La Agencia de ciberseguridad de la Unión Europea (ENISA) asegura que la mayoría de las empresas que son víctimas de ransomware no lo hacen público. Y es que muchas deciden gestionar el problema internamente o pagar el rescate directamente ya sea por vergüenza o para evitar que su reputación se resienta.
Sin duda, el ransomware es la amenaza cibernética más temida de los últimos tiempos. A pesar de las recomendaciones de las autoridades, muchas compañías deciden cumplir con las exigencias de los ciberdelincuentes para recuperar sus datos secuestrados y poder retomar su actividad cuanto antes. Sin embargo, esto no solo no garantiza la recuperación de dichos datos, sino que puede animar a los piratas informáticos a volver a atacar al mismo objetivo, puesto que, si han conseguido salirse con la suya una vez, podrán lograrlo una segunda.
El informe de ENISA analizó un total de 623 incidentes relacionados con este tipo de malware ocurridos entre mayo de 2021 y junio de 2022 en la Unión Europea, el Reino Unido y Estados Unidos. No obstante, esta cifra no representa el volumen real de este problema. Los investigadores estiman que 47 actores de amenazas distintos robaron aproximadamente 10 terabytes de datos cada mes durante ese periodo.
Un problema peliagudo para las empresas
El 58,2% de estos correspondían a datos personales de empleados. Como comentamos recientemente, se trata de una tendencia que siguen cada vez más los ciberdelincuentes, ya que podría generar un conflicto interno entre la compañía y sus trabajadores, por lo que es una buena táctica para presionar a sus víctimas para que paguen el rescate.
Para evitar el escándalo, muchas organizaciones prefieren no hacerlo público. De hecho, según ENISA, en el 94,2% de los casos, no se sabe si las empresas pagaron o no el rescate. Aun así, es posible que la negociación no llegue a buen término.
Si esto sucede, los criminales pueden acabar filtrando los datos comprometidos en sus sitios web, algo que ha ocurrido en el 37,88% de los casos analizados por la agencia. Así que, por lógica, suponen que el 62,12% restante o bien accedió a las demandas de los ciberdelincuentes o bien consiguió solucionar el problema por su cuenta de alguna manera.
Además del silencio de muchas de las víctimas, ENISA señala que hay una escasez de información bastante generalizada sobre el origen de los ciberataques, lo que hace aún más difícil abordar este problema.
“La información sobre los incidentes revelados también es bastante limitada, ya que en la mayoría de los casos las organizaciones afectadas desconocen cómo los actores de amenazas lograron obtener acceso inicial. Al final, las organizaciones pueden tratar el problema internamente (por ejemplo, decidir pagar el rescate) para evitar la publicidad negativa y garantizar la continuidad del negocio,” comenta la organización en el comunicado.
¿Qué hacer para evitarlo?
ENISA habla de cuatro formas en las que las organizaciones criminales suelen actuar con respecto a los datos: pueden bloquearlos, cifrarlos, eliminarlos o robarlos. También han identificado las distintas fases de un ataque de ransomware, que, no necesariamente, tienen que seguir el mismo orden cronológico: acceso inicial, ejecución, acción sobre objetivos, chantaje y negociación de rescate.
Con el fin de evitar convertirse en víctima, ENISA ofrece algunos consejos. Recomiendan mantener actualizadas las copias de seguridad de sus archivos, mantener dichas copias aisladas de sus redes, restringir los permisos de administración o disponer de un software efectivo a la hora de detectar el ransomware.
Realmente, no es nada nuevo. Muchas compañías han hecho hincapié precisamente en los mismos puntos. Sin embargo, la organización aconseja algo que sí puede ser bastante útil y no hemos oído tanto: aplicar la regla 3-2-1. Dicha regla consiste en contar con “3 copias, 2 medios de almacenamiento distintos y 1 copia fuera del sitio”.
En el caso de que el ataque ya haya tenido éxito, desde ENISA, sugieren que las empresas afectadas se pongan en contacto inmediatamente con las autoridades en materia de ciberseguridad o las fuerzas del orden, pongan en cuarentena sus sistemas y visiten No More Ransom para ver si hay alguna clave de descifrado disponible para recuperar sus datos. Pero, sobre todo, recomiendan no pagar el rescate en ningún caso, ya que esto podría animar a los ciberdelincuentes a volver a atacar.
Imagen de TheDigitalArtist en Pixabay