Un informe publicado recientemente reveló que el 58% de las víctimas de ransomware en 2021 pagó un rescate a los cibercriminales, ya sea para recuperar los datos del cifrado o para evitar que se publicara información sensible. Los correos de phishing fueron la principal puerta de entrada en los ataques de ransomware, seguidos por el uso de credenciales robadas, a través de un tercero, servidores sin parchear o mediante ataques de fuerza bruta. Además, 1 de cada 6 empresas que reportaron haber sufrido un ciberataque fueron extorsionadas
Los datos surgen de un informe de la compañía de seguros Hiscox, que opera en Europa y Estados Unidos, en el cual evaluó la capacidad de gestión de amenazas informáticas de empresas de Alemania, Bélgica, España, Estados Unidos, Francia, Irlanda, Reino Unido y Países bajos. De más de 6000 empresas que fueron consultadas para este informe, más de 2600 enfrentó al menos un ciberataque, cifra que representa el 43% de las organizaciones y un aumento de 5% en la cantidad de empresas víctimas de un ciberataque entre 2020 y 2021.
En el caso de las empresas españolas, solo el 9% fue considerada experta en ciberseguridad y el 53% es propensa a sufrir un ciberataque. Por otra parte, el 64% de las empresas de España que fueron víctimas de ransomware decidió pagar a los criminales y el 47% de volvió a sufrir otro ciberataque.
Lectura relacionada: Ransomware: ¿Pagar o no pagar? ¿Es legal o ilegal?
En comparación con el resto de los países, las empresas de Bélgica son las más propensas a sufrir un ataque de ransomware y son también las que menos invierten en ciberseguridad con un promedio de 1.7 millones de euros, mientras que las de Países bajos son las que menos probabilidades tienen de ser víctimas de ransomware. Por su parte, las empresas de Estados Unidos son las más capacitadas para gestionar las amenazas informáticas y también es donde se registró el menor costo promedio los ataques. En el caso de Alemania, las empresas fueron las que más invirtieron en ciberseguridad con una media de 5 millones de euros. Sin embargo, el costo promedio de un ataque informático tuvo los números más altos con una media de cercana a los 21.800 euros por empresa.
En el caso de Francia, el 49% de las empresas aseguró haber sido víctima de un ciberataque, mientras que las de Reino Unido son las que menos probabilidades tienen de sufrir un ciberataque con el 36%.
Cómo lograron entrar los atacantes a las empresas
Como hemos mencionado en otras ocasiones, la superficie de atauque aumentó en los últimos años obligando a las organizaciones a tener que dedicar más esfuerzos e inversión para asegurar cada posible puerta de entrada de los atacantes. En este sentido, según el reporte los seis vectores de ataque para lograr acceso inicial más frecuentes fueron:
- A través de servidores de las empresas (37%), ya sea explotando una vulnerabilidad o mediante credenciales,
- A través de servidores corporativos alojados en la nube (31%)
- Mediante un sitio web de la empresa (29%). Por ejemplo, ataques de DDoS
- Como consecuencia de errores humanos (28%). Por ejemplo, el phishing
- A través del dispositivo móvil de la empresa (26%)
- A través del dispositivo móvil del empleado (23%)
- Por intermedio de un tercero que ha sufrido el compromiso de un servidor, dispositivo o sitio web
En el caso del ransomware, los correos de phishing fueron el principal vector de acceso inicial (65%), seguido por el uso de credenciales de acceso robadas y reutilizadas (43%), a través de terceros (34%) que han sido comprometidos (por ejemplo, un proveedor), a través de la explotación de una vulnerabilidad (30%) en un servidor o tecnología desactualizada, y mediante ataques de fuerza bruta (23%).
En el caso de las vulnerabilidades más comúnmente explotadas por grupos de ransomware para lograr acceso inicial, en 2021 investigadores crearon una lista con las vulnerabilidades que más aprovecharon estas bandas. Para reforzar la importancia de evaluar toda esta información a la hora de analizar y evaluar procesos en la gestión de la seguridad de una organización, recientemente agencias de ciberseguridad de varios países divulgaron cuáles son los 10 vectores de acceso inicial más utilizados por actores maliciosos para lograr acceso a las redes de una organización.
Formas de ataque más frecuentes
Muchas empresas víctimas tuvieron que lidiar con más de un ataque. De hecho, el 28% de las empresas encuestadas fueron atacadas más de cinco veces durante 2021 y el 33% tuvo que lidiar con atacantes más de 25 veces en un año. En estos casos, los tipos de ataques que más sufrieron fueron los de un malware distinto al ransomware (31%), seguidos por las estafas del tipo BEC (28%), ataques de DDoS (27%), uso indebido de los recursos de TI (25%) y ransomware (16%).
Lectura recomendada: Más de 1.7 millones de credenciales de acceso a servicios públicos robadas con malware
El costo de los ciberataques
En cuanto a los costos como consecuencia de los ciberataques, para las pequeñas empresas con un máximo de 10 empleados, el costo promedio fue de poco más de 8.200 euros, mientras que en aquellas más grandes con más de 1000 empleados las pérdidas fueron de 280.000 euros y en algunos casos las cifras superaron los 430.000 dólares. En el caso de las medianas empresas, esta cifra fue aproximadamente de 21.800 euros.
Con respecto al pago de un rescate de ransomware, el monto promedio que se pagó a los atacantes fue de 10.800 euros.
Más allá de los costos financieros, siempre mencionamos el daño a la reputación que provoca un ataque. En este sentido, el 23% de las empresas víctimas de un ataque señaló que sufrieron el impacto a la reputación por el incidente de seguridad.
El informe destaca que una de las principales virtudes que han tenido las empresas más expertas a la hora de gestionar su resiliencia es mejorar las probabilidades de recuperar sus datos en caso de sufrir un incidente. Todo esto se logra con más inversión, un factor clave a la hora de analizar la capacidad de resiliencia de una empresa. Para tener una idea de cuál es el presupuesto que están invirtiendo en ciberseguridad las empresas de Europa y Estados Unidos, las que están mejor preparadas invierten en promedio el 24% del presupuesto de TI en ciberseguridad, mientras que las más nuevas y con menos recursos la cifra llega al 17%.
Para los próximos 12 meses, el 63% de las organizaciones planea aumentar su gasto en ciberseguridad y los principales focos de atención son las tecnologías, las auditorías, la prevención y la formación.
El experimentado Security Evangelist de ESET, Tony Anscombe, compartió una sugerencia de lo que debería estar en su lista de prioridades a la hora de verificar los procesos y operaciones de su organización con el objetivo de mejorar la resiliencia cibernética.