RANSOMWARE:

EL VERDADERO COSTE
PARA LAS EMPRESAS
PreventID

Estudio global sobre el impacto

empresarial del ransomware
 R A N S OMWA RE

INTRODUCCIÓN
PERSPECTIVA DEL CEO
En mayo de 2021, Colonial Pipeline anunció que había sido víctima de un
devastador ataque de ransomware que paró sus operaciones y cortó el
suministro de combustible a millones de clientes, lo que provocó una
perturbación económica masiva en todo el Este de los Estados Unidos.
El FBI confirmó que la banda responsable de los ataques fue DarkSide,
un grupo de hackers relativamente
. nuevo al que Cybereason sigue la pista
desde agosto de 2020.

Se calcula que se produce un ataque de ransomware cada 11 segundos y que

las pérdidas derivadas de las empresas llegarán a 20 000 millones de dólares
este mismo año a nivel mundial. Solo en 2020, el FBI confirmó que las pérdidas
totales por ransomware aumentaron un 225 % en Estados Unidos.

Y es que lidiar con las consecuencias de un ataque de ransomware es caro y

complicado. Según los datos de este estudio, los ataques de ransomware han
causado importantes daños en las operaciones de la mayoría de organizaciones,
incluyendo pérdidas de ingresos, daños al prestigio de la marca, reducciones no
planificadas de plantilla e incluso cierres totales de empresas.
2
 R A N S OMWA RE | IN TRO D UCCIÓ N : PER SPE CTIVA DEL CE O
El estudio subraya que la
prevención es la mejor estrategia
para gestionar el riesgo de
ransomware y evitar que las
organizaciones sea víctimas de
un ataque de este tipo.
LIOR DIV
CEO, CYBEREASON
3
Además, los datos revelan que la mayoría de organizaciones que pagaron el
rescate no evitaron sufrir un segundo ataque de ransomware, a menudo por
parte del mismo grupo de hackers. Por otro lado, las coberturas de los
ciberseguros no garantizan que las organizaciones recuperen las pérdidas
derivadas de los ataques de ransomware.
Las conclusiones del informe pueden ser muy útiles para analizar el impacto
de los ataques de ransomware en las empresas de los principales sectores y
perfeccionar los enfoques de defensa. El estudio subraya que la prevención es
la mejor estrategia para gestionar el riesgo de ransomware y evitar que las
organizaciones sea víctimas de un ataque de este tipo.
El objetivo de Cybereason es visibilizar las amenazas emergentes y ofrecer
información práctica para mejorar la defensa contra los ataques disruptivos
de ransomware. Juntos, podemos acabar con la ventaja de los atacantes y
devolvérsela a los sistemas defensivos.
 R ANSO M WARE

RESULTADOS GLOBALES CLAVE

La preocupación está justificada Pagar no compensa

81 %
están extremadamente
o muy preocupadas
%
66 % 42%
rt
ron
sufrie antes
impo as de
id
pérd esos
tenía
n
que n ciberseg
todas o cubrie uros
las p r
érdidon
80 % de las que
pagaron un

25
as

ar ge os
por el riesgo de in r
g
m ma dañ rescate sufrieron

se blig rra ació n

ca n
53

o e z u
vie ad r la n
de la i on
ataques de

a gan nte do
otro ataque

%
or ur erio

ro as
c
en frier

n
d p
ransomware
su

i
a
32 %
por d ejecutivo a

se viea elimina e
rch
s

29 %
oo

73 %
de alt on la ma

pues bajo

ron o r
espid
ncia

tra
tos d
renu
os

bligad
r
sufrie

tienen planes o políticas

específicos para

as
gestionar los ataques
de ransomware de
forma

42 %
creen tener el
46 %
recuperaron el
personal adecuado acceso a los datos
para realizar el al pagar el rescate,
trabajo pero algunos o todos
se habían corrompido
4
R A N SOMWARE
EL IMPACTO DEL RANSOMWARE EN LAS EMPRESAS

CAPÍTULO 1
Los ataques de ransomware pueden tener diferentes
efectos negativos en las organizaciones y las pérdidas
pueden llegar a decenas o incluso cientos de millones
de dólares. Los daños a corto plazo pueden incluir el
cese de operaciones críticas por el bloqueo de los datos,
los costes de la respuesta a los incidentes y las medidas
de mitigación, la interrupción de los procesos del sistema,
la pérdida de productividad y el precio del rescate cuando
las organizaciones aceptan la extorsión.

Entre los daños a largo plazo destacan el despido de

empleados, la pérdida de ingresos, clientes, socios
estratégicos, ejecutivos clave o prestigio de la marca y,
en algunos casos, las dudas sobre la viabilidad de la
propia empresa.

