Mitos sobre el ransomware que las PYME deben conocer
Los ataques de ransomware están aumentando tan rápidamente, que deberían saltar las alarmas en todas las empresas. Nadie está a salvo, y los expertos predicen que 2022 será un año devastador para los ataques de ransomware. Esto no debería sorprendernos, ya que hoy en día los atacantes ni siquiera necesitan escribir el código de su propio ransomware. Pueden lanzar un ataque utilizando una plataforma de ransomware como servicio (RaaS).
Los ataques de ransomware han saltado a los titulares más recientes. Empresas como Acer, CNA Financial, Colonial Pipeline, JBS USA, Kaseya y una serie de universidades, empresas sanitarias y departamentos gubernamentales estadounidenses han sido víctimas. Aunque los ataques a grandes empresas acaparan las noticias, también son incontables las PYMES que los sufren. Según Hiscox, más del 85% de las PYMES son víctimas del ransomware.
Los hackers han descubierto que determinadas técnicas producen mejores resultados, por lo que se ha producido un aumento constante de los ataques a cadenas de suministro y ataques de doble extorsión. Entre las causas más comunes de los ataques, se encuentran los sistemas sin parchear y los correos electrónicos de phishing. Dado que las PYMES disponen de menos recursos, es más probable que los sistemas no estén parcheados y que los empleados no estén entrenados para identificar los correos electrónicos de phishing.
Las empresas hacen lo que pueden o lo que creen que deben hacer para protegerse de posibles ataques. Compran una herramienta tras otra basándose en reseñas, informes y artículos. Y, aunque se trata de un esfuerzo bienintencionado, con demasiada frecuencia induce a las empresas a tener una falsa sensación de seguridad. Además, existen algunos mitos peligrosos que parecen haber calado en el sector de la seguridad.
A continuación, veremos los cuatro principales mitos y explicaremos por qué son erróneos.
Mito 1: Pagar el rescate soluciona el problema
Digamos que está dispuesto a desembolsar el dinero y pagar el rescate, el cual, según un informe de Sophos, asciende a una media de 170.000 dólares. Pagar no equivale a recuperar todos los datos; al fin y al cabo, estamos hablando de delincuentes, que no son precisamente honrados. Lo único que les interesa es el dinero y nada más. De hecho, este informe señala que del 32% de las empresas que optaron por pagar, el 29% recuperó la mitad de sus datos, y sólo un 8% recuperó todos sus datos.
Incluso si su empresa se encuentra entre las pocas afortunadas que recuperan todos sus datos, es importante tener en cuenta que el pago del rescate en sí mismo, suele ser mínimo en comparación con la recuperación de un ataque. Según los cálculos de Sophos, una vez contabilizados el tiempo de inactividad, los costos operativos y la pérdida de pedidos, los costos medios de recuperación son diez veces superiores al pago del rescate, lo que añade otros 1,7 millones de dólares al desembolso de 170.000 dólares. Además, otro informe señaló que el 80% de las empresas que pagaron el rescate sufrieron un segundo ataque, a veces por parte del delincuente al que pagaron y a veces por parte de un delincuente distinto.
Las empresas con sede en Estados Unidos se arriesgan aún más si deciden pagar. En 2020, el Departamento del Tesoro advirtió que podría sancionar a cualquier persona o empresa que pagara o facilitara el pago a cualquier persona, grupo o jurisdicción objeto de sanción.
Mito 2: Los ataques de ransomware son poco frecuentes
No nos sorprendería que creyera en este mito, ya que los datos superficiales sugieren que puede ser cierto, pero si se indaga un poco más, es fácil desmentirlo. Aunque en 2020 se notificaron al FBI algo menos de 2.500 incidentes de ransomware, esta cifra difícilmente refleja la realidad.
A diferencia de las brechas de datos en las que se roba información personal, en la mayoría de los casos no es obligatorio informar de los ataques de ransomware. Las víctimas tienen menos tendencia a denunciar estos ataques, ya que no quieren perjudicar su reputación, crear pánico entre sus clientes o convertirse en el blanco del escrutinio público.
