El reciente ataque de ransomware de un importante operador de gasoductos de Estados Unidos que llevó al cierre de Colonial Pipeline y afectó el abastecimiento de combustible en el país, no es el primer problema de infraestructura provocado por un ataque de ransomware.

En febrero pasado, una instalación de gas natural con sede en Estados Unidos fue cerrada durante dos días por una intrusión de ransomware que se extendió a su red. Y lamentablemente, las empresas de infraestructura deben estar en alerta con respecto a este tipo de ataques.

El informe "El estado del ransomware de Sophos 2021" (**), apunta que las organizaciones de infraestructura tienen más probabilidades de pagar un rescate que cualquier otra industria, y el 43% de estas organizaciones se someten al pago de rescate. La investigación de Sophos también muestra que el 64% de las organizaciones de infraestructura experimentaron un aumento en los ciberataques en el transcurso de 2020.

DarkSide, grupo responsable por el ataque, sigue los mismos pasos de otros operadores de ransomware de doble extorsión como REvil, Maze y LockBit, que filtran datos comerciales antes de cifrarlos y amenazan con divulgarlos al público si las víctimas no pagan por una clave de descifrado.

La cantidad de organizaciones que pagan el rescate para recuperar sus datos aumentó durante el último año, del 26% de las organizaciones cuyos datos se cifraron en 2020 al 32% en 2021.

Paralelamente, el informe también detectó que el costo promedio de remediar un ataque de ransomware se duplicó en los últimos 12 meses. Los gastos con la reparación, incluido el tiempo de inactividad comercial aumentaron de un promedio de u$s761.106 en 2020 a u$s1,85 millones en 2021.

Y un dato alarmante es que menos de una de cada diez empresas logró recuperar todos sus datos. De hecho, en promedio, las organizaciones que pagaron el rescate recuperaron sólo el 65% de sus datos, y el 29% no recuperaron más de la mitad de sus datos. Cuando se trata de ransomware, no vale la pena pagar.

Si bien la cantidad de organizaciones que experimentaron un ataque de ransomware se redujo del 51% de los encuestados en 2020 al 37% en 2021, los resultados del estudio de Sophos revelan tendencias preocupantes, ya que la aparente disminución en el número de organizaciones afectadas por ransomware probablemente refleja cambios en los comportamientos de los atacantes.

El 54% de los encuestados afirmó que los ciberataques son demasiado avanzados para que su equipo de tecnologías de la información (TI) los maneje por sí mismos, reforzando que los ataques dirigidos son cada vez más avanzados.

El ransomware es una práctica muy lucrativa de la ciberdelincuencia.

Mejores prácticas ante ciberataques en empresas

Desde Sophos recomendamos las siguientes cinco mejores prácticas para ayudar a defenderse del ransomware y los ciberataques relacionados:

Realice copias de seguridad y mantenga una copia offline

Las copias de seguridad son el principal método que utilizan las organizaciones encuestadas para recuperar sus datos después de un ataque. Opte por el enfoque estándar de la industria de 3: 2: 1 (tres conjuntos de copias de seguridad, utilizando dos medios diferentes, uno de los cuales se mantiene fuera de línea).

Implemente protección en capas

Dado que más ataques de ransomware también implican extorsión, es más importante que nunca mantener alejados a los adversarios. Utilice protección en capas para bloquear a los atacantes en tantos puntos como sea posible.

Combine expertos humanos y tecnología anti-ransomware

La clave para detener el ransomware es la defensa en profundidad que combina tecnología dedicada contra el ransomware y la búsqueda de amenazas dirigida por humanos. La tecnología proporciona la escala y la automatización que una organización necesita, mientras que los expertos humanos son los más capaces de detectar las tácticas, técnicas y procedimientos reveladores que indican que un atacante está intentando ingresar al entorno.

Si no tiene las habilidades internas, busque el apoyo de una empresa especializada en ciberseguridad: los centros de operaciones de seguridad son opciones para organizaciones de todos los tamaños.

No pague el rescate

Fácil de decir, pero mucho menos fácil de hacer cuando una organización se ha detenido debido a un ataque de ransomware. Independientemente de cualquier consideración ética, pagar el rescate es una forma ineficaz de recuperar los datos. Si decide pagar, tenga en cuenta que los adversarios restaurarán, en promedio, solo dos tercios de sus archivos.

Tenga un plan de recuperación de malware

La mejor manera de evitar que un ciberataque se convierta en una infracción total es prepararse con anticipación. Las organizaciones que son víctimas de un ataque a menudo se dan cuenta de que podrían haber evitado pérdidas e interrupciones financieras significativas si hubieran tenido un plan de respuesta a incidentes implementado.

Oscar Chávez-Arrieta: "el costo promedio de remediar un ataque de ransomware se duplicó en los últimos 12 meses."

En resumen, es cada vez más complejo identificar algunas amenazas y la restauración de datos, más costosa. Recuperarse de un ataque de ransomware puede llevar años y en algunos casos, puede implicar en la reconstrucción de los sistemas desde cero.

Por este motivo, es más importante que nunca protegerse contra los adversarios en la puerta, antes de que tengan la oportunidad de tomar el control y desplegar ataques que son cada vez más avanzados.

(*) Vicepresidente de Sophos para América latina.

(**) La encuesta El Estado de Ransomware 2021 fue realizada por Vanson Bourne, un especialista independiente en investigación de mercado, en enero y febrero de 2021. La encuesta entrevistó a 5.400 tomadores de decisiones de TI en 30 países, en los EE. UU., Canadá, Brasil, Chile, Colombia, México, Austria, Francia, Alemania, Reino Unido, Italia, Países Bajos, Bélgica, España, Suecia, Suiza, Polonia, República Checa, Turquía, Israel, Emiratos Árabes Unidos, Arabia Saudita, India, Nigeria, Sudáfrica, Australia, Japón, Singapur, Malasia y Filipinas. Todos los encuestados pertenecían a organizaciones con entre 100 y 5.000 empleados.