5
 R A N S OMWA RE | CAP ÍTULO 1

LAS PÉRDIDAS DE INGRESOS

De las 1263 Según los informes, FedEx sufrió pérdidas de casi 300 millones de dólares por
empresas los ataques del ransomware NotPetya en 2017 y la ciudad de Atlanta gastó más
encuestadas, un de 2,6 millones de dólares para recuperarse de un ataque del grupo SamSam

66 %
en 2018. Además, la ciudad de Baltimore gastó más de 18 millones de dólares
para reconstruir su red informática tras negarse a pagar en otro ataque del
grupo SamSam, mientras que un ataque del ransomware Maze fue clave en
sufrieron la disminución de ingresos de Cognizant Technology Solutions en 2020.
importantes
pérdidas de
ingresos

6
 R ANSO M WARE | CAPÍTULO 1

LAS PÉRDIDAS DE INGRESOS POR REGIÓN

De las 1263 empresas encuestadas, dos tercios (66 %) declararon que su
organización sufrió importantes pérdidas de ingresos como resultado directo
de un ataque de ransomware. Según las respuestas de la encuesta, el tamaño
de la empresa parece tener muy poco impacto en las pérdidas de ingresos.
El siguiente gráfico muestra el desglose de las organizaciones que sufrieron
pérdidas de ingresos por región:
Reino
Unido

61 % Alemania
España

80 % 75 %
Singapur

73 %
Francia
Estados Unidos
68 %
58 % 42 %
Emiratos Árabes Unidos

Porcentaje que sufrió pérdidas de ingresos tras un ataque de ransomware por región
7
 R ANS O M WA RE | CAP ÍTULO 1

ORGANIZACIONES QUE SUFRIERON PÉRDIDAS DE INGRESOS POR SECTOR:

75 % 73 74 64
Servicios financieros Minorista Salud

% % %
Gubernamental

64 % 58 %
Tecnología
Automoción
Según el estudio, todos los sectores son
estadísticamente vulnerables a las pérdidas
de ingresos por ransomware debido a la
interrupción de los procesos empresariales, los
periodos de inactividad del sistema, la pérdida
de prestigio de la marca y la reducción de la

51 % 50 %
capacidad técnica para la recuperación derivada Legal
Manufactura
de la desviación de recursos, entre otras causas.

Porcentaje que sufrió pérdidas de ingresos tras un ataque de ransomware por sector

8
 R A N S OMWA RE | CA P ÍTULO 1

LOS DAÑOS A LA MARCA Y LA REPUTACIÓN

Ninguna empresa quiere ser la próxima TJ Maxx, Target, Equifax o Microsoft
(tras la fuga de datos masiva que afectó a Exchange Server). Sin embargo,
los incidentes que sufrieron estas empresas palidecen en comparación con
el ataque a SolarWinds, en donde la marca se convirtió en sinónimo del
ataque en sí.
Los ataques de ransomware han demostrado que pueden destrozar la
reputación de las marcas afectadas. Por ejemplo, el Servicio Nacional de
Salud (NHS) del Reino Unido aún se está recuperando de los ataques
masivos del ransomware WannaCry en 2017, que provocaron más de
100 millones de dólares en pérdidas y más de 19 000 citas canceladas.
Parece claro que este nivel de interrupción del servicio tuvo un impacto
negativo en la percepción de la fiabilidad del NHS por parte de sus clientes.

Según la encuesta, más de la mitad de las organizaciones (53 %) declararon

que su imagen de marca sufrió daños tras un ataque de ransomware. Los
países con menor porcentaje de organizaciones que indicaron sufrir daños
en su reputación tras uno de estos ataques fueron Singapur (40 %), España
(44 %) y Francia (49 %). Más de la mitad de las organizaciones encuestadas
en Alemania (51 %), Emiratos Árabes Unidos (54 %), Estados Unidos (56 %)
y el Reino Unido (63 %) dijeron haber sufrido un impacto negativo en sus
marcas.

9
 R ANS O M WA RE | CA P ÍTULO 1

Algunas organizaciones creen estar

totalmente preparadas para afrontar el
impacto de un ataque de ransomware
mediante la cobertura de un ciberseguro,
la conservación de copias de seguridad de
los datos y la capacidad de recuperarse con
rapidez. La realidad es que, por muy preparada
que esté una organización para responder a
estos ataques, su marca podría sufrir daños
importantes independientemente del resto
de factores.

