Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cybereason Ransomware Research 2021 ES
Cybereason Ransomware Research 2021 ES
EL VERDADERO COSTE
PARA LAS EMPRESAS
PreventID
INTRODUCCIÓN
PERSPECTIVA DEL CEO
En mayo de 2021, Colonial Pipeline anunció que había sido víctima de un
devastador ataque de ransomware que paró sus operaciones y cortó el
suministro de combustible a millones de clientes, lo que provocó una
perturbación económica masiva en todo el Este de los Estados Unidos.
El FBI confirmó que la banda responsable de los ataques fue DarkSide,
un grupo de hackers relativamente
. nuevo al que Cybereason sigue la pista
desde agosto de 2020.
Las conclusiones del informe pueden ser muy útiles para analizar el impacto
de los ataques de ransomware en las empresas de los principales sectores y
perfeccionar los enfoques de defensa. El estudio subraya que la prevención es
la mejor estrategia para gestionar el riesgo de ransomware y evitar que las
El estudio subraya que la organizaciones sea víctimas de un ataque de este tipo.
prevención es la mejor estrategia
para gestionar el riesgo de El objetivo de Cybereason es visibilizar las amenazas emergentes y ofrecer
ransomware y evitar que las información práctica para mejorar la defensa contra los ataques disruptivos
organizaciones sea víctimas de de ransomware. Juntos, podemos acabar con la ventaja de los atacantes y
un ataque de este tipo. devolvérsela a los sistemas defensivos.
LIOR DIV
CEO, CYBEREASON
3
R ANSO M WARE
81 %
están extremadamente
o muy preocupadas
%
66 % 42%
rt
ron
sufrie antes
impo as de
id
pérd esos
tenía
n
que n ciberseg
todas o cubrie uros
las p r
érdidon
80 % de las que
pagaron un
25
as
ar ge os
por el riesgo de in r
g
m ma dañ rescate sufrieron
o e z u
vie ad r la n
de la i on
ataques de
a gan nte do
otro ataque
%
or ur erio
ro as
c
en frier
n
d p
ransomware
su
i
a
32 %
por d ejecutivo a
se viea elimina e
rch
s
29 %
oo
73 %
de alt on la ma
pues bajo
ron o r
espid
ncia
tra
tos d
renu
os
bligad
r
sufrie
as
gestionar los ataques
de ransomware de
forma
42 %
creen tener el
46 %
recuperaron el
personal adecuado acceso a los datos
para realizar el al pagar el rescate,
trabajo pero algunos o todos
se habían corrompido
4
R A N SOMWARE
EL IMPACTO DEL RANSOMWARE EN LAS EMPRESAS
CAPÍTULO 1
Los ataques de ransomware pueden tener diferentes
efectos negativos en las organizaciones y las pérdidas
pueden llegar a decenas o incluso cientos de millones
de dólares. Los daños a corto plazo pueden incluir el
cese de operaciones críticas por el bloqueo de los datos,
los costes de la respuesta a los incidentes y las medidas
de mitigación, la interrupción de los procesos del sistema,
la pérdida de productividad y el precio del rescate cuando
las organizaciones aceptan la extorsión.
5
R A N S OMWA RE | CAP ÍTULO 1
66 %
en 2018. Además, la ciudad de Baltimore gastó más de 18 millones de dólares
para reconstruir su red informática tras negarse a pagar en otro ataque del
grupo SamSam, mientras que un ataque del ransomware Maze fue clave en
sufrieron la disminución de ingresos de Cognizant Technology Solutions en 2020.
importantes
pérdidas de
ingresos
6
R ANSO M WARE | CAPÍTULO 1
61 % Alemania
España
80 % 75 %
Singapur
73 %
Francia
Estados Unidos
68 %
58 % 42 %
Emiratos Árabes Unidos
Porcentaje que sufrió pérdidas de ingresos tras un ataque de ransomware por región
7
R ANS O M WA RE | CAP ÍTULO 1
75 % 73 74 64
Servicios financieros Minorista Salud
% % %
Gubernamental
64 % 58 %
Tecnología
Automoción
Según el estudio, todos los sectores son
estadísticamente vulnerables a las pérdidas
de ingresos por ransomware debido a la
interrupción de los procesos empresariales, los
periodos de inactividad del sistema, la pérdida
de prestigio de la marca y la reducción de la
51 % 50 %
capacidad técnica para la recuperación derivada Legal
Manufactura
de la desviación de recursos, entre otras causas.
