Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Report - Ransomware-Global-Research - LR - es-MX - (1) 2022 FORTINET
Report - Ransomware-Global-Research - LR - es-MX - (1) 2022 FORTINET
Resumen ejecutivo
Fortinet encuestó recientemente a 569 líderes de ciberseguridad y personas
responsables de la toma de decisiones de organizaciones de todos los tamaños
e industrias en todo el mundo para conocer sus perspectivas sobre el ransomware,
cómo afecta a sus organizaciones y qué estrategias implementan para mitigar un posible
ataque. En la encuesta de este año, más del 80 % de los encuestados expresan que Aunque el 78 % de las
están “muy” o “extremadamente” preocupados por la amenaza del ransomware, aunque organizaciones creen que están
un número similar (78 %) de las organizaciones encuestadas también creen que están “muy” o “extremadamente”
“muy” o “extremadamente” preparados para impedir una violación de datos. A pesar preparadas para mitigar un
ataque, el 50 % fue víctima del
de esas preocupaciones y estados de preparación, la mitad de las organizaciones
ransomware el año pasado.
encuestadas fueron víctimas de ransomware el año pasado.
De las organizaciones que experimentaron un incidente de ransomware, el 71 % dijo que pagó al menos una parte del rescate que
se exigía, aunque el 72 % indicó que detectó el incidente en horas (por lo general, en minutos). Además, aunque casi todos los
encuestados tenían ciberseguro, esto no garantizaba que se cubrieran todos los costos o que se restauraran los datos. De hecho,
solo el 35 % de los afectados por ransomware recuperaron todos sus datos después del incidente.
Aunque, no todo son malas noticias. De hecho, a pesar de la incertidumbre económica, casi todos los líderes encuestados (91 %)
esperan mayores presupuestos de seguridad en el próximo año para invertir en tecnologías y servicios que protejan aún más sus
redes de un posible ataque de ransomware. En general, la prioridad de los líderes de seguridad es implementar tecnologías avanzadas
como inteligencia artificial (IA) y aprendizaje automático (ML) que permitan una detección de amenazas más rápida, seguida de un
monitoreo central para acelerar la respuesta. Específicamente, la seguridad del Internet de las cosas (IoT) y los Next-Generation
Firewall (NGFW) encabezaron la lista de áreas y productos en los que los líderes planearon invertir, con el mayor aumento en los planes
para implementar la detección y respuesta de endpoint (EDR) y soluciones de Secure Email Gateway (SEG). Este es un plan prometedor,
ya que los encuestados informaron que los correos electrónicos de suplantación de identidad fueron el método número uno que los
actores de ransomware usaron para ingresar. Por supuesto, el endpoint es el destino final del ransomware.
Curiosamente, si bien muchos líderes de seguridad creen tradicionalmente que comprar el mejor producto individual para un proyecto
generará la postura de ciberseguridad más sólida, los datos de la encuesta de este año indican que aquellas organizaciones que
informaron la adopción de un enfoque de producto puntual tenían más probabilidades de convertirse en víctimas de ransomware.
Sin embargo, la tecnología es solo una parte de la solución. La encuesta determinó que cuatro de los cinco desafíos principales
para la prevención del ransomware estaban relacionados con las personas y los procesos.
A medida que prolifera el ransomware y los métodos de los atacantes se vuelven más sofisticados, las organizaciones de todas las
configuraciones y tamaños son un objetivo, por lo que es crucial que los líderes de seguridad inviertan actualmente en tecnologías,
personas y procesos adecuados para evitar un incidente de ransomware en el futuro.
Si bien el crecimiento anual del ransomware se desaceleró en 2022, luego del incremento de este método de ataque en 2021, la
frecuencia sigue aumentando. Por ejemplo, en la primera mitad de 2022, FortiGuard Labs observó la introducción de 10,666 nuevas
variantes, el doble de la cantidad observada en los seis meses anteriores.2 La razón probable del cambio es que las operaciones de
Ransomware como Servicio (RaaS) están madurando, lo que permite a los cibercriminales introducir con éxito variantes nuevas, más
sofisticadas y agresivas que antes. Además, también están siendo más selectivos, apuntando específicamente a organizaciones
capaces de proporcionar un pago cuantioso. En contraste con el éxito inicial de RaaS, que inicialmente dependía del volumen (más
afiliados implicaba más oportunidades para infiltrarse en las redes y lanzar ataques), los operadores de RaaS son cada vez más
selectivos con respecto a los asociados que permiten unirse a sus operaciones.
2
INFORME | Informe global sobre el ransomware 2023
Este enfoque más sistemático para ejecutar ataques de ransomware está teniendo un mayor éxito. Para empezar, dedican más tiempo
a hacer reconocimientos para identificar objetivos lucrativos, lo que significa que muchas demandas de rescate actualmente alcanzan
decenas de millones de dólares. Además, los rescates que estos grupos exigen a sus objetivos tienden a ser proporcionales al tamaño
y la industria de la organización. Muchas organizaciones de cibercriminales usan una fórmula para determinar qué cantidad pedir para
que sea más probable que la víctima pague.
