Las graves consecuencias del ransomware en las organizaciones.

 

¿Qué es el ransomware?

El ransomware es un tipo de software malicioso o “malware” que modifica y encripta archivos en dispositivos y sistemas informáticos, causando el bloqueo o cese de su funcionamiento. Este software entra en el sistema por la acción de ciberdelincuentes o grupos criminales organizados, en muchos casos enviando mensajes maliciosos de correo electrónico que parecen legítimos. Cuando algunas de las víctimas abren esos emails y siguen sus instrucciones, el programa de ransomware comienza la silenciosa tarea de bloquear archivos hasta que el dispositivo por donde ha entrado o incluso todo el sistema informático queda bloqueado. Con frecuencia, este bloqueo del sistema informático supone la paralización total o parcial de la actividad de la organización. El propio programa malicioso de ransomware muestra mensajes en pantalla explicando que el sistema está “secuestrado”. Este mensaje suele solicitar el pago de un rescate en criptomonedas, a cambio de la clave que permitiría desbloquear el sistema para que vuelva a funcionar con normalidad. Las autoridades recomiendan no pagar el rescate. Incluso pagando la cantidad económica solicitada por los ciberdelincuentes, nunca se tiene la garantía de que funcione el código de desbloqueo. Uno de los motivos del auge de los ataques de Ransomware radica en el potencial alto rendimiento que ofrece a los ciberdelincuentes a cambio de un bajo nivel de riesgo hasta tal punto que se está convirtiendo en una especie de modelo de negocio de carácter obviamente ilícito.

Consecuencias del ransomware.

La gravedad de las consecuencias ante un bloqueo del sistema informático es obvia dada la total dependencia que tienen todas las organizaciones de sus respectivos sistemas informáticos. En muchos casos, las empresas y administraciones públicas afectadas por ransomware se ven obligadas a detener temporalmente sus actividades. En el mejor de los casos parcialmente, aunque en algunos casos el cese de las operaciones puede llegar a ser total durante horas o varios días. Las consecuencias se pueden desglosar en diversos grupos:

Pago de un rescate.

En los casos que, a pesar de estar desaconsejado, la organización afectada decide pagar el rescate, la cantidad económica desembolsada ya supone una pérdida al tratarse de un gasto no presupuestado. Las cantidades solicitadas pueden oscilar entre unos cientos de Euros, varios miles de Euros o alcanzar cifras millonarias.

Pérdidas económicas y reputacionales derivadas del cese de operaciones.

En muchos casos, esta es la partida más preocupante. Por ejemplo, en 2021 el grupo “Sinclair Broadcast” sufrió un ataque de ransomware que ocasionó unas pérdidas de unos $63 millones de dólares derivadas de anuncios no publicados debido al impacto del ataque. El Servicio Público de Empleo Estatal (SEPE) sufrió un ciberataque el 9 de marzo de 2021 el cual impedía el acceso a su página web, y por el cual los causantes del ciberataque exigieron una compensación económica. Y así una inacabable lista de organizaciones y ataques que van en aumento.

Coste de reparación y vuelta a la normalidad.

Este grupo de consecuencias incluye conceptos como las horas de trabajo del personal propio de la organización afectada y los costes de contratación de equipos externos especializados en ayudar a las organizaciones afectadas por ransomware a volver a la actividad habitual.

Despidos.

Las pérdidas económicas pueden ir acompañadas de despidos derivados de los ajustes que deben llevar a cabo las organizaciones tras sufrir ataques de Ransomware. Los despidos pueden afectar a empleados de todos los niveles y también a directivos, incluyendo aquellos que estaban a cargo de la ciberseguridad como también quienes no tenían nada que ver con la salvaguarda de la seguridad digital.

Filtraciones de datos.

Son cada vez más las organizaciones que están preparadas para recuperarse de ataques de Ransomware mediante la recuperación de copias de seguridad sin tener que plantearse el pago del rescate. Ante esta realidad, los ciberdelincuentes han desarrollado estrategias como conseguir datos sensibles durante los ataques de ransomware y asociar el pago del rescate a no hacer públicos dichos datos. De esta forma, los ciberatacantes llevan a cabo un intento de extorsión doble. Los tipos de datos sensibles pueden incluir historiales médicos, datos identificativos de personas o credenciales de cuentas de acceso. También es posible que los ciberdelincuentes amenacen con publicar información sujeta a propiedad intelectual como planes de nuevos productos, desarrollo de mercado o especificaciones técnicas altamente confidenciales.

¿Cómo pueden protegerse las organizaciones frente al Ransomware?

En general, el coste de prevenir ataques de Ransomware es inmensamente menor que el coste combinado de todas las consecuencias anteriormente descritas. La prevención frente a los ataques de Ransomware se lleva a cabo en dos frentes principales.

Defensa tecnológica.

Existen múltiples metodologías y tecnologías orientadas a detectar e impedir intrusiones de Ransomware en los sistemas informáticos de las organizaciones. Desde el filtrado masivo de correos electrónicos sospechosos, filtrado de tráfico de la red, monitorización de eventos, etc. Otra área de defensa tecnológica consiste en disponer de sistemas de copia de seguridad acompañados de procedimientos de recuperación rápida ensayados en laboratorio y listos para ponerse en práctica en caso de ataques reales.

Concienciación de toda la plantilla.

Aunque las estrategias de defensa tecnológica pueden llegar a ser muy efectivas, los ciberdelincuentes cuentan con tácticas de ataque basadas en engañar a los usuarios para conseguir sus objetivos maliciosos. Estas tácticas incluyen correos electrónicos “trampa”, simulación de páginas web, llamadas telefónicas, envío de SMS, Whatsapp y un amplio abanico de métodos de infección. La mejor solución contra estas tácticas consiste en establecer una cultura de seguridad digital permanente a toda la plantilla. La base de esta cultura de seguridad digital es la formación, muy habitualmente cursos on-line como SafeUser orientados a que los usuarios conozcan y practiquen cómo identificar posibles ataques y aprendan a reaccionar de la forma más adecuada. Además de esta formación y entrenamiento, es muy recomendable que la ciberseguridad forme parte de las comunicaciones corporativas con una cierta regularidad. De esta forma se fomenta un estado de alerta permanente ante la incesante actividad de atacantes y la optimización de sus estrategias.