españolas son las más propensas a decir que un modelo de consecuencias no encaja culturalmente (frente al 24% de media global).

Sin embargo, entre los que sí utilizan consecuencias, el 31% impone una sanción monetaria y el 28% despide a los empleados en función de sus interacciones con ataques de phishing reales o simulados.

 

No todo es ransom: Los gastos “ocultos” de un ciberataque

Por lo general, el importe del rescate suele oscilar entre el 0,7% y el 5% de los ingresos anuales de la compañía por lo que, cuantos más ingresos, mayor será el precio que pidan los ciberdelincuentes.

Junto a esto no hay que olvidar los daños a la reputación de la propia compañía. Muchas evitan a toda costa que su nombre se asocie a un ataque de este tipo ya que, a las pérdidas por los datos y el tiempo de inactividad, se le suman las que conlleva la falta de confianza ante el daño causado a su reputación.

Además, la intervención y el restablecimiento de los sistemas, los honorarios y los costes de monitorización pueden elevar el precio de un ciberataque hasta en 7 veces el pago de la extorsión.

Cuando hablamos de gastos “ocultos”, nos referimos no solamente a los gastos asociados que hemos mencionado, sino también a que es muy probable que, si una empresa ha pagado ya un rescate, puede que se vuelva a encontrar en la misma situación y tenga que volver a pagar de nuevo.

Entre las organizaciones que ya se han visto afectadas por el ransomware, el 79% pagó el rescate y el 38% de ellas lo hizo además de inmediato para recuperar el acceso a sus datos lo antes posible. De hecho, según Escudodigitral, el 97% de las empresas que anteriormente han pagado un rescate volverían a acceder al chantaje de los ciberdelincuentes. También existe el riesgo de que, incluso después de pagar, la empresa no vea restablecidos sus datos en su totalidad.

Esta predisposición para pagar supone una tendencia preocupante, que anima a los ciberdelincuentes a seguir perpetrando nuevos ataques y que también va en contra de los consejos de las autoridades, que recomiendan no pagar nunca precisamente para no fomentar futuros ataques. No obstante, menos de la mitad de las empresas (42%) se pondría en contacto con las autoridades y con un servicio de respuesta a incidentes de ciberseguridad si fueran objetivo de un ataque de ransomware.

 

El gasto en ciberseguridad en España: Cuánto cuesta protegernos

Para hacer frente a la problemática que plantean los ataques de ransomware, las empresas españolas han aumentado su presupuesto para prevenir riesgos. En concreto, las empresas españolas gastan de media 4,2 millones de euros exclusivamente en ciberseguridad. A pesar de esta inversión, como comentábamos en el apartado anterior, solo el 2% son ciberexpertas y un 30%, de hecho, son consideradas cibernovatas.

En cuanto a las prioridades de las empresas españolas dentro del presupuesto de ciberseguridad, el primer punto es el de abordar las amenazas y vulnerabilidades ya existentes.

Una vez controladas las amenazas existentes, se busca mejorar la seguridad del servicio y las aplicaciones orientadas al cliente.

Por último, las organizaciones se focalizan en conseguir o mantener el cumplimiento normativo.

ciberataque

 

La tercera opción, recuperarse y no pagar el ransom: El caso UAB

Un ejemplo del gran impacto que puede suponer una agresión virtual en toda la estructura de una organización es el ataque que sufrió una de las principales universidades en España, la Universitat Autònoma de Barcelona (UAB), que dejó fuera de servicio un total de 1.200 servidores, 10.000 ordenadores y afectó a más de 50.000 usuarios.

¿Qué hizo la UAB? Decidió no pagar el ransomware, sin contar previamente con un sistema de protección eficiente contra ataques de ransomware.

Ante esta situación, la Generalitat de Catalunya transfirió a la UAB una ayuda de 3,49 millones de euros con el fin de poder recuperar la normalidad tras el ciberataque. Además, el Departamento de Investigación y Universidades aportó 300.000 euros para completar los 3,79 millones de euros que necesitó la universidad para hacer frente a las investigaciones tecnológicas necesarias para garantizar la seguridad e integridad de sus sistemas informáticos.

Concretamente se destinaron 1,2 millones para renovar 1.200 ordenadores, 880.000 euros para otras 1.100 computadoras para las aulas, 100.000 euros para la virtualización de escritorios y aplicaciones de docencia y 240.000 euros para licencias para proteger todo el conjunto del parque informático.

Finalmente, otros 750.000 euros se destinaron a la conversión de la base de datos secundaria en un sistema de recuperación de emergencia, medio millón de euros para reforzar el apoyo especializado de respuesta al ciberataque y 120.000 euros para el servicio de detección y respuesta a ciber incidentes.

 

Asegurar la continuidad de negocio: No esperes a los ciberataques, anticípate a ellos

En Open3s llevamos más de 15 años aportando valor y ayudando a nuestros clientes en sus procesos de protección ante ciberataques. Por eso, te recomendamos que no esperes a tener una brecha de seguridad.

Actúa de forma preventiva, planifica y minimiza los riesgos en el futuro. Prepárate para el día después y, cuando pase, que sea fácil recuperarse. La seguridad de la información no es solo tecnología, te damos también el soporte legal necesario para el cumplimiento normativo. Si quieres saber más acerca de nuestras soluciones integrales de infraestructura, sistemas, formación y servicios legales ponte en contacto con nosotros.

continuidad de negocio