Esta creciente madurez de las operaciones de ransomware es algo que debía pasar, dado que el RaaS es un importante impulsor
del Crimen como Servicio (CaaS). Sin embargo, conforme los operadores de RaaS se vuelven más agresivos con sus manuales de
estrategias e incorporan elementos cada vez más destructivos en los ataques, como el uso creciente de wipers, las organizaciones
de todas las configuraciones y tamaños deben implementar estrategias de seguridad adecuadas para mitigar posibles violaciones
de datos.
Las organizaciones
38 % 41 % con entre 2,501-
5,000 empleados 48 %
Extremadamente son más propen- Prioridad más importante
sas que las empre-
sas más pequeñas
Muy 3 prioridades principales
a preocuparse
y considerar la
estrategia como
Moderadamente Prioridad moderada
la prioridad más
38 % importante
No mucho 43 %
Prioridad baja
43 %
En absoluto No es una prioridad
18 %
13 %
9%
4% 2%
1% 0%
Desafortunadamente, la realidad es que continúa existiendo una desconexión entre las percepciones de los encuestados sobre
la preparación de su organización y su capacidad para prevenir un incidente de ransomware. De los encuestados este año, la mitad
de las empresas fueron víctimas de un ataque de ransomware en los últimos 12 meses y el 46 % fue objetivo de ransomware dos
o más veces.
De las organizaciones encuestadas que fueron víctimas de un ataque de ransomware en 2022, la suplantación de identidad (dirigida
a una persona o grupo vía correos electrónicos maliciosos) continuó siendo la táctica principal (56 %) una vez más. A esto le siguió el
acceso a través de puertos vulnerables (54 %) y las vulnerabilidades de seguridad del protocolo de escritorio remoto (51 %), que ocupó
el segundo y tercer lugar de la lista. Con varios métodos informados por más del 50 % de los encuestados, parece que los operadores
de ransomware buscan varias vías como parte del mismo ataque o de ataques posteriores.
3
INFORME | Informe global sobre el ransomware 2023
No estoy seguro Sí 50 %
16 % 16
16 %
%
No 48 %
Dos veces
21 % 21 %
Una vez
28 % 30 % No estoy seguro 2%
Ninguna
2021 2023
La mayoría de los encuestados cuyas empresas experimentaron un ataque de ransomware tienen una política que dicta que pagan el
rescate solicitado. Es importante destacar que, a pesar de que la mayoría (72 %) detectó el incidente en horas, a veces minutos, más
del 70 % dijo que pagó al menos una parte del rescate que exigieron los atacantes, a pesar del asesoramiento del FBI sobre que pagar
el rescate solo alimenta el problema y no garantiza que las organizaciones recuperen sus datos.3
Curiosamente, las organizaciones de ciertas industrias tenían más probabilidades de pagar el rescate que otras. Por ejemplo, las
organizaciones del sector manufacturero pagaron el rescate solicitado con más frecuencia que las de otras industrias. Por lo general,
la cantidad solicitada también era mayor; de hecho, en el 25 % de las infracciones entre las empresas de fabricación, el rescate que
se exigió fue de USD 1 millón o más. La disposición a pagar de la industria es comprensible dado que el costo del tiempo de inactividad
es muy alto. Adicionalmente, los adversarios exigen más a estas empresas porque saben que las empresas pueden pagar.
Dicho esto, ni pagar el rescate ni esperar que el ciberseguro cubra las pérdidas es una estrategia efectiva para mitigar un ataque.
De hecho, el 65 % de los encuestados no pudo recuperar todos sus datos después del ataque. Además, casi la mitad (41 %) de las
organizaciones con ciberseguro no recibieron tanta cobertura como se esperaba, y en algunos casos, no recibieron ninguna debido
a una excepción de la aseguradora.
También es prometedor que, a pesar del entorno económico general, el 91 % de las organizaciones esperan que sus presupuestos
de seguridad aumenten, y de ese grupo, muchas (42 %) esperan que sus presupuestos aumenten más del 10 % durante el próximo
año, lo que les permitirá hacer inversiones para enfrentar los desafíos de ransomware. Para salvaguardar sus respectivas empresas,
los equipos de seguridad también dijeron que están invirtiendo en tecnología de ciberseguridad adicional, informando ataques con
mayor frecuencia a las autoridades y aprovechando su ciberseguro, cuando sea necesario.
