¿Por qué rara vez se entienden bien las consecuencias de los ataques de ransomware?

Robert Hannigan, Director de Negocios Internacionales de EMEA en BlueVoyant

Las estadísticas son impresionantes y las consecuencias son reales. A medida que la tecnología evoluciona, también lo hace la prevalencia del ransomware. Mientras los expertos en seguridad siguen desarrollando entornos más seguros, los piratas informáticos buscan constantemente formas de comprometer los sistemas. Según Cybersecurity Ventures, en 2031, una empresa, consumidor o dispositivo podría sufrir un ataque relacionado con el ransomware cada dos segundos, frente a los 11 segundos del año pasado. El mismo estudio también encontró que se espera que los costos del ransomware se disparen de 20 mil millones de dólares del año pasado a más de 265 mil millones de dólares en 2031.

El panorama general

La magnitud del problema es asombrosa. Aunque los ataques de ransomware suelen ocupar los titulares, los mayores costos para las empresas y los individuos atacados o víctimas suelen quedar ocultos bajo la superficie. Los altos directivos y las juntas directivas oyen hablar de los ataques de ransomware y de su frecuencia, pero rara vez entienden cómo se desarrolla un incidente, desde el manejo inmediato hasta la recuperación sostenible del negocio.

Así, aunque los líderes empresariales reconocen que el ransomware es perjudicial, la gran cantidad de estos ataques y sus verdaderas implicaciones tienden a ser menos conocidas. Del mismo modo, la mayoría de la gente piensa solo en los ataques y su impacto en la organización afectada, o en el restablecimiento de sus sistemas habituales, pero los ataques también afectan a los clientes de la empresa atacada, a terceros y al ecosistema más amplio de partes interesadas. El ransomware debe ser reconocido como una amenaza sistémica que también puede perturbar la vida de la gente común. Cuando se trata de ransomware, las víctimas desprevenidas también sufren las consecuencias, como despidos, retrasos en tratamientos médicos, interrupciones en los viajes, imposibilidad de acceder a sus fondos y mucho más.

Estados Unidos sufrió 65.000 ataques de ransomware en 2021.

Según algunas investigaciones sobre ransomware, Estados Unidos experimentó más de 65.000 ataques de ransomware en 2021, siendo uno de los más importantes el ataque a Colonial Pipeline, que provocó el drenaje de una gran cantidad de gasolineras en el sureste del país. Colonial Pipeline pagó a los piratas informáticos 4,4 millones de dólares por una herramienta de descifrado que restableció las operaciones petroleras, a pesar de las recomendaciones del FBI y del Departamento de Seguridad Nacional de EE. UU. de que las empresas deben evitar el pago de rescates.

Los ataques de ransomware llevan a las víctimas a la bancarrota, obligan a los hospitales a rechazar pacientes, impiden el acceso a servicios esenciales, paralizan las operaciones de las empresas y mucho más. Aunque cada ataque es único, estos ataques selectivos tienen puntos en común: actividades perturbadoras, pagos elevados y, en ocasiones, técnicas de extorsión dobles o triples, que son cada vez más comunes, ya que los hackers buscan extraer el máximo dinero posible de sus víctimas. Hoy en día, las organizaciones no solo se arriesgan a que sus datos se bloqueen y tengan que pagar para restaurarlos, sino que, una vez que los atacantes tienen acceso a los datos para bloquearlos, los filtran mediante una doble extorsión. En el caso de la triple extorsión, los atacantes también piden a cualquier persona que pueda verse afectada por los datos robados que pague también. Esto significa que los atacantes no solo piden que se les pague para desbloquear los datos, sino también que no los publiquen en la web. Desgraciadamente, los atacantes se dirigen entonces a los clientes, socios, proveedores y al ecosistema en general, y piden a estas organizaciones que paguen para no divulgar sus datos.

Tomar las decisiones correctas

Las organizaciones proveedoras se enfrentan a una serie de decisiones a la hora de responder a un ataque en curso. Es posible que tengan que determinar si cesan las operaciones, sobre todo si desconocen el alcance del ataque y tratan de evitar que los adversarios sigan penetrando en sus sistemas. Las decisiones sobre cómo responder pueden estar sujetas a una autoridad superior. Si no se toma una decisión rápida, los ataques pueden penetrar aún más en los sistemas y redes antes de que la organización pueda comenzar sus respuestas defensivas. Si la organización decide cerrar o detener las operaciones o las redes, esto crea un efecto dominó y hay que tomar también otras decisiones. Los altos ejecutivos se ven obligados a determinar cómo avanzar operativamente sin acceso a los sistemas internos, incluso antes de que la empresa haya determinado si pagará o negociará con los hackers.

La cooperación con los atacantes puede dar lugar a otros métodos de explotación, mientras que los gestores también deben abordar la reparación de todas las redes afectadas. Si los procedimientos de seguridad establecidos han salvaguardado la información y los sistemas críticos, una empresa suele tener más margen de maniobra ante una extorsión criminal, pero no siempre es así.

Las empresas se enfrentan a decisiones críticas sobre su estrategia de comunicación pública tras un ataque y sobre cómo gestionar no solo el daño a la reputación, sino también la pérdida de confianza de los clientes a largo plazo. En caso de que se produzca una violación de la información personal identificable (PII) o de los datos sensibles de los clientes, las empresas suelen estar obligadas a divulgarla públicamente. Algunas organizaciones deciden no revelar la brecha y pagar el rescate para evitar la vergüenza. Sin embargo, se trata de una estrategia muy arriesgada, que podría acarrear futuros problemas y una pérdida de confianza de los clientes. En el periodo posterior a un ataque, la recuperación del negocio puede incluir el costo de la reingeniería de sistemas y procesos, la aplicación de mejoras de seguridad y la reestructuración de los profesionales de la empresa.