10
 R ANS O M WA RE | CAP ÍTULO 1

LOS DESPIDOS Y RENUNCIAS DE EJECUTIVOS DE MÁXIMO NIVEL

Por desgracia, los directores de seguridad de la información (CISO) son una
de las víctimas más habituales de los incidentes de seguridad. La permanencia
en su puesto de los CISO no deja de disminuir con el paso de los años y
actualmente se sitúa entre los 18 y 26 meses. Por otro lado, la mayoría de los
CISO no ocupan puestos tradicionales de máximo nivel en sus organizaciones

LOS ATAQUES pese a lo que pudiera indicar el nombre de su puesto.

DE RANSOMWARE En ese sentido, aunque se podría pensar que los ejecutivos de máximo nivel
TAMBIÉN SUPONEN son inmunes a las consecuencias de un evento de seguridad importante, lo
UN RIESGO PARA LOS cierto es que no lo son. Los directores ejecutivos (CEO) de Target, Home
EJECUTIVOS DE Depot, Sony y TalkTalk fueron despedidos, dimitieron o se retiraron
MÁXIMO NIVEL anticipadamente debido a importantes incidentes de seguridad.

Los ataques de ransomware también suponen un riesgo para los ejecutivos

de máximo nivel: en 2020, el CEO y presidente de ERT, Jim Corrigan, se vio
obligado a dimitir tras un ataque de ransomware que retrasó los ensayos
de la vacuna de la COVID-19 de la empresa. Por su parte, casi un tercio de
las empresas encuestadas (32 %) indicaron haber sufrido la marcha de altos
ejecutivos después de un ataque de ransomware, ya sea por despido o
renuncia.

11
R A N S OMWA RE | CA P ÍTULO 1

En resumen, contar con las capacidades de prevención, detección y respuesta

adecuadas para evitar los intentos de ataques de ransomware puede tener un
impacto directo en la permanencia en su puesto de los equipos ejecutivos.
Según los resultados de la encuesta, todo parece indicar que los eventos de
seguridad importantes, como los ataques de ransomware que consiguen
infectar los sistemas, producen debates intensos en las salas de juntas debido
a su gran impacto en las organizaciones víctimas.

LOS DESPIDOS DE EMPLEADOS Y PERSONAL

Los puestos de máximo nivel no son los únicos en peligro: los empleados de
base también pueden ser víctimas del ransomware durante el proceso de vuelta
a la normalidad posterior a los ataques. En 2020, el fabricante de acero Evraz
anunció despidos masivos en sus equipos de producción y montaje de tuberías
tras un ataque de ransomware que tuvo un gran impacto en las operaciones de
la empresa en América del Norte.

Los resultados del estudio confirman esta triste consecuencia: casi un tercio de
las organizaciones encuestadas (29 %) se vieron obligadas a eliminar puestos de
trabajo después de uno de estos incidentes. Las organizaciones de Singapur
(13 %), Alemania (19 %) y los Emiratos Árabes Unidos (29 %) estuvieron por
debajo de la media o la igualaron y las del Reino Unido (31 %), España (31 %) y
Estados Unidos (33 %) la superaron. Las organizaciones de Francia destacaron
especialmente en este dato negativo, ya que el 39 % de ellas se vieron obligadas
a tomar esta medida drástica.
12
 R ANS O M WA RE | CAP ÍTULO 1

Por sectores, las empresas gubernamentales encuestadas indicaron no

haber sufrido pérdidas de puestos de trabajo, mientras que los sectores
automotriz, minorista y legal se llevaron la peor parte. En conclusión, las
plantillas de las empresas del sector público podrían estar a salvo hasta
cierto punto del impacto de los ataques de ransomware, pero las del sector
privado suelen sufrir reducciones con independencia del sector:

SECTOR PORCENTAJE QUE INFORMÓ DE DESPIDOS

Legal 50 %
Minorista 48 %
Automoción 42 %
Manufactura 29 %
Tecnología 29 %
Salud 24 %
Servicios financieros 23 %
Gubernamental 0%
Porcentaje que informó de despidos tras un ataque de ransomware por sector

13
 R ANS O M WA RE | CAP ÍTULO 1

EL CIERRE OBLIGADO DE LA EMPRESA

PORCENTAJE DE EMPRESAS Por último, el mayor impacto que el ransomware puede provocar en las
QUE CERRARON organizaciones es la desaparición de la propia empresa. Unos días antes de
Navidad y tras un ataque de ransomware que inhabilitó sus servidores de
producción por un periodo prolongado, la empresa de telemarketing The
Heritage Company informó a sus 300 empleados que iban a cesar sus
operaciones y tendrían que buscar otro trabajo.

