Qué es un ataque de ransomware a la empresa y qué rescate están pidiendo a las secuestradas
Desde hace unos años toda la seguridad de las empresas se ha tenido que replantear. En el pasado un virus informático podía dañar nuestros sistemas y provocar una interrupción en el funcionamiento del negocio o pérdida de datos. Pero ahora la cuestión es mucho más grave con el secuestro de los datos. Por eso vamos a ver qué es un ataque de ransomware a la empresa y qué rescate están pidiendo a las secuestradas.
Posiblemente muchos hayan oído ya hablar del ransomware. Incluso algún ataque famoso como los que le sucedieron a Telefónica, que tuvo que enviar a todos sus empleados a casa, la Cadena Ser o últimamente el SEPE o la Universidad Autónoma de Barcelona. Pero no son solo las grandes. Es más, las más atacadas son las pymes.
Según un informe de Google señala que tres de cada cuatro empresas en España sufrieron un ciberataque durante el primer semestre de 2019 y alrededor de 3 millones de empresas están nada o poco protegidas contra esta amenaza.
¿Qué es un ataque de ransomware?
Vamos a intentar explicarlo en un lenguaje que no sea técnico. El ransomware es un ataque informático que busca introducirse en nuestros sistemas y cifrar los archivos e información disponible.
Para lograrlo se valen de diferentes métodos, desde el ataque a vulnerabilidades que son públicas pero no se han corregido en los sistemas informáticos a ganarse la confianza de los usuarios para que les den paso aunque ellos realmente no lo sepan. Es lo que se conoce como ingeniería social, normalmente a través de correo electrónico, pero también redes sociales, por ejemplo.
Una vez que lo consiguen pedirán un rescate para liberar dicha información, normalmente en Bitcoins. Además del cifrado de los archivos se genera un archivo de texto, del tipo xxx.txt, con las instrucciones precisas para pagar el rescate y poder recuperar la contraseña de cifrado y con ella la información de nuestro negocio.
El cifrado no solo afecta a los datos, sino que en muchos casos afecta también a los programas que utilizamos o los sistemas operativos que gobiernan los ordenadores y la informática de nuestra empresa. Es una cuestión de tiempo, cuanto más se tarda en detectar el ataque más daño puede hacer y más información cifra.
Por mi experiencia personal, un ataque de ransomware en el que un empleado abre un correo y rápidamente se da cuenta que algo no va bien, reacciona y se pone en contacto con sus informáticos que aíslan dicho equipo desconectándolo de la red hace un daño limitado, siempre pensando que tenemos una copia de seguridad a salvo.
En otras ocasiones, el ataque se produce en fin de semana, explotando algún agujero de seguridad del sistema que no se ha actualizado y tiene tiempo suficiente para cifrar ese equipo, las unidades de red, y todos los equipos que encuentre encendidos, normalmente servidores y las unidades que tengan conectadas. Por eso siempre tiene que existir una copia de seguridad que no esté conectada y a salvo en las empresas. En este caso el tiempo que se puede tardar en recuperar se mide ya en días en lugar de horas.
¿Qué rescate piden los ciberdelincuentes?
Según un estudio de la empresa de seguridad Palo Alto Networks, durante 2020 el rescate medio solicitado por los ciberdelincuentes para recuperar archivos secuestrados por ransomware fue de 312.500 dólares en Europa.
Pero no siempre se paga lo que piden. Hay ya especialistas en negociar con los ciberdelincuentes para rebajar dicha cantidad inicial. Tan importante es el negocio que disponen de un completo sistema de atención a la empresa extorsionada, para facilitar la transacción. Y ojo, que hay descuento por pronto pago y todo.
Además existe un segundo chantaje que se ha puesto encima de la mesa en los últimos años. Si no se paga el rescate se amenaza con hacer públicos los datos de las empresas. Y esto para determinados sectores es crítico. No ya por la multa que pueden sufrir por parte de la Agencia Española de Protección de Datos, AEPD, sino por el problema de reputación que sufren ante sus clientes actuales y los futuros.
Además pagar no nos garantiza que igualmente se hayan guardado una copia de dichos datos y en el futuro volvamos a tener una segunda extorsión. No es una cuestión como para tomársela a la ligera. Los ciberdelincuentes saben perfectamente el tamaño de la empresa, su capacidad financiera y cuánto puede pagar. Y apretarán hasta conseguirlo.
No tengo copia de seguridad, ¿debería pagar el rescate?
Lo cierto es que no tenemos ninguna garantía de que vamos a recuperar nuestros datos. Al fin y al cabo estamos pagando a delincuentes y nos tenemos que fiar de su palabra. Nada nos garantiza que después suframos un segundo ataque o nos pidan un segundo rescate. En todo caso la estadística según Sophos dice que:
El 26% de las víctimas cuyos datos se cifraron recuperaron sus datos pagando el rescate. Otro 1% pagó el rescate pero no recuperó sus datos. En general, el 95% de las organizaciones que pagaron el rescate recuperaron sus datos.
Además existe un efecto llamada por el que no deberíamos pagar. Se ataca a las empresas porque resulta rentable. Y el ransomware se ha convertido hoy por hoy en una industria muy rentable.
Por último el cifrado y manipulación de estos archivos aunque luego podamos recuperarlos no implica que todo vuelva al punto anterior al ataque. Por experiencia puedo deciros que alguna empresa que ha pagado su rescate ha pasado los dos años siguientes con problemas y archivos corruptos que tenía que limpiar y recuperar en sus sistemas.
Desde hace un tiempo se han comercializado seguros contra ciberataques en las empresas, pero contratarlos no significa que se dejen de implantar las medidas de seguridad, la ejecución de copias y estar preparados ante un posible rescate. Si no lo hacemos el seguro nos va a servir de poco.
Imagen | Tima Miroshnichenko en Pexels