Ninguna inversión individual se destacó como la respuesta percibida para mitigar el ransomware, lo cual es una buena señal. En su
lugar, se citó una gama de soluciones como esenciales para protegerse contra los ataques de ransomware. La mitad o más de los
4
INFORME | Informe global sobre el ransomware 2023
encuestados mencionaron cada una de las siguientes tecnologías de seguridad como cruciales para sus estrategias: seguridad del IoT,
SASE, protección de carga de trabajo en la nube, NGFW, EDR, acceso a la red de confianza cero (ZTNA) y SEG. En comparación con
la encuesta de 2021, la cantidad de encuestados que citaron las tecnologías ZTNA y SEG como herramientas críticas aumentó casi un
20 %. Este cambio de percepción es una buena noticia, dado que la suplantación de identidad continúa siendo el vector de ataque más
común para obtener acceso a la red de una organización y establecer controles granulares para controlar el uso de aplicaciones y datos
es una buena práctica importante.
Sin embargo, si bien es estupendo observar que las empresas adoptan estas tecnologías de seguridad, también es interesante que no
reconozcan otras protecciones esenciales, como el sandboxing, la segmentación de la red y el almacenamiento de datos fuera del sitio,
que son herramientas disponibles para defenderse contra el ransomware.
62 %
58 %
56 % 55 % 54 % 54 %
51 % 52 %
49 % 49 % 49 %
49 %
47 % 47 %
45 % 46 %
43 % 42 % 41 % 42 %
39 %
36 %
33 % 33 %
30 % 31 %
23 %
20 %
19 %
13 %
10 %
7%
ce de
rid la
l I ad
SE
nu de
FW
ay
AC
aq ie
xi ia
ón
x
ño
AN
N
R
EB
gu de
ne op
bo
at rfic
so
ad
SW
ED
VP
ew
ac n
de rid
ci
oT
be
ue
ón
SA
N
ZT
ga
la ga
-W
y ció
ta
co a c
nd
se tos
N
de pe
gu
at
en car
En
en
SD
ad tra
Sa
si un
lG
su
Se
de a
gm
d
tid nis
aj la
ai
r
la
pi los
ad ce
Em
ab er
Se
en mi
n
ar
rid ha
o
tr teg
co rar
Ad
r
re
t
a
is
gu e
o
if
cu
se d d
in
Pr
C
id
m
Se
de ida
Ad
ac
ap
C
Más allá de lo que se considera importante, también preguntamos en qué planean invertir las organizaciones próximamente. Conforme los
equipos evalúan nuevas herramientas para protegerse contra el ransomware, conocer la postura actual de seguridad de la empresa e iden-
tificar las brechas es un primer paso crucial antes de hacer más inversiones. Las organizaciones pueden hacer esto mapeando las defen-
sas actuales a la cadena de ataque mediante herramientas como el marco de trabajo MITRE ATT&CK. Este enfoque ayudará a los equipos
a saber si tomaron las medidas más efectivas para defender contra el ransomware y qué posibles brechas de seguridad deben tratar.
Las tres principales inversiones que los encuestados planeaban hacer fueron en seguridad del IoT (57 %), NGFW (53 %) y EDR (51 %).
Uno de los hallazgos más sorprendentes de la encuesta anterior de Fortinet fue que el principal método de entrada en 2021 fue la
suplantación de identidad por correo electrónico, pero solo un tercio de las organizaciones informó planes para mejorar esa defensa.
La suplantación de identidad por correo electrónico continuó siendo el método de entrada número uno por segunda vez en 2022, algo
que, con suerte, disminuirá en la actualidad si las organizaciones siguen adelante con los planes (47 % de los encuestados en 2022,
frente al 31 % en 2021) de invertir en esta área.
5
INFORME | Informe global sobre el ransomware 2023
Curiosamente, aquellos que informaron la adopción del mejor enfoque de su clase tenían más probabilidades (67 %) de ser víctimas
de un ataque de ransomware, mientras que aquellos que habían reducido los gastos generales de sus proveedores al consolidarse en
una pequeña cantidad de plataformas complementadas con productos puntuales tenían menos probabilidades (37 %) de ser afectados.
Observamos que cada vez más organizaciones consolidan la cantidad de productos puntuales que usan, y en su lugar, aprovechan
una cantidad menor de plataformas estratégicas. Los resultados de nuestra encuesta reforzaron esto, con el 99 % de los encuestados
percibiendo las soluciones integradas o una plataforma como esenciales para prevenir ataques de ransomware. Nuevamente, no se
trata solo de la tecnología, sino también de las personas y los procesos para usar estas plataformas con el mejor efecto.
Sin embargo, observamos una variación en el porcentaje de empresas en todas las regiones que experimentaron un ataque de
ransomware en los últimos 12 meses, Asia Pacífico y Japón (APJ) experimentaron la mayor cantidad de incidentes de ransomware
(56 %) y Europa, Medio Oriente y África (EMEA) experimentaron menos (41 %).
