Según el Informe de riesgos de ransomware de Semperis 2024, aproximadamente un tercio de las empresas que sufrieron un ataque de ransomware pagaron el rescate cuatro o más veces durante el último año.
Una encuesta realizada a 900 ejecutivos de seguridad y TI en Francia, Alemania, el Reino Unido y Estados Unidos encontró que casi un tercio (32%) de las organizaciones eligen múltiples métodos de pago.
El informe decía que las empresas alemanas eran particularmente vulnerables, ya que casi la mitad realizaba cuatro o más pagos, en comparación con el 20% en Estados Unidos.
Más de un tercio de las empresas que pagaron el rescate nunca recibieron una clave de descifrado o recibieron una clave dañada.
Según la encuesta, aproximadamente el 85% de las empresas en EE. UU. y el Reino Unido sufrieron un ataque de ransomware en los últimos 12 meses.
De los encuestados, el 75% pagó un rescate para recuperar el control de sus datos, y aproximadamente el 10% pagó más de 600.000 dólares.
Además, el 87 % informó algún nivel de interrupción del negocio después del ataque.
De hecho, el 80 % de los ataques comprometieron los sistemas de identidad de TI, como Microsoft Active Directory y Entra ID, pero el 61 % de las organizaciones admiten que carecen de sistemas de respaldo dedicados para estas plataformas de identidad críticas.
Además, casi tres cuartas partes de las empresas dijeron que habían experimentado múltiples ataques en el mismo período.
Los atacantes mantienen el acceso incluso después del pago
Devin Ertel, director de seguridad de la información de Menlo Security, dijo que la decisión de pagar un rescate varía según la organización y la situación.
“Esta es una decisión empresarial holística más que una decisión puramente técnica porque hay múltiples factores involucrados”, afirmó.
Aunque realizar un pago puede parecer la forma más rápida de recuperarse, es importante recordar que un atacante puede mantener el acceso incluso después de realizar un pago. Por lo tanto, es esencial un proceso completo de respuesta y recuperación ante incidentes.
“Nunca pienses que pagar dinero solucionará tu problema”, dice Ertel. “En su lugar, utilice este incidente como una oportunidad para reflexionar sobre las brechas que fueron explotadas e incorporarlas a su estrategia general de seguridad”.
Ngoc Bui, experto en ciberseguridad de Menlo Security, dijo que si bien pagar un rescate puede incentivar a los actores de amenazas, en la práctica, especialmente para las organizaciones involucradas en infraestructura crítica, no pagar. Agregó que el daño podría ser aún mayor.
“La interrupción del ransomware puede ser devastadora y las organizaciones deben priorizar la protección de sus operaciones y de sus partes interesadas”, afirmó.
Dijo que las organizaciones que experimentan ataques de ransomware deberían utilizarlo como una oportunidad de aprendizaje para ajustar sus medidas de seguridad y asegurarse de que utilizan inteligencia procesable para hacerlo.
Los pagos suelen ser más rentables
Carlo Edwards, investigador principal de inteligencia de amenazas en Ontinue, dijo que en algunos casos, puede ser más rentable pagar una demanda de rescate que esperar a que los equipos de seguridad evalúen el problema y tomen medidas.
En 2021, CNA Financial pagó una cifra récord de 40 millones de dólares después de un cierre patronal de dos semanas.
“Pero ésta es una organización cuyo tamaño ronda los 14.000 millones de dólares”, explicó. “Así que era más barato pagar el rescate que perder los 500 millones de dólares que se podrían haber perdido en el tiempo de inactividad”.
Advirtió que una vez que una organización paga un rescate o se ve comprometida por un operador de ransomware, es probable que se produzcan más ataques en el corto plazo.
“La intrusión inicial muestra una falta de conciencia sobre las medidas de seguridad”, dijo Edwards.
Los actores de amenazas son oportunistas y probablemente tomarán esto como una señal de una mala gestión organizacional o controles de seguridad e intentarán atacar nuevamente.
“Sin una autopsia exhaustiva, es posible que se pasen por alto vulnerabilidades críticas y que no se produzcan restablecimientos de credenciales”, afirmó.
Además, no es raro que los operadores de ransomware dejen puertas traseras para futuros intentos de acceso, o que los agentes de acceso vendan métodos de acceso a múltiples grupos.
“Si no aborda este método de acceso rápida y cuidadosamente, es como no cerrar la puerta trasera de su casa”, dijo Edwards.