31 %
Estados Unidos
El cierre total de una empresa tras un ataque de ransomware podría parecer
un caso extremo, pero es un riesgo más inmediato de lo que los ejecutivos
suelen asumir. Más de una cuarta parte de las organizaciones encuestadas
(25 %) declararon que un ataque de ransomware les había obligado a cerrar
durante un tiempo. El siguiente gráfico muestra un mayor desglose por región:

REGIÓN PORCENTAJE DE EMPRESAS QUE CERRARON

Emiratos Árabes Unidos 42 %
Porcentaje de empresas que
Reino Unido 34 %
declararon haber cerrado
tras un ataque de Estados Unidos 31 %
ransomware por región Francia 22 %
Alemania 21 %
Singapur 20 %
España 5%

14
 R ANS O M WA R E | CAP ÍT ULO 1

Al analizar las respuestas de la encuesta en función del sector y el tamaño

de la plantilla, los resultados fueron variados. Por ejemplo, más de una
cuarta parte de las organizaciones que se vieron obligadas a cerrar (27 %)
tenían entre 250 y 500 empleados, mientras que por sector, las automotrices
y minoristas fueron las más afectadas con un 42 y 33 % respectivamente.
Los resultados muestran claramente que ningún sector es inmune a los
resultados potencialmente catastróficos de un ataque de ransomware.
NINGÚN
SECTOR ES
INMUNE A LOS ¿PUEDE UN CIBERSEGURO CUBRIR LOS COSTES?
RESULTADOS Según un estudio de uno de los mayores proveedores de ciberseguros de
POTENCIALMENTE América del Norte, los ataques de ransomware provocaron casi la mitad de
CATASTRÓFICOS las reclamaciones de este tipo (41 %) presentadas en el primer semestre de
DE UN ATAQUE DE 2020. Por desgracia, aunque muchas organizaciones puedan creer que los
RANSOMWARE ciberseguros cubren cualquier coste derivado de los ataques de ransomware,
la realidad es muy diferente.

Por ejemplo, cuando Nueva Orleans sufrió un ataque de ransomware que

provocó pérdidas de más de 7 millones de dólares, la aseguradora solo pagó 3
millones de dólares a la ciudad pese a que la póliza cubría pérdidas derivadas
de los ataques de ransomware.

15
R ANS O M WA RE | CAP ÍTULO 1

Este escenario también se confirma en los resultados del estudio: el 54 % de

las organizaciones encuestadas indicaron haber adquirido una póliza de
ciberseguro que cubría el ransomware en los últimos 24 meses, mientras que el
21 % afirmaron haber contratado una póliza que no cubría las pérdidas
derivadas de estos ataques.

Entre las organizaciones que tenían pólizas de ciberseguros y sufrieron ataques

de ransomware, un 42 % declararon que su aseguradora solo cubrió parte de
las pérdidas. Los resultados sugieren un impacto importante en las empresas
que no tienen un seguro adecuado, pero también un riesgo de impacto
significativo incluso en las que lo tienen. En resumen, aunque las organizaciones
tengan un ciberseguro, deben analizar al detalle si la cobertura es la adecuada.

LAS INVERSIONES DE SEGURIDAD TRAS UN ATAQUE DE RANSOMWARE

Hace tiempo que existe una paradoja en materia de ciberdefensa, ya que el éxito
de un programa de seguridad suele tener como objetivo demostrar la ausencia
de hallazgos. Y ante la falta de incidentes importantes, las empresas podrían
pensar que no hay motivos para mantener su inversión en soluciones y
operaciones de seguridad. Por desgracia, suele ser necesario un gran evento
para estimular inversiones adicionales en el programa, las herramientas y la
contratación de personal de seguridad.

16
 R ANS O M WA RE | CAP ÍTULO 1

En la encuesta, le preguntamos a las organizaciones que indicaron haber

sufrido un ataque de ransomware en los últimos 24 meses que compartieran
las soluciones de seguridad en las que invirtieron tras el ataque para aumentar
la protección de sus redes ante cualquier evento futuro.

La siguiente tabla compara esas inversiones con las soluciones ya implementadas

en las organizaciones que indicaron no haber sufrido uno de estos ataques los
últimos 24 meses. Esta vista ofrece una comparación en paralelo de las
soluciones implementadas que podrían haber protegido a las organizaciones
de un ataque de ransomware y las inversiones realizadas.

