El coste de recuperación tras un ataque de ransomware alcanza casi los 2 millones de dólares y se duplica en un año según una encuesta de Sophos

Sophos Press Release

La encuesta “El Estado del Ransomware 2021” de Sophos revela que solo el 8% de las empresas que pagan un rescate recuperan todos sus datos

El 54% de los encuestados considera que los ciberataques son demasiado avanzados para que sus equipos de TI puedan hacerles frente

Madrid, 27 de abril de 2021.- Sophos, líder global en seguridad para protección de redes y endpoints, anuncia los resultados de su encuesta internacional “El Estado del Ransomware 2021”, en la que revela que el coste medio total de la recuperación tras un ataque de ransomware se ha duplicado en un año, aumentando desde 761,106 dólares en 2020 a 1,85 millones de dólares en 2021. El rescate medio pagado por las empresas es de 170.404 dólares. Los resultados mundiales también muestran que sólo el 8% de las empresas consiguen recuperar todos sus datos tras pagar un rescate, con un 29% que solo recupera la mita de los datos robados.

La encuesta aglutina las respuestas de 5.400 responsables de TI en empresas medianas en 30 países entre Europa, las Américas, Asia-Pacífico y Asia central, Oriente Medio y África.

Con el número de empresas que han sido víctimas de un ataque de ransomware disminuyendo del 51% atacadas en 2020 al 37% en 2021, y menos empresas sufriendo el cifrado de sus datos como consecuencia de un ataque importante (54% en 2021 en comparación con el 73% en 2020), los resultados de esta nueva encuesta muestran el preocupante ascenso de algunas tendencias, sobre todo en cuanto al impacto de los ataques de ransomware.

“La aparente disminución del número de empresas que han sido golpeadas por un ataque de ransomware es una buena noticia, pero queda empañada por el hecho de que esto refleje, al menos en parte, cambios en el comportamiento de los atacantes”, afirma Chester Wisniewski, científico investigador principal de Sophos. “Hemos visto cómo los atacantes han pasado de ataques a gran escala, genéricos y automatizados a otros más dirigidos que incluyen hackeos llevados a cabo por personas. A pesar de que el número global de ataques es menor, nuestra experiencia nos muestra que la capacidad de hacer daño de estos ataques dirigidos más avanzados y complejos es mucho mayor. También es más difícil recuperarse de estos ataques, como vemos reflejado en los resultados de la encuesta en los que el coste global de recuperación se ha duplicado”.

Los principales resultados de la encuesta mundial ‘El estado del Ransomware 2021’ son:

  • El coste medio global para remediar un ataque de ransomware se ha duplicado en los últimos 12 meses. El coste de recuperación, incluyendo el tiempo de inactividad de la empresa, la pérdida de pedidos o costes operacionales entre otros aumenta de una media de 761.106 dólares en 2020 a 1,85 millones de dólares en 2021. Lo que supone que el coste medio de la recuperación tras un ataque de ransomware es ahora 10 veces mayor que el coste que supone el pago del rescate, de media.
  • Los rescates pagados fueron de 170.404 dólares de media. A pesar de que el pago más alto realizado por alguno de los encuestados fue de 3,2 millones de dólares, el rescate medio pagado más común alcanzó los 10.000 dólares. 10 empresas encuestadas pagaron rescates de 1 millón de dólares o más.
  • El número de empresas que han pagado el rescate aumenta desde el 26% en 2020 hasta un 32% en 2021, a pesar de que ni 1 de cada 10 (8%) recuperaron todos sus datos

“Los resultados confirman la dura verdad de que cuando se trata de ransomware, no vale la pena pagar. A pesar de que muchas empresas decidieron pagar el rescate, solo una pequeña minoría de las que pagaron recuperaron todos sus datos,” comenta Wisniewski. “Esto puede deberse en parte a que el uso de las claves de descifrado para recuperar la información puede ser complicado. Además, no hay garantías de éxito. Por ejemplo, tal y como hemos visto recientemente con los ransomware DearCry y Black Kingdom, los ataques lanzados con código y técnicas de baja calidad o confeccionados apresuradamente pueden hacer difícil, si no imposible, la recuperación de los datos”.

  • Más de la mitad (54%) de los encuestados cree que los ciberataques actuales son demasiado avanzados para que sus equipos de TI puedan enfrentarse a ellos por sí mismos.
  • La extorsión sin cifrado de datos va en aumento. Un pequeño pero importante 7% afirmó que sus datos no estaban cifrados, pero se les exigió un rescate de todos modos, posiblemente porque los atacantes habían conseguido robar su información. En 2020, estos casos fueron el 3%

“La recuperación de un ataque de ransomware puede durar años y conlleva mucho más que solo descifrar y restaurar los datos”, explica Wisniewski. “Hay que reconstruir sistemas completos desde cero y también hay que tener en cuenta el tiempo de inactividad operativa y el impacto sobre los clientes, entre otras muchas cosas. De hecho, la definición de que constituye un ataque de ransomware está evolucionando. Para una pequeña, pero significativa minoría de encuestados, los ataques implicaron el pago del rescate sin el cifrado de datos. Esto puede deberse a que contaban con tecnologías anti-ransomware que bloquearon la fase de cifrado o simplemente que los atacantes decidieron no cifrar los datos. Es probable que los atacantes exigieran un pago a cambio de no filtrar online la información robada. Un ejemplo reciente de este enfoque es el de la banda de ransomware Clop y un conocido actor de amenazas con objetivos económicos que atacó a una decena de presuntas víctimas con ataques basados solo en la extorsión”

