El 29% de las empresas españolas que sufrieron un ciberataque de ransomware (secuestro de los sistemas informáticos) reconocen haber pagado el chantaje para recuperar sus datos y solo un 2% afirman categóricamente que no lo abonaron. El 98% admite haber recuperado los datos mediante cualquier método, incluido ese pago del rescate que muchos no quieren reconocer, según los datos que recoge el informe de la multinacional experta en ciberseguridad Sophos «El estado del ransomware 2023«, recientemente hecho público. El sector es categórico al afirmar que aunque la consigna es que «pagar no es una opción», la mayoría de empresas se pliegan al ciberchantaje en secreto para no hundirse o desaparecer.
La predisposición general a pagar el rescate se mantiene en el mismo nivel que el año anterior y los pagos aumentaron considerablemente durante el último año. Según los autores del estudio, el importe de rescate medio casi se ha duplicado y ha pasando de 812.380 dólares (755.350 euros) en 2022 a 1.542.333 dólares (1.434.061 euros) en este año.
La media del pago de rescates según el estudio es ya de 400.000 dólares (372.036 euros), aunque el 40% de las compañías reconocieron haber pagado más un millón de dólares o más. estas cifras las abonan las organizaciones que tienen mayores ingresos, porque los delincuentes más especializados suelen ajustar el importe del rescate en función de la capacidad de pago de la víctima. Es una pena que el estudio no discrimine entre los pagos de rescate realizados por las mismas empresas o financiados por las ciber aseguradoras. En cualquier caso, pagan.
el importe de rescate medio casi se ha duplicado y ha pasando de 812.380 dólares (755.350 euros) en 2022 a 1.542.333 dólares (1.434.061 euros) en este año
Sophos ha preguntado a 3000 responsables de Tecnología de la Información y ciberseguridad entre enero y marzo de 2023. Entre los 14 países repartidos por América, EMEA y Asia-Pacífico, España ha participado con la opinión de 150 empresas de diferentes tamaños y número de empleados. El 75% de las organizaciones españolas preguntadas sufrieron alguno de estos ataques en los últimos 12 meses. Y la tendencia es que han seguido y seguirán aumentando.
El ransomware sigue siendo una amenaza importante para las organizaciones. Los cibercriminales continúan mejorando sus tácticas, técnicas y procedimientos de ataque (TTP), y los responsables de la seguridad luchan por seguir el ritmo de los delincuentes. Visto que uno de los errores que más cometen las empresas es el de no realizar las necesarias copias de seguridad, y que este tipo de ataques son ya todo un modelo de negocio, no prevén un descenso de su incidencia en el próximo año.
PAGAN EL CHANTAJE EN SECRETO
Entre instituciones públicas que velan por la ciberseguridad y sus buenas prácticas, y las empresas de cualquier tamaño, la consigna es no pagar el chantaje. En España, y en Europa, las autoridades dejan claro que pagar no es un opción, «pero para muchas empresas, sobre todo Pymes, si no pagan pueden acabar fulminadas», aseguran fuentes profesionales del sector.
En nuestro país, advierten, muchas empresas de todo tamaño «abonan lo que les piden los atacantes, para no acabar con el negocio destrozado, pero solo lo reconocen cuando se les pregunta de manera anónima. Está muy mal visto que se sepa. Las instituciones, como el reciente caso sufrido por el Ayuntamiento de Sevilla, lo cuentan enseguida, por transparencia y porque sus servicios caen y siempre se nota», añaden.
las organizaciones españolas no reconoce los pagos porque tendrían que dar muchas explicaciones sobre de dónde ha salido ese dinero para abonar un chantaje
Según las mismas fuentes, las organizaciones españolas no reconoce los pagos porque tendrían que dar muchas explicaciones sobre de dónde ha salido ese dinero para abonar un chantaje, «y más si es una institución pública. Esas sí que suelen evitar ceder ante los cibercriminales», explican. Como se trata de pagar a criminales, hacen una comparación con el caso de rescates terroristas «y con terroristas no se negocia. Nunca hay que plegarse a las exigencias, porque puede que ni siquiera se recuperen los sistemas y archivos, y además pueden volver a por más dinero de nuevo más adelante».
El RGPD de la UE aplica multas por incumplimientos relativos a violación de datos, algunas millonarias, pero no por el pago de los rescates al cibercrimen. En USA en cambio, en octubre de 2020 la Oficina de Control de Activos Extranjeros (OFAC), perteneciente al Departamento del Tesoro de EE.UU., estableció que las empresas que paguen rescates por Ransomware y las compañías que faciliten las negociaciones con los extorsionadores podrán ser sancionadas con multas de 20 millones de dólares. Y eso que es en USA donde algunos expertos recomiendan de tapadilla a las corporaciones que se hagan con reservas de bitcoin para atender estas circunstancias si se producen, según nos indican en el sector.
COSTES DE RECUPERACIÓN
La importancia económica de un ataque de ransomware va más allá del precio del rescate aunque este no se pague, porque los gastos que se derivan en recuperar la normalidad digital sumados a los que la pérdida de actividad suelen ser demoledores.
Un estudio publicado por la compañía de ciberseguridad Kaspersky Lab junto a Ponemon Institute el pasado mes de junio confirmó que el 60% de las pequeñas y medianas empresas que son víctimas de un ciberataque desaparece en los seis meses siguientes al incidente. El mismo informe del año anterior ya apuntaba que el 88% de empresas víctimas de ransomware pagarían el rescate si volvieran a ser atacadas.
el coste medio estimado para recuperarse de los ataques en de 1,82 millones de dólares (1,69 millones de euros)
El coste del ransomware va mucho más allá del precio del rescate, que es solo un elemento más de los costes de recuperación tanto de la actividad normal de la empresa como de los datos y sistemas. Según Sophos el coste medio estimado para recuperarse de los ataques en de 1,82 millones de dólares (1,69 millones de euros).
Se han pagado desde los 165.520 dólares de las empresas más pequeñas, hasta los 4.496.086 las que facturan más de 5.000 millones de dólares. También aportan cifras de lo que se gastan de media quienes pagan un rescate (2,6 millones de dólares) y quienes usaron copias de seguridad para restaurar datos (1,62 millones de dólares). «Se mire como se mire, sale mucho más a cuenta usar copias de seguridad para recuperarse de un ataque de ransomware que pagar el rescate», afirma el informe a modo de conclusión.