Porcentaje que sufrió pérdidas de ingresos tras un ataque de ransomware por sector
8
R A N S OMWA RE | CA P ÍTULO 1
9
R ANS O M WA RE | CA P ÍTULO 1
10
R ANS O M WA RE | CAP ÍTULO 1
DE RANSOMWARE En ese sentido, aunque se podría pensar que los ejecutivos de máximo nivel
TAMBIÉN SUPONEN son inmunes a las consecuencias de un evento de seguridad importante, lo
UN RIESGO PARA LOS cierto es que no lo son. Los directores ejecutivos (CEO) de Target, Home
EJECUTIVOS DE Depot, Sony y TalkTalk fueron despedidos, dimitieron o se retiraron
MÁXIMO NIVEL anticipadamente debido a importantes incidentes de seguridad.
11
R A N S OMWA RE | CA P ÍTULO 1
Los resultados del estudio confirman esta triste consecuencia: casi un tercio de
las organizaciones encuestadas (29 %) se vieron obligadas a eliminar puestos de
trabajo después de uno de estos incidentes. Las organizaciones de Singapur
(13 %), Alemania (19 %) y los Emiratos Árabes Unidos (29 %) estuvieron por
debajo de la media o la igualaron y las del Reino Unido (31 %), España (31 %) y
Estados Unidos (33 %) la superaron. Las organizaciones de Francia destacaron
especialmente en este dato negativo, ya que el 39 % de ellas se vieron obligadas
a tomar esta medida drástica.
12
R ANS O M WA RE | CAP ÍTULO 1
13
R ANS O M WA RE | CAP ÍTULO 1
31 %
Estados Unidos
El cierre total de una empresa tras un ataque de ransomware podría parecer
un caso extremo, pero es un riesgo más inmediato de lo que los ejecutivos
suelen asumir. Más de una cuarta parte de las organizaciones encuestadas
(25 %) declararon que un ataque de ransomware les había obligado a cerrar
durante un tiempo. El siguiente gráfico muestra un mayor desglose por región:
14
R ANS O M WA R E | CAP ÍT ULO 1
15
R ANS O M WA RE | CAP ÍTULO 1
16
R ANS O M WA RE | CAP ÍTULO 1
70 %
60 %
50 %
40 %
30 %
20 %
10 %
0%
Formación de Centro de Protección Copia de Análisis Escaneo Solución Software Seguridad MSSP Sin inversiones
concienciación operaciones de endpoints seguridad de correo web de EDR/XDR antivirus móvil/SMS y/o MDR adicionales
de seguridad de seguridad (EPP) y recuperación electrónico
(SOC) de datos
Soluciones previas al ataque de ransomware Inversiones posteriores al ataque
17
R A N SO M WA RE | CA P Í T U LO 1
IMPLEMENTADAS DESPUÉS DE 41 %
UN ATAQUE DE RANSOMWARE COPIA DE SEGURIDAD Y
RECUPERACIÓN DE DATOS
43 %
PROTECCIÓN DE
ENDPOINTS
44 %
CENTRO DE
OPERACIONES DE
SEGURIDAD (SOC)
48 %
FORMACIÓN DE
CONCIENCIACIÓN
DE SEGURIDAD
18 48 %
R A N SOMWARE | CAPÍTULO 1
R A N SOMWARE
RANSOMWARE: ¿A QUIÉN LE PREOCUPA? A TODOS
CAPÍTULO 2
Una de las conclusiones más importantes del estudio
es a la vez preocupante y alentadora. Al preguntarles
cuál era su nivel de preocupación por los riesgos
derivados del ransomware, más de cuatro de cada cinco
organizaciones (81 %) indicaron estar extremadamente o
muy preocupadas por el riesgo de ataques. La respuesta
es preocupante por dos motivos: muestra que el
ransomware es una amenaza generalizada e ilustra la
urgencia de abordar la crisis. Si trabaja en ciberseguridad
y el ransomware no le preocupa, simplemente no está
prestando suficiente atención.