“En resumen, es más importante que nunca proteger contra los adversarios en la misma puerta, antes de que tengan la oportunidad de afianzarse y desplegar sus ataques, cada vez mas multifacéticos. Afortunadamente, si las empresas son atacadas, no tienen que enfrentarse a este reto solas. Hay apoyo disponible 24/7 a través de centros de operaciones de seguridad externos, caza de amenazas dirigida por equipos humanos y servicios de respuesta a incidentes

Sophos recomienda las siguientes 6 buenas prácticas para ayudar a las empresas a defenderse contra el ransomware y otros ciberataques:

  1. Asume que serás atacado. El ransomware sigue siendo muy frecuente. Ningún sector, país o tamaño de empresa es inmune al riesgo. Es mejor estar preparado y no llegar a ser golpeado, que al revés.
  2. Realiza copias de seguridad y mantén una copia offline. Las copias de seguridad son el método más utilizado por las empresas encuestadas para recuperar sus datos tras un ataque. Opta por el enfoque común en el sector del 3:2:1 (tres conjuntos de copias de seguridad, usando dos métodos diferentes y una de ellas guárdala offline)
  3. Despliega una protección por capas. Dado que cada vez hay más ataques de ransomware que implican extorsión, es más importante que nunca mantener a los adversarios alejados desde el primer momento. Utiliza una protección por capas para bloquear a los atacantes en el máximo número posible de puntos del perímetro
  4. Combina expertos con tecnología anti-ransomware. La clave para detener el ransomware es una defensa profunda que combine tecnología dedicada al antiransomware y caza de amenazas dirigida por humanos. La tecnología proporciona la escalabilidad y la automatización que necesita una empresa, mientras que los expertos son los más capaces de detectar las tácticas, técnicas y procedimientos que indican que un atacante está intentando entrar en el entorno. Si no dispone de las habilidades necesarias internamente, considere la posibilidad de recurrir a una empresa especializada en ciberseguridad: los Centros de Operaciones de Seguridad (SOCs) son ahora una opción realista para empresas de todos los tamaños.
  5. No pagues en rescate. Es fácil de decir, pero mucho más difícil de hacer cuando una empresa está paralizada por un ataque de ransomware. Independientemente de cualquier consideración ética, pagar el rescate es una manera muy poco efectiva de recuperar los datos. Si decides pagar, ten en mente que los atacantes restaurarán, de medio, solo dos terceras partes de tus archivos.
  6. Cuenta con plan de recuperación de malware. La mejor manera de evitar que un ciberataque se convierta en una brecha completa es prepararse con antelación. Las empresas que son víctimas de un ataque suelen darse cuenta de que podrían haber evitado importante pérdidas financieras y problemas si hubieran contado con un plan de respuestas a incidentes.

El informe completo de la encuesta ‘El Estado del Ransomware 2021’ está disponible en Sophos.com

La encuesta ‘El estado del Ransomware 2021’ ha sido conducida por Vanson Bourne,
La encuesta ‘Ciberseguridad: un desafío humano’ fue realizado por Vanson Bourne, especialista independiente en investigación de mercados, entre enero y febrero de 2021. En la encuesta fueron entrevistados 5.400 responsables de la toma de decisiones de TI en 30 países, en los Estados Unidos, Canadá, Brasil, Chile, Colombia, México, Austria, Francia, Alemania, el Reino Unido, Italia, los Países Bajos, Bélgica, España, Suecia, Suiza, Polonia, la República Checa, Turquía, Israel, Emiratos Árabes, Arabia Saudí, India, Nigeria, Sudáfrica, Australia, Japón, Singapur, Malasia y Filipinas. Todos los encuestados pertenecían a empresas de entre 100 y 5.000 empleados

Sophos Intercept X protege a los usuarios gracias a la detección de las acciones y comportamientos del ransomware y otros ataques.

Acerca de Sophos

Sophos es líder mundial en ciberseguridad next-gen y protege a más de 500 000 empresas y millones de consumidores de más de 150 países frente a las ciberamenazas más avanzadas de hoy día. Con el respaldo de la información sobre amenazas, la IA y el Machine Learning de SophosLabs y SophosAI, Sophos ofrece una amplia cartera de productos y servicios avanzados para proteger a usuarios, redes y endpoints contra el ransomware, malware, exploits, phishing y otros muchos tipos de ciberataques. Sophos dispone de una única consola integrada de administración basada en la nube, Sophos Central, el eje central de un ecosistema de ciberseguridad adaptativa con un lago de datos centralizado que se sirve de un completo conjunto de API abiertas disponibles para clientes, partners, desarrolladores y otros proveedores de soluciones de ciberseguridad. Sophos vende sus productos y servicios a través de partners distribuidores y proveedores de servicios administrados (MSP) de todo el mundo. Sophos tiene su sede en Oxford, Reino Unido. Encontrará más información en es.sophos.com.