70 %

60 %

50 %

40 %

30 %

20 %

10 %

0%
Formación de Centro de Protección Copia de Análisis Escaneo Solución Software Seguridad MSSP Sin inversiones
concienciación operaciones de endpoints seguridad de correo web de EDR/XDR antivirus móvil/SMS y/o MDR adicionales
de seguridad de seguridad (EPP) y recuperación electrónico
(SOC) de datos
Soluciones previas al ataque de ransomware Inversiones posteriores al ataque
17
 R A N SO M WA RE | CA P Í T U LO 1

LAS 5 MEJORES SOLUCIONES ANÁLISIS DE CORREO

ELECTRÓNICO

IMPLEMENTADAS DESPUÉS DE 41 %
UN ATAQUE DE RANSOMWARE COPIA DE SEGURIDAD Y
RECUPERACIÓN DE DATOS

43 %
PROTECCIÓN DE
ENDPOINTS

44 %
CENTRO DE
OPERACIONES DE
SEGURIDAD (SOC)

48 %
FORMACIÓN DE
CONCIENCIACIÓN
DE SEGURIDAD
18 48 %
 R A N SOMWARE | CAPÍTULO 1

R A N SOMWARE
RANSOMWARE: ¿A QUIÉN LE PREOCUPA? A TODOS

CAPÍTULO 2
Una de las conclusiones más importantes del estudio
es a la vez preocupante y alentadora. Al preguntarles
cuál era su nivel de preocupación por los riesgos
derivados del ransomware, más de cuatro de cada cinco
organizaciones (81 %) indicaron estar extremadamente o
muy preocupadas por el riesgo de ataques. La respuesta
es preocupante por dos motivos: muestra que el
ransomware es una amenaza generalizada e ilustra la
urgencia de abordar la crisis. Si trabaja en ciberseguridad
y el ransomware no le preocupa, simplemente no está
prestando suficiente atención.

19
 R ANS O M WA RE | CAP ÍTULO 2

La gran mayoría de organizaciones reconoce la gravedad del riesgo, pero

los datos muestran que podría existir una desconexión o falsa sensación de
Casi el

75 %
confianza en la percepción sobre su nivel de preparación para defenderse
del ransomware. Casi el 75 % de las empresas participantes afirmaron tener
un plan o una política específicos para gestionar de forma eficaz un ataque
de las empresas de ransomware y casi el 60 % creen tener el personal adecuado para realizar
participantes el trabajo. Sin embargo, la mayoría de organizaciones están preocupadas por
afirmaron tener el ransomware, lo que supone una aparente paradoja.
un plan o una
política específicos Curiosamente, Estados Unidos destacó por tener más organizaciones que
para gestionar de creían contar con el personal adecuado (69 %) que las que indicaron tener
forma eficaz un un plan o política (58 %). Esto sugiere que algunas empresas estadounidenses
confían tanto en su equipo de seguridad informática que CREEN que será
ataque de
suficiente para protegerlas incluso sin un proceso establecido.
ransomware

Mientras tanto, Estados Unidos sigue sufriendo la peor parte de los ataques
de ransomware más importantes, por lo que un estudio como este debería
ayudar a corregir esta anomalía y clarificar las posibles consecuencias de estos
ataques para las organizaciones. En países como el Reino Unido, Alemania,
España y Francia, entre el 73 % y el 87 % de empresas indicaron tener un plan
o política y entre el 45 % y el 66 % declararon tener el personal adecuado, en
contraste con los resultados de Estados Unidos.

20
 R ANS O M WA RE | CAP ÍTULO 2

Incluso con un gran porcentaje de organizaciones que creen tener las

PRIMERO, LOS ATAQUES DE políticas y el personal para defenderse contra el ransomware, el último

DOBLE EXTORSIÓN
FILTRAN DATOS
CONFIDENCIALES Y PROPIEDAD
INTELECTUAL. ENTONCES, LOS
ATACANTES AMENAZAN CON
DIVULGAR O VENDER LOS
DATOS ROBADOS SI NO SE
PAGA EL RESCATE,
año ha sido especialmente problemático. Mientras las empresas de todo
el mundo luchaban por hacer frente a la pandemia de COVID-19 y muchas
empresas adoptaban un modelo de trabajo totalmente remoto de la noche
a la mañana, los ciberdelincuentes detectaron la oportunidad de aprovechar
el caos y la confusión. Esta situación creó retos importantes para los equipos
de seguridad informática, ya que expandió la superficie de ataque y dificultó
la visibilidad. Además, el ransomware permite a los atacantes seguir infectando
sistemas y cobrando rescates mientras guardan cuarentena o respetan los

POR LO QUE NO
protocolos de distanciamiento social.
Aunque el volumen general de ataques de ransomware parece disminuir, los

BASTA CON ataques existentes son más sofisticados y tienen un impacto más devastador.
En los últimos años, las empresas han mejorado los procesos y las tecnologías

TENER COPIAS de copia de seguridad en respuesta al aumento de ataques de ransomware.