19
R ANS O M WA RE | CAP ÍTULO 2
75 %
confianza en la percepción sobre su nivel de preparación para defenderse
del ransomware. Casi el 75 % de las empresas participantes afirmaron tener
un plan o una política específicos para gestionar de forma eficaz un ataque
de las empresas de ransomware y casi el 60 % creen tener el personal adecuado para realizar
participantes el trabajo. Sin embargo, la mayoría de organizaciones están preocupadas por
afirmaron tener el ransomware, lo que supone una aparente paradoja.
un plan o una
política específicos Curiosamente, Estados Unidos destacó por tener más organizaciones que
para gestionar de creían contar con el personal adecuado (69 %) que las que indicaron tener
forma eficaz un un plan o política (58 %). Esto sugiere que algunas empresas estadounidenses
confían tanto en su equipo de seguridad informática que CREEN que será
ataque de
suficiente para protegerlas incluso sin un proceso establecido.
ransomware
Mientras tanto, Estados Unidos sigue sufriendo la peor parte de los ataques
de ransomware más importantes, por lo que un estudio como este debería
ayudar a corregir esta anomalía y clarificar las posibles consecuencias de estos
ataques para las organizaciones. En países como el Reino Unido, Alemania,
España y Francia, entre el 73 % y el 87 % de empresas indicaron tener un plan
o política y entre el 45 % y el 66 % declararon tener el personal adecuado, en
contraste con los resultados de Estados Unidos.
20
R ANS O M WA RE | CAP ÍTULO 2
DOBLE EXTORSIÓN año ha sido especialmente problemático. Mientras las empresas de todo
FILTRAN DATOS el mundo luchaban por hacer frente a la pandemia de COVID-19 y muchas
CONFIDENCIALES Y PROPIEDAD empresas adoptaban un modelo de trabajo totalmente remoto de la noche
INTELECTUAL. ENTONCES, LOS a la mañana, los ciberdelincuentes detectaron la oportunidad de aprovechar
ATACANTES AMENAZAN CON el caos y la confusión. Esta situación creó retos importantes para los equipos
DIVULGAR O VENDER LOS de seguridad informática, ya que expandió la superficie de ataque y dificultó
DATOS ROBADOS SI NO SE la visibilidad. Además, el ransomware permite a los atacantes seguir infectando
PAGA EL RESCATE, sistemas y cobrando rescates mientras guardan cuarentena o respetan los
POR LO QUE NO
protocolos de distanciamiento social.
Aunque el volumen general de ataques de ransomware parece disminuir, los
BASTA CON ataques existentes son más sofisticados y tienen un impacto más devastador.
En los últimos años, las empresas han mejorado los procesos y las tecnologías
DE SEGURIDAD rescate, restaurar los sistemas desde la copia de seguridad y reanudar sus
actividades. Sin embargo, los ciberdelincuentes se han adaptado y han creado
DE LA
los ataques de malware de doble extorsión. En lugar de limitarse a cifrar datos,
los ataques de doble extorsión filtran datos confidenciales y propiedad
INFORMACIÓN.
intelectual. Después, los atacantes amenazan con divulgar o vender los datos
robados si no se paga el rescate, por lo que no basta con tener copias de
seguridad de la información.
21
R ANS O M WA RE | CAP ÍTULO 2
Al mismo tiempo, las peticiones de rescate se han disparado. Según los informes,
el rescate medio de ransomware en 2018 fue de 6000 dólares. La cifra se
multiplicó por 14 en 2019 hasta llegar a los 84 000 dólares, mientras que en
2020 se volvió a duplicar hasta llegar a los 178 000 dólares. Sin embargo, los
rescates de los ataques de 2021 superan ampliamente estas cantidades. Según
los informes, Colonial Pipeline pagó un rescate de 5 millones de dólares a
DarkSide y tanto Acer como Apple recibieron peticiones de rescate de
50 millones de dólares.
Colaborar con los sectores público y privado es un paso para reducir la
diferencia entre la preocupación y la percepción del nivel de preparación.