49 %
2% 3% 3%
4%
41 %
10 %
No estoy seguro 10 % Sí
22 % 21 % 56 %
53 %
Una vez
3%
2%
36 % No estoy seguro
27 % 28 % 29 % 1%
Ninguna
3%
No solo eso, sino que existen diferencias en sus iniciativas de respuesta, como la velocidad de detección de ataques y si las
organizaciones se sienten obligadas a pagar el rescate solicitado. Por ejemplo, América Latina (LATAM) tendía a detectar ataques
con mayor rapidez y era menos propensa a usar tácticas de ingeniería social que otras regiones. Con respecto a la implementación
de herramientas de seguridad, los encuestados de América del Norte (NA) y EMEA planean invertir más en ZTNA que APJ y LATAM.
En cuanto a las demandas de rescate, los encuestados en EMEA tuvieron cantidades de rescate más pequeños que en otras regiones
y casi la mitad de los encuestados no pagaron el rescate solicitado. Las organizaciones en APJ tuvieron demandas de rescate más
altas y el 44 % dijo que pagó la cantidad total.
6
INFORME | Informe global sobre el ransomware 2023
Más allá de adquirir tecnología, es crucial preparar a su personal y crear procesos efectivos. Puede hacerlo usted mismo o aprovechar
los servicios de preparación y respuesta ante incidentes para ayudar a generar planes nuevos o probar los existentes e identificar
cualquier área de mejora a través de actividades como un análisis de brechas, la ejecución de ejercicios de simulación y el desarrollo
de manuales de estrategias y planes de IR.
Si bien usted y sus analistas son los responsables en última instancia de proteger su organización, recuerde que todos los empleados
tienen una función que desempeñar para defenderse de los atacantes. Por lo general, los empleados de una empresa son la primera
línea de defensa cuando se previene un ataque, lo que hace que los programas de capacitación y de educación de concienciación de
ciberseguridad sean una parte crítica de su estrategia de gestión de riesgo.
El ransomware no se desacelerará en el corto plazo. Sin embargo, los líderes de seguridad pueden tomar diversas medidas para
proteger mejor los datos y las redes de su organización. Solo deben asegurarse de que esas medidas se alineen con los riesgos
y estrategias de un ataque de ransomware. Adoptar un enfoque de plataforma consolidada para proteger su empresa, incorporar
herramientas que trabajan con IA y automatizar, probar (y volver a probar) planes y procesos, monitorear de manera proactiva las
vulnerabilidades externas y capacitar a una base de empleados más amplia sobre cómo detectar un posible ciberataque son todos
pasos esenciales para disminuir en el presente las posibilidades de ser víctima de un ataque de ransomware en el futuro.
1
“FortiGuard Labs Reports Destructive Wiper Malware Increases Over 50%”, Fortinet, 22 de febrero de 2023.
2
“1H 2022 FortiGuard Labs Global Threat Landscape Report”, Fortinet, 17 de agosto de 2022.
3
“How We Can Help You: Common Scams and Crimes”, FBI.gov.
www.fortinet.com/lat
Copyright © 2023 Fortinet, Inc. Todos los derechos reservados. Fortinet®, FortiGate®, FortiCare®, FortiGuard® y otras marcas son marcas comerciales registradas de Fortinet, Inc., y otros nombres de Fortinet contenidos en este documento también pueden ser nombres registrados o marcas comerciales de Fortinet conforme a la
ley. El resto de los nombres de productos o de empresas pueden ser marcas registradas de sus propietarios respectivos. Los datos de rendimiento y otros indicadores contenidos en este documento se han registrado en pruebas internas de laboratorio bajo condiciones ideales, de forma que el rendimiento real y otros resultados
pueden variar. Variables propias de la red, entornos de red diferentes y otras condiciones pueden afectar a los resultados del rendimiento. Nada de lo contenido en este documento representa un compromiso vinculante de Fortinet, y Fortinet renuncia a cualquier garantía, expresa o implícita, salvo en los casos en los que Fortinet
celebre un contrato vinculante por escrito, firmado por el director del Departamento Jurídico de Fortinet, con un comprador, en el que se garantice expresamente que el producto identificado cumplirá un determinado indicador de rendimiento expresamente identificado, y en tal caso, solamente el indicador de rendimiento específico
expresamente identificado en dicho contrato por escrito será vinculante para Fortinet. Para dejarlo absolutamente claro, cualquier garantía de este tipo se verá limitada al rendimiento en las mismas condiciones ideales que las de las pruebas de laboratorio internas de Fortinet. Fortinet no se hace en absoluto responsable de ningún
pacto, declaración ni garantía en virtud de este documento, expresos o implícitos. Fortinet se reserva el derecho de cambiar, modificar, transferir o revisar de cualquier otro modo esta publicación sin previo aviso, siendo aplicable la versión más actual de la misma.
2051666-0-0-ES