Cuando se produce uno de estos incidentes, podían ignorar la petición de

DE SEGURIDAD rescate, restaurar los sistemas desde la copia de seguridad y reanudar sus
actividades. Sin embargo, los ciberdelincuentes se han adaptado y han creado

DE LA
los ataques de malware de doble extorsión. En lugar de limitarse a cifrar datos,
los ataques de doble extorsión filtran datos confidenciales y propiedad

INFORMACIÓN.
intelectual. Después, los atacantes amenazan con divulgar o vender los datos
robados si no se paga el rescate, por lo que no basta con tener copias de
seguridad de la información.
21
 R ANS O M WA RE | CAP ÍTULO 2

Al mismo tiempo, las peticiones de rescate se han disparado. Según los informes,
el rescate medio de ransomware en 2018 fue de 6000 dólares. La cifra se
multiplicó por 14 en 2019 hasta llegar a los 84 000 dólares, mientras que en
2020 se volvió a duplicar hasta llegar a los 178 000 dólares. Sin embargo, los
rescates de los ataques de 2021 superan ampliamente estas cantidades. Según
los informes, Colonial Pipeline pagó un rescate de 5 millones de dólares a
DarkSide y tanto Acer como Apple recibieron peticiones de rescate de
50 millones de dólares.
Colaborar con los sectores público y privado es un paso para reducir la
diferencia entre la preocupación y la percepción del nivel de preparación.
En este sentido, el gobierno de los Estados Unidos ha formado un grupo de
trabajo sobre el ransomware en el que participa Cybereason. El grupo está
formado por representantes de agencias gubernamentales y organizaciones del
sector público y privado que colaboran para abordar la crisis del ransomware.

LOS ESFUERZOS DEL GRUPO DE TRABAJO DE RANSOMWARE SE DIVIDEN EN TRES CATEGORÍAS PRINCIPALES:
PREPARACIÓN, INTERRUPCIÓN Y RESPUESTA. EL RANSOMWARE ES UN PROBLEMA
GLOBAL QUE NOS AFECTA A TODOS: DEBEMOS COLABORAR PARA DETENER LAS
OPERACIONES MALICIOSAS Y ACABAR CON LA VENTAJA DE LOS ATACANTES.
22
 R A N SOMWARE

R A N SOMWARE
PAGAR NO COMPENSA EN LA MAYORÍA DE CASOS

CAPÍTULO 3
Uno de los mayores problemas a los que se enfrentan las
organizaciones cuando sufren un ataque de ransomware es
la decisión de pagar o no el rescate. Si bien la capacidad de
solucionar el problema con rapidez es importante, el pago
no está exento de riesgos y hay muchos otros factores que
se deben tener en cuenta.

¿Deben las organizaciones contratar especialistas para

negociar los términos del pago? ¿Respetarán los atacantes
su parte del trato y devolverán el acceso a todos los datos?
¿Qué sucede si los datos se corrompen en el proceso?
¿Y si los atacantes residen en un país sujeto a sanciones
que pudieran convertir el pago en un delito? ¿Animará el
pago a los grupos de hackers a realizar nuevos ataques de
ransomware? ¿Cuáles son los riesgos para la organización
si no se realiza el pago?

23
R ANS O M WA R E | CAP ÍT ULO 3

Es una situación difícil en la que no existen recomendaciones claras, ya que cada

infiltración, grupo de ataque, organización víctima, conjunto de datos en peligro
y organización externa que podría verse afectada es un elemento independiente.
Existen numerosos factores que se deben considerar al decidir si pagar el
rescate, por lo que la mayoría de los escenarios de ataque de ransomware se
deben evaluar caso por caso.

LA DOBLE EXTORSIÓN
Con la técnica de doble extorsión, los atacantes filtran datos confidenciales y
amenazan con divulgarlos públicamente. En este tipo de ataques, las víctimas se
plantean seriamente pagar el rescate aunque cuenten con copias de seguridad de
los datos como medida de precaución.

En incidentes recientes, varios grupos de ransomware han adoptado otros enfoques

de doble extorsión para aumentar sus opciones de recibir el dinero del rescate. En
abril de 2021, por ejemplo, se supo que la banda de ransomware DarkSide
ejercía presión adicional sobre sus objetivos al amenazar con filtrar información
privilegiada a traders para que estos tomaran posiciones cortas contra empresas
que cotizan en bolsa si estas se negaban a pagar el rescate.