En este sentido, el gobierno de los Estados Unidos ha formado un grupo de
trabajo sobre el ransomware en el que participa Cybereason. El grupo está
formado por representantes de agencias gubernamentales y organizaciones del
sector público y privado que colaboran para abordar la crisis del ransomware.
LOS ESFUERZOS DEL GRUPO DE TRABAJO DE RANSOMWARE SE DIVIDEN EN TRES CATEGORÍAS PRINCIPALES:
PREPARACIÓN, INTERRUPCIÓN Y RESPUESTA. EL RANSOMWARE ES UN PROBLEMA
GLOBAL QUE NOS AFECTA A TODOS: DEBEMOS COLABORAR PARA DETENER LAS
OPERACIONES MALICIOSAS Y ACABAR CON LA VENTAJA DE LOS ATACANTES.
22
R A N SOMWARE
R A N SOMWARE
PAGAR NO COMPENSA EN LA MAYORÍA DE CASOS
CAPÍTULO 3
Uno de los mayores problemas a los que se enfrentan las
organizaciones cuando sufren un ataque de ransomware es
la decisión de pagar o no el rescate. Si bien la capacidad de
solucionar el problema con rapidez es importante, el pago
no está exento de riesgos y hay muchos otros factores que
se deben tener en cuenta.
23
R ANS O M WA R E | CAP ÍT ULO 3
LA DOBLE EXTORSIÓN
Con la técnica de doble extorsión, los atacantes filtran datos confidenciales y
amenazan con divulgarlos públicamente. En este tipo de ataques, las víctimas se
plantean seriamente pagar el rescate aunque cuenten con copias de seguridad de
los datos como medida de precaución.
24
R ANS O M WA RE | CAP ÍTULO 3
LAS EMPRESAS
las organizaciones encuestadas que declararon haber pagado el rescate
después de un ataque, casi la mitad (46 %) indicaron que recuperaron el acceso
ENCUESTADAS
a sus datos después del pago, pero algunos o todos los datos estaban corruptos.
QUE PAGARON EL RESCATE Otras organizaciones tuvieron más suerte: más de la mitad (51 %) declararon
(46 %) RECUPERARON EL haber recuperado el acceso a los datos cifrados sin ninguna pérdida de datos.
ACCESO A LOS DATOS, PERO Únicamente el 3 % indicaron no haber recuperado el acceso a ninguno de los
TODOS Por otro lado, las organizaciones podrían preguntarse si el pago del rescate les
hace más vulnerables a futuros ataques de ransomware. La respuesta es que
SE HABÍAN CORROMPIDO. depende de las acciones que tomen para comprender y reducir las
vulnerabilidades que permitieron que el primer ataque tuviera éxito.
Por ejemplo, una organización cuyo nombre no salió a la luz sufrió un ataque
de ransomware y pagó un rescate millonario, pero eso no evitó un segundo
ataque del mismo grupo dos semanas después. En ese tiempo, no se adoptaron
las medidas necesarias para entender las causas del primer ataque ni se
implementaron medidas adicionales para remediar el vector de ataque.
25
R ANS O M WA RE | CAP ÍTULO 3
Según los datos del estudio, el 80 % de las organizaciones que pagaron el rescate
dijeron haber sufrido un segundo ataque. De estas últimas, casi la mitad (46 %)
indicaron sospechar del mismo grupo como autor del ataque, mientras que solo
el 34 % sospecharon de un grupo diferente.
1
Siga las soluciones de endpoints de última generación son inadecuadas porque se
recomendaciones basan en el reconocimiento de ataques e indicadores de riesgo previamente
de seguridad: best
identificados.
manténgase al día en
la instalación de parches, Las organizaciones necesitan ciberseguridad con visibilidad completa de todo
almacene copias de
el entorno y la capacidad de analizar los indicadores de comportamiento
seguridad de los datos
fuera del sitio y forme a sus además de los de riesgo. El comportamiento ofrece pistas sobre lo que sucede
empleados en materia de en el presente o puede suceder a corto plazo, mientras que el riesgo se limita
concienciación de seguridad a reaccionar después de las acciones maliciosas.
