Sin duda, el ransomware se ha convertido en la mayor amenaza cibernética de los últimos tiempos. El secuestro de datos y el posterior dilema de si pagar o no el rescate para recuperarlos cada vez pone en jaque a más empresas, pero ¿qué datos son el principal objetivo de los ciberdelincuentes? Un informe de la compañía de ciberseguridad Rapid7 responde a esa pregunta.
“En Rapid7, a menudo decimos que cuando se trata de ransomware, todos podemos ser objetivos, pero no todos tenemos que ser víctimas. Tenemos medios y herramientas para mitigar el impacto del ransomware, y uno de los activos más importantes que tenemos de nuestro lado son los datos sobre los propios atacantes del ransomware,” manifiesta la compañía.
En los últimos años, el número de ataques de ransomware ha aumentado enormemente, sobre todo motivado porque muchos sistemas se volvieron más indefensos a raíz de la pandemia. Tanto la necesidad de una rápida digitalización para adaptarse a las circunstancias como la adopción generalizada del teletrabajo supusieron un reto para las organizaciones de todo el mundo, pero, al mismo tiempo, una oportunidad para las bandas criminales, ya que muchas no tuvieron tiempo para proteger su seguridad correctamente y sufrieron las consecuencias.
Solo hay que recordar los incidentes de Colonial Pipeline o JBS Foods, dos infraestructuras críticas de Estados Unidos, cuyos sistemas de seguridad quedaron en evidencia y acabaron pagando el rescate para poder retomar su actividad. No obstante, para el gobierno estadounidense, el ataque a Kaseya, importante proveedor de software, fue la gota que colmó el vaso y, a partir de ese momento, le declaró abiertamente la guerra a los ciberdelincuentes. Una guerra que, por ejemplo, supuso un duro golpe para REvil, una de las bandas más activas durante el año pasado.
La estrategia: poner a los clientes y empleados de las empresas en su contra
Hace bastante tiempo que secuestrar la información de una empresa ha dejado de ser el único objetivo de las pandillas de ransomware. Estas han descubierto que sus fechorías les pueden reportar mayores beneficios y más posibilidades de salirse con la suya si, además de ello, amenazan con hacer públicos los datos comprometidos de una organización si no paga el rescate.
A esta modalidad se la conoce como “doble extorsión” -aunque hay otras variantes más complejas– y lo que busca es enfrentar a las organizaciones con sus propios clientes y empleados por dos motivos: en primer lugar, porque estos no quieren que sus datos acaben expuestos en Internet; en segundo, porque deja de manifiesto que las empresas no se preocupan o, al menos, no son capaces de proteger esta información como es debido.
Para evitar ese conflicto, muchas compañías optan por la vía más sencilla: pagar el rescate. Sin embargo, como dicen las autoridades, hacerlo no siempre garantiza la liberación de los datos secuestrados. De hecho, podría ser peor ya que puede ser entendido como una muestra de debilidad para los ciberdelincuentes y, por ende, considerarlo como un objetivo sencillo y rentable al que poder atacar de nuevo.
El sector financiero, farmacéutico y sanitario son los más perjudicados
Estos tres sectores han sido los más afectados por los ataques de ransomware en este sentido, siendo el financiero el principal objetivo. De los 161 ataques de doble extorsión analizados, el 63% de los datos que acabaron filtrándose eran financieros, frente al 48% de los derivados de información de clientes o pacientes.
Aproximadamente, el 82% de la información comprometida en el sector financiero correspondía a datos de clientes, mientras que tan solo el 50% pertenecía a datos internos de la compañía. Por otro lado, el 59% de las filtraciones tenían que ver con datos de identificación personal de los empleados. Por ello, desde Rapid7, concluyen que el objetivo principal infundir temor a un posible conflicto interno dentro de la organización, dado que, en caso de no pagar, revelarían información bastante delicada que les pondría en graves aprietos.
Algo similar sucede en los ámbitos sanitario y farmacéutico, aunque con algunas peculiaridades propias de su naturaleza. En este caso, los datos financieros internos se filtraron más (71%) que en cualquier otro sector, incluido el financiero. Asimismo, el 58% de la información comprometida de ambas industrias correspondía a clientes y pacientes. Estamos hablando de datos personales sobre su salud, información confidencial y delicada que nunca debería revelarse, lo que vuelve a demostrar ese modus operandi de doble extorsión del que hablan los responsables del informe.
Cabe destacar una particularidad que se da en la industria farmacéutica. Y es que los ciberdelincuentes parecen bastante interesados en robar sus patentes. A nivel general, el secuestro de archivos de propiedad intelectual (IP) tan solo constituyó el 12% de los casos, pero, en dicho sector, el volumen de filtraciones de este tipo representó el 43%.