24
 R ANS O M WA RE | CAP ÍTULO 3

CASI ¿QuÉ SUCEDE SI SE PAGA EL RESCATE?

LA MITAD DE Con tanto en riesgo, la gran pregunta es si pagar el rescate vale la pena. Entre

LAS EMPRESAS
las organizaciones encuestadas que declararon haber pagado el rescate
después de un ataque, casi la mitad (46 %) indicaron que recuperaron el acceso

ENCUESTADAS
a sus datos después del pago, pero algunos o todos los datos estaban corruptos.

QUE PAGARON EL RESCATE Otras organizaciones tuvieron más suerte: más de la mitad (51 %) declararon
(46 %) RECUPERARON EL haber recuperado el acceso a los datos cifrados sin ninguna pérdida de datos.
ACCESO A LOS DATOS, PERO Únicamente el 3 % indicaron no haber recuperado el acceso a ninguno de los

ALGUNOS O datos cifrados.

TODOS Por otro lado, las organizaciones podrían preguntarse si el pago del rescate les
hace más vulnerables a futuros ataques de ransomware. La respuesta es que
SE HABÍAN CORROMPIDO. depende de las acciones que tomen para comprender y reducir las
vulnerabilidades que permitieron que el primer ataque tuviera éxito.

Por ejemplo, una organización cuyo nombre no salió a la luz sufrió un ataque
de ransomware y pagó un rescate millonario, pero eso no evitó un segundo
ataque del mismo grupo dos semanas después. En ese tiempo, no se adoptaron
las medidas necesarias para entender las causas del primer ataque ni se
implementaron medidas adicionales para remediar el vector de ataque.

25
R ANS O M WA RE | CAP ÍTULO 3

Según los datos del estudio, el 80 % de las organizaciones que pagaron el rescate
dijeron haber sufrido un segundo ataque. De estas últimas, casi la mitad (46 %)
indicaron sospechar del mismo grupo como autor del ataque, mientras que solo
el 34 % sospecharon de un grupo diferente.

LA DEFENSA CONTRA EL RANSOMWARE

Cuando el ransomware ha infectado a una organización, ninguna de las opciones
es buena. Si no se paga el rescate, la empresa se puede paralizar durante días o
incluso semanas mientras se restauran los sistemas y los datos desde las copias
de seguridad. Si el ataque es de doble extorsión, no pagar el rescate también
implica aceptar el riesgo de que los datos confidenciales o la propiedad intelectual
se expongan públicamente o se vendan al mejor postor en la Dark Web. De hecho,
el impacto financiero de las pérdidas económicas y de productividad, sumado al
coste de los esfuerzos de recuperación, suele ser mayor que el de pagar el rescate.

La alternativa, acceder a las peticiones de los atacantes, tampoco está exenta de

riesgos y problemas. Como ya hemos comentado, muchas organizaciones que
pagan el rescate recuperan el acceso a sus datos, pero descubren que algunos o
todos se han corrompido. La herramienta de descifrado que proporcionan los
atacantes suele tener errores o ser lenta, lo que obliga a las empresas a restaurar
los datos desde sus propias copias de seguridad incluso tras pagar el rescate.
Por otro lado, acceder a las peticiones de los hackers tampoco garantiza que los
datos dejen de estar a la venta en redes clandestinas.
26
 R ANS O M WA RE | CAP ÍTULO 3

La única opción aceptable es evitar llegar al punto en el que el ransomware

3 CONSEJOS PARA LA DEFEN
infecta los sistemas. Las herramientas tradicionales de ciberseguridad y las
SA CONTRA EL RANSOMWARE

1
Siga las
recomendaciones
de seguridad: best
manténgase al día en
la instalación de parches,
almacene copias de
seguridad de los datos
fuera del sitio y forme a sus
empleados en materia de
concienciación de seguridad
soluciones de endpoints de última generación son inadecuadas porque se
basan en el reconocimiento de ataques e indicadores de riesgo previamente
identificados.
Las organizaciones necesitan ciberseguridad con visibilidad completa de todo
el entorno y la capacidad de analizar los indicadores de comportamiento
además de los de riesgo. El comportamiento ofrece pistas sobre lo que sucede
en el presente o puede suceder a corto plazo, mientras que el riesgo se limita
a reaccionar después de las acciones maliciosas.