2
Implemente
capacidades de
prevención multicapa Es importante visualizar toda la operación maliciosa (o Malop) para
comprender el alcance del ataque y la relación entre acciones y
en todos los endpoints de la
red de la empresa. comportamientos que podrían parecer inocuos por separado. Las Malop
3
Implementesoluciones
proporcionan una comprensión más completa de cada ataque y la visibilidad,
extendidasde el contexto y la inteligencia necesarios para detectar y prevenir el ransomware
detecciónyrespuesta antes de que se produzcan daños.
en todo su entorno para
identificar los ataques
avanzados de ransomware
y detenerlos antes de que
se extiendan por la red.
27
R ANS O M WA RE
Las lecciones que se pueden extraer son bastante sencillas: el impacto de un ataque de
ransomware exitoso en los ingresos y beneficios de una organización es significativo
independientemente de la región, el sector o el tamaño de la empresa. Los ataques de
ransomware pueden tener efectos dominó de gran alcance que pueden hacer temblar los
cimientos de una organización. El resultado son daños a la reputación y pérdidas de puestos
de trabajo, de ingresos e incluso de la propia empresa en el peor de los casos.
Una gestión de riesgos eficaz requiere que las organizaciones cuenten con planes de
contingencia para afrontar las secuelas de los ataques de ransomware en todos los niveles,
pero la estrategia más prudente para evitar pérdidas importantes siempre será tener
estrategias de prevención. Incluso con capacidades de prevención sólidas que bloqueen la
mayoría de los ataques de ransomware, es inevitable que algunos superen estas defensas,
por lo que las organizaciones también deben invertir en capacidades integrales de
detección y respuesta.
28
R ANS O M WA RE
Las soluciones de copia de seguridad de datos también son muy recomendables, ya que pueden
facilitar los esfuerzos de recuperación, pero las organizaciones deben tener en cuenta que las
estrategias de los atacantes pueden convertir las copias de seguridad en prácticamente
irrelevantes en algunos casos. De forma similar, un nivel adecuado de cobertura de un
ciberseguro puede marcar la diferencia entre recuperar todas las pérdidas derivadas de un
ataque de ransomware, recuperar solo una parte de los costes o no recuperar nada.
29
R ANS O M WA RE
METODOLOGÍA DE LA ENCUESTA
La encuesta fue realizada por Censuswide en abril de 2021 en nombre de Cybereason. Contó con la participación de
1263 profesionales de ciberseguridad de Estados Unidos (24 %), Reino Unido (24 %), España (12 %), Alemania (12 %),
Francia (12 %), Emiratos Árabes Unidos (8 %) y Singapur (8 %). Hay diversidad con respecto a cuánto tiempo han
trabajado los participantes en la empresa y qué parte de él se ha desarrollado en su puesto actual.
La muestra de la encuesta incluye respuestas de una variedad de sectores. El tecnológico es el sector más
representado con un 44 %, seguido por el de la manufactura (16 %) y el financiero (11 %). El resto de los participantes
pertenecían a los sectores de la salud, de la automoción, gubernamental y legal, entre otros.
Los tamaños de las empresas representadas abarcan una gama muy amplia. El mayor grupo tiene 500 o más
empleados (30 %), pero también recibimos respuestas de empresas de entre 250 y 500 empleados (23 %),
entre 100 y 249 empleados (25 %), entre 50 y 99 empleados (11 %), entre 10 y 49 empleados (10 %) y menos de
10 empleados (1 %).
30
R ANS O M WA RE
INFORMACIÓN DE CYBEREASON
Cybereason es ideal para la ciberdefensa moderna,
ya que ofrece una protección preparada para el
futuro que unifica la seguridad en los endpoints,
en toda la organización y en todos los puntos clave
de la lucha contra los ataques. Cybereason Defense
Platform combina la detección y respuesta mejor
calificadas del sector (EDR y XDR), un antivirus de
última generación (NGAV) y la búsqueda de amenazas
proactiva para ofrecer un análisis rico en contexto
de cada elemento de las Malop (operaciones
maliciosas). Como resultado, los defensores pueden
detener los ciberataques en los endpoints o en
cualquier otro punto de la infraestructura. Cybereason
es una empresa multinacional privada con sede principal
en Boston y clientes en más de 30 países.