Otras investigaciones ofrecen un panorama diferente y más sombrío. Statista informó sobre 304 millones de ataques en 2020, y aunque se trata de una disminución significativa con respecto a los asombrosos 638 millones de 2016, está muy por encima de las cifras del FBI. El informe de SonicWall de mediados de 2021, contabilizó 115,8 millones de ataques en el primer trimestre y 188,9 millones en el segundo.
El Informe sobre Ciberamenazas 2022 de la compañía, que abarcaba todo el año 2021, registró más de 600 millones de ataques de ransomware en todo el mundo, lo que supone un aumento interanual del 105% y tres veces más que en 2019. Estados Unidos y Reino Unido fueron los países más afectados, con un aumento de los ataques del 98% y el 227%, respectivamente.
Mito 3: Nuestros firewalls, EDR y EPP nos protegerán
Las defensas perimetrales como los firewalls, las plataformas de protección de puntos finales (EPP) y los sistemas de detección y respuesta de puntos finales (EDR) son herramientas valiosas, pero no ofrecen garantías contra los ataques de ransomware. Las empresas tienen la impresión de que, cuantas más herramientas tienen, más protegidas están. Pero, a menudo, todas estas soluciones ofrecen a las empresas una falsa sensación de seguridad y aumentan el riesgo de verse sorprendidas por un ataque.
Uno de los principales problemas es que la mayoría de las empresas utilizan versiones antiguas y obsoletas de las soluciones, lo que hace que los ataques sean mucho más sencillos y tengan un mayor éxito. En nuestra opinión, no es que se necesite la herramienta más nueva y avanzada disponible, sino que lo que hay que tener son versiones actualizadas de cada solución, con una antigüedad no superior a unos pocos meses, si bien las mejores prácticas siempre aconsejan la última versión actualizada en función de los parches para las vulnerabilidades recientes.
Las nuevas versiones también pueden incluir nuevas funcionalidades, por lo que básicamente sólo está utilizando una parte de la solución si no la actualiza con regularidad. Además, muchas empresas no siguen las directrices recomendadas, por lo que las soluciones con las que cuentan para protegerse las exponen en realidad a mayores riesgos.
Mito 4: Mi empresa no tiene datos valiosos
Esta idea errónea es la más extendida entre las pequeñas y medianas empresas, que creen que los atacantes siempre van a ir a por los peces gordos. Los hackers saben que las PYMES tienen presupuestos y equipos de ciberseguridad más reducidos, lo que las convierte en objetivos apetecibles.
Sería difícil encontrar una empresa que no tuviera datos valiosos. Si su empresa tiene clientes o empleados, entonces tiene datos valiosos. Aunque no tenga archivadas las tarjetas de crédito de los clientes, tiene información sobre ellos y una gran cantidad de datos personales de cada empleado: nombres, direcciones, cuentas de correo electrónico, números de la seguridad social, cuentas bancarias, y un largo etcétera. Además, tiene todos los datos de su empresa, incluida la información bancaria y otros datos sensibles. Teniendo en cuenta el auge de la concientización sobre la privacidad y su poderoso efecto en la mente de las personas, disponer de la información personal de cualquiera es un recurso muy poderoso.
Incluso si cree que no tiene datos que merezca la pena robar, los actores de amenazas pensarán que sí los tiene. Un informe de Coveware reveló que, en 2020, más del 50 % de todos los ataques de ransomware se lanzaron contra empresas con menos de 100 empleados, y el 75 % contra empresas con unos ingresos inferiores a 50 millones de dólares.
Cómo proteger a su empresa del ransomware
Creer que está protegido porque dispone de un conjunto de herramientas, o pensar ciegamente que su empresa es demasiado pequeña para ser atacada, son exactamente las cosas que le convierten en un objetivo ideal para los atacantes. Debe reconocer que es un objetivo potencial y una fuente de ingresos.
Para mantenerse a salvo, necesita procesos, planes y capas de protección que tengan sentido. Una vez desmentidos estos mitos, analice de nuevo lo que ha estado haciendo y vuelva a examinar su enfoque y su arsenal tecnológico para ver cuáles son sus necesidades y qué carencias tiene. La mejor manera de garantizar la ciber resiliencia y evitar los ataques es utilizar un enfoque doble de prevención proactiva y planificación de la recuperación.