2
Implemente
capacidades de
prevención multicapa Es importante visualizar toda la operación maliciosa (o Malop) para
comprender el alcance del ataque y la relación entre acciones y
en todos los endpoints de la
red de la empresa. comportamientos que podrían parecer inocuos por separado. Las Malop

3
Implementesoluciones
proporcionan una comprensión más completa de cada ataque y la visibilidad,
extendidasde el contexto y la inteligencia necesarios para detectar y prevenir el ransomware
detecciónyrespuesta antes de que se produzcan daños.
en todo su entorno para
identificar los ataques
avanzados de ransomware
y detenerlos antes de que
se extiendan por la red.

27
 R ANS O M WA RE

Conclusiones y lecciones aprendidas

Las lecciones que se pueden extraer son bastante sencillas: el impacto de un ataque de
ransomware exitoso en los ingresos y beneficios de una organización es significativo
independientemente de la región, el sector o el tamaño de la empresa. Los ataques de
ransomware pueden tener efectos dominó de gran alcance que pueden hacer temblar los
cimientos de una organización. El resultado son daños a la reputación y pérdidas de puestos
de trabajo, de ingresos e incluso de la propia empresa en el peor de los casos.

Una gestión de riesgos eficaz requiere que las organizaciones cuenten con planes de
contingencia para afrontar las secuelas de los ataques de ransomware en todos los niveles,
pero la estrategia más prudente para evitar pérdidas importantes siempre será tener
estrategias de prevención. Incluso con capacidades de prevención sólidas que bloqueen la
mayoría de los ataques de ransomware, es inevitable que algunos superen estas defensas,
por lo que las organizaciones también deben invertir en capacidades integrales de
detección y respuesta.

28
 R ANS O M WA RE

Las soluciones de copia de seguridad de datos también son muy recomendables, ya que pueden
facilitar los esfuerzos de recuperación, pero las organizaciones deben tener en cuenta que las
estrategias de los atacantes pueden convertir las copias de seguridad en prácticamente
irrelevantes en algunos casos. De forma similar, un nivel adecuado de cobertura de un
ciberseguro puede marcar la diferencia entre recuperar todas las pérdidas derivadas de un
ataque de ransomware, recuperar solo una parte de los costes o no recuperar nada.

Las organizaciones deben asegurarse de tener las soluciones de seguridad adecuadas y el

personal con las habilidades necesarias para garantizar que los ataques de ransomware se
bloqueen directamente con soluciones y controles de seguridad efectivos o, en su defecto,
se detecten en sus primeras etapas y se mitiguen antes de que puedan escalar y producir
daños graves a la empresa.

29
 R ANS O M WA RE

METODOLOGÍA DE LA ENCUESTA
La encuesta fue realizada por Censuswide en abril de 2021 en nombre de Cybereason. Contó con la participación de
1263 profesionales de ciberseguridad de Estados Unidos (24 %), Reino Unido (24 %), España (12 %), Alemania (12 %),
Francia (12 %), Emiratos Árabes Unidos (8 %) y Singapur (8 %). Hay diversidad con respecto a cuánto tiempo han
trabajado los participantes en la empresa y qué parte de él se ha desarrollado en su puesto actual.

La muestra de la encuesta incluye respuestas de una variedad de sectores. El tecnológico es el sector más
representado con un 44 %, seguido por el de la manufactura (16 %) y el financiero (11 %). El resto de los participantes
pertenecían a los sectores de la salud, de la automoción, gubernamental y legal, entre otros.

Los tamaños de las empresas representadas abarcan una gama muy amplia. El mayor grupo tiene 500 o más
empleados (30 %), pero también recibimos respuestas de empresas de entre 250 y 500 empleados (23 %),
entre 100 y 249 empleados (25 %), entre 50 y 99 empleados (11 %), entre 10 y 49 empleados (10 %) y menos de
10 empleados (1 %).

30
 R ANS O M WA RE

INFORMACIÓN DE CYBEREASON
Cybereason es ideal para la ciberdefensa moderna,
ya que ofrece una protección preparada para el
futuro que unifica la seguridad en los endpoints,
en toda la organización y en todos los puntos clave
de la lucha contra los ataques. Cybereason Defense
Platform combina la detección y respuesta mejor
calificadas del sector (EDR y XDR), un antivirus de
última generación (NGAV) y la búsqueda de amenazas
proactiva para ofrecer un análisis rico en contexto
de cada elemento de las Malop (operaciones
maliciosas). Como resultado, los defensores pueden
detener los ciberataques en los endpoints o en
cualquier otro punto de la infraestructura. Cybereason
es una empresa multinacional privada con sede principal
en Boston y clientes en más de 30 países.

Consulte todos los detalles en www.cybereason.com

©Cybereason 2021. Todos los derechos reservados.