El primer ataque de ransomware se produjo en 1989 y fue posible gracias al disquete. Sin embargo, no fue hasta que llegaron las criptomonedas y los pagos “irrastreables” en la década de 2010 que su prevalencia como método de ataque se disparó.
El crecimiento de las criptomonedas es sólo una de varias tendencias clave que han impactado el panorama del ransomware. En otros lugares, por ejemplo, las relaciones internacionales desempeñaron un papel. Los atacantes y las víctimas rara vez viven en el mismo país, por lo que lidiar con los delincuentes requiere cooperación policial transfronteriza. Estados Unidos y Rusia comenzaron a trabajar juntos para lidiar con las pandillas con base en Rusia antes de que la guerra de Ucrania pusiera fin a esa cooperación.
Pero una de las mayores influencias en el estado del ransomware en el relativamente corto tiempo desde que realmente llegó hace poco más de diez años ha sido el seguro cibernético. Aunque no siempre benefician a las víctimas, años de cambios de políticas y requisitos de cobertura actualizados han significado que las organizaciones se hayan vuelto mucho más resilientes a largo plazo.
Director ejecutivo de cabañas de datos.
Si el ransomware es un fenómeno nuevo, también lo es el ciberseguro
Recuerdo haber hablado con una compañía de seguros hace poco más de diez años. Acaban de comenzar a ofrecer pólizas de seguro cibernético, pero en este momento aún no han recibido un reclamo.
Pero a medida que aumentó el número de ataques de ransomware, las organizaciones implementaron con entusiasmo políticas cibernéticas para protegerse. Los métodos de ataque de ransomware y el rescate requerido eran muy diferentes a los de hoy. A principios de la década de 2010, las empresas de ransomware más comunes a las que se enfrentaban eran ataques de bajo coste y de tipo mercado masivo, como CryptoLocker. El rescate exigido por los atacantes fue de sólo unos pocos cientos de dólares.
A medida que los ataques se volvieron más comunes, se produjeron cambios significativos en la forma en que operaban los delincuentes. El ‘Ransomware como servicio’ surgió como un producto que ofrecía a los posibles ciberdelincuentes sin las habilidades para desarrollar malware ellos mismos la oportunidad de comprar un kit disponible en el mercado. Los ataques también se han vuelto más dirigidos a industrias con defensas cibernéticas más débiles, como la manufactura, el gobierno y la atención médica, donde el impacto del tiempo de inactividad será mucho mayor.
pagar, recuperar o fallar
Históricamente, las víctimas del ransomware se han enfrentado a una elección: pagar el rescate, a menudo cientos de miles o millones de libras, generalmente a través de un reclamo en su póliza de seguro cibernético, o intentar reembolsarse a sí mismas.
Al no poder depender de métodos de recuperación como las copias de seguridad, algunas empresas no tuvieron más remedio que pagar a los delincuentes. En otros casos, las víctimas han tenido que sopesar el costo del rescate con el costo de su recuperación, que rápidamente puede volverse costoso. Por ejemplo, están los costos directos, como los expertos en ciberforense, los servicios de consultoría de TI y el costo esperado de las horas extras para sus equipos. Luego considere los impactos comerciales, como la pérdida de ingresos, las multas de los reguladores y los costos a largo plazo asociados con el daño a su reputación.
La mayoría de las organizaciones optaron por pagar el rescate y luego entraron en el círculo vicioso de más ataques y más pagos.
Si bien estas son malas noticias para todas las partes, el dolor lo sintieron agudamente las aseguradoras cibernéticas, que de pronto descubrieron que su producto de rápida venta volvía en su contra, exponiéndolos a enormes pérdidas.
El mayor problema para las empresas fue el hecho de que no abordaron la raíz de los ataques. En lugar de tomar medidas para mejorar sus defensas e implementar procesos que ayudaran a la recuperación, se encontraron vulnerables y en una posición en la que no tenían más remedio que pagar un rescate.
Las aseguradoras respondieron de dos formas que cabría esperar ante esta situación: subieron el precio del producto y elevaron sus requisitos para obtener cobertura.
Cuando contratas un seguro de hogar, por ejemplo, respondes preguntas sobre la seguridad de tu hogar y sus distintos puntos de entrada. Pero cuando se trata de lograr cobertura cibernética, las empresas hoy en día tienen mucho más por hacer.
- Los cuestionarios de ciberseguros, que solían ser exhaustivos, ahora evalúan a las empresas en cada una de las siguientes áreas: Separación de datos de producción y respaldo.
- Cifrado de copias de seguridad
- Fecha límite para la revisión de recuperación ante desastres
- Presupuesto anual para TI y ciberseguridad
- ¿Alguna empresa ha sufrido anteriormente un ataque de ransomware?
- Qué tan rápido se implementan las actualizaciones críticas y si algún software se utiliza más allá del final de su vida útil
La principal diferencia es que las aseguradoras son más cuidadosas a la hora de evaluar si la empresa que solicita la cobertura es segura y capaz de responder a un ciberataque. Para ellos, los mejores clientes son aquellos que probablemente no presenten una reclamación. En caso de que necesiten presentar una demanda, el cliente tiene la capacidad de responder y volver a conectarse rápidamente, lo que limita los costos y genera un pago menor.
Fundamentalmente, las compañías de seguros también comenzaron a desalentar los pagos siempre que era posible.
Estos cambios tuvieron un impacto significativo en el estado del juego. Las organizaciones han mejorado tanto sus medidas preventivas de seguridad como su capacidad de respuesta. De repente, las empresas quisieron implementar copias de seguridad inmutables y separación de operaciones y comenzaron a realizar comprobaciones frecuentes de DR.
El cambio resultante ya es visible entre las empresas. Más organizaciones que nunca tienen un seguro cibernético, pero son menos las que presentan reclamaciones. En cambio, las empresas se reinventan.
ahora mismo
Tomando cada ataque por separado, pagar un rescate puede parecer una opción más atractiva. Pagar puede significar menos tiempo de inactividad, menos daño a la reputación (suponiendo que se mantenga en secreto) y un menor costo general para la empresa.
Pero al final, pagar sólo conducirá a más ataques. El problema del ransomware no se puede solucionar de forma aislada, sino que requiere un esfuerzo conjunto para abordar los beneficios para los atacantes.
Si bien los reguladores suelen discutir las prohibiciones absolutas de pagos, casi siempre las abandonan. La única prohibición exitosa impidió pagos a organizaciones terroristas conocidas. La dificultad radica en establecer una norma que sea eficaz pero que no lleve a las empresas a incurrir en costos agobiantes, a fracasar y a causar pérdidas de empleo. Originalmente, las ciberaseguradoras comenzaron a influir en el mercado disuadiendo a las organizaciones de pagar, animándolas en cambio a mejorar su respuesta.
El ciberseguro ha tenido éxito donde la regulación ha fracasado en gran medida. Sin duda, este ha sido el factor positivo más importante a la hora de mejorar la respuesta al ransomware y la ciberresiliencia general de las empresas.
Hemos compilado una lista de los mejores servicios de respaldo en la nube..
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde mostramos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si estás interesado en donar, descubre más aquí: