"Todo el mundo tiene un plan hasta que le dan un golpe en la boca".
Esta frase de Mike Tyson suena muy cierta para las organizaciones que se tambalean tras un ataque de ransomware. En los últimos años, el ransomware demostró ser capaz de poner contra las cuerdas incluso a una empresa en cuestión de horas, y es seguro decir que continuará golpeando a las organizaciones, poniendo a prueba su estabilidad y sus planes de contingencia de una manera que pocas otras amenazas pueden igualar.
No faltan datos e incidentes reales que lo confirmen. Según el informe 2024 Data Breach Investigations Report de Verizon, un tercio de todas las violaciones de datos implican ransomware u otra técnica de extorsión. "El ransomware fue la principal amenaza en el 92% de los sectores", dice el informe.
Si esto suena desconcertante, es porque lo es. Además, hay mucho en juego porque el ransomware también puede venir de la mano de un ataque a la cadena de suministro, como ocurrió con el incidente de Kaseya en 2021, que aprovechó una vulnerabilidad en la plataforma de gestión de TI de la empresa para ampliar enormemente el alcance del ransomware en un número incalculable de organizaciones de todo el mundo.
Magullados y maltratados
Cuando salta la noticia de un ataque de ransomware, los titulares suelen centrarse en las dramáticas peticiones de rescate y los enigmas éticos y legales sobre el pago. Sin embargo, lo que a menudo no captan es el trauma organizativo y humano que sufren las víctimas, doblemente cuando el incidente se ve agravado por la filtración de datos y las amenazas de hacer públicos los datos robados.
Cuando los sistemas se quedan a oscuras, las empresas no sólo se detienen, sino que sufren una hemorragia de dinero mientras ven cómo se esfuman nuevas oportunidades y se resiente la reputación de la marca. Las heridas se profundizan exponencialmente a medida que los frenéticos esfuerzos de recuperación se alargan de horas a días, semanas y posiblemente incluso meses. La premisa brutalmente simple del ransomware -cifrar datos críticos de la empresa y exigir un pago por su liberación- en realidad oculta una compleja cascada de daños operativos, financieros y de reputación que se despliega tras el ataque.
Una vez más, hay muchos datos que demuestran que un incidente de ransomware con éxito cuesta caro a las víctimas. Por ejemplo, el informe de IBM Cost of a Data Breach Report 2024 sitúa el coste medio de recuperación de un ataque de este tipo en cerca de 5 millones de dólares.
Lanzar un salvavidas
Las organizaciones afectadas por ransomware suelen confiar en tres vías de escape: restaurar a partir de copias de seguridad, recibir una herramienta de descifrado de investigadores de seguridad (como los que participan en la iniciativa No More Ransom, que incluye a ESET como miembro) o pagar el rescate a cambio de un descifrador. Pero, ¿y si ninguna de estas opciones resulta viable?
En primer lugar, los atacantes suelen apretar las tuercas a las víctimas dirigiéndose también a sus sistemas de copia de seguridad, corrompiéndolos o cifrándolos antes de desplegar el ransomware en los entornos de producción. En segundo lugar, las herramientas de descifrado de los investigadores son más bien una opción de último recurso, ya que a menudo no pueden responder a la urgencia de las necesidades de recuperación de la empresa.
¿Y si tiramos la toalla y pagamos el rescate? Dejando a un lado los posibles escollos legales y normativos, el pago no garantiza exactamente nada y, a menudo, no hace más que añadir un insulto al perjuicio. Colonial Pipeline lo aprendió por las malas cuando las herramientas de descifrado que se le proporcionaron a cambio del pago de un rescate de 4,4 millones de dólares eran tan deficientes que restaurar los sistemas a partir de copias de seguridad resultó ser la única opción viable. (Nota: el Departamento de Justicia de EE.UU. recuperó posteriormente la mayor parte del rescate)
ESET Ransomware Remediation aporta un nuevo enfoque a este enigma, combinando eficazmente la prevención y la remediación en uno. Crea copias de seguridad de archivos específicas que están fuera del alcance de los malos actores durante un proceso que se pone en marcha cuando el riesgo es directo; es decir, una vez que se detecta un posible intento de ransomware. Dado que los atacantes también suelen apuntar a las copias de seguridad de datos, este enfoque aborda el riesgo de confiar, sin saberlo, en copias de seguridad comprometidas.
Prepararse para el impacto
El ransomware es un perturbador en toda regla capaz de desbaratar las operaciones empresariales hilo a hilo y con una rapidez alarmante, pero las organizaciones con capacidades de prevención y recuperación probadas no sólo sobrevivirán frente al ransomware y otras ciberamenazas, sino que su capacidad para esquivar estos golpes puede convertirse en su ventaja competitiva definitiva.
En el siempre cambiante panorama digital, el cambio es la única constante, y la resistencia depende de anticiparse a lo inesperado. Planifique para lo desconocido como si su negocio dependiera de ello, porque así es.
