El estudio ‘The State of Ransomware 2023’ publicado por la firma de seguridad informática Sophos, el pasado 11 de mayo, reveló que el ritmo de los ataques de ransomware se ha mantenido constante, con un 66 % de los encuestados informando que su organización fue atacada por ransomware en el último año.
Esta cifra es la misma que se registró en la misma encuesta de 2022. Los ciberdelincuentes han estado desarrollando y perfeccionando el modelo de ransomware como servicio durante varios años, lo que aumenta la sofisticación de los ataques y reduce las barreras de entrada para los posibles actores de ransomware.
Al final de este informe encontrarás, también, datos relacionados con el impacto del Ransomware en Colombia en 2023. Estos datos fueron proporcionados por otra firma de seguridad informática llamada SonicWall.
Lee también: ‘Trabajé como hacker y conseguí empleo en la web oscura’: testimonio
¿Qué es el ransomware?
El ransomware es como un ladrón que entra a tu casa (en este caso, tu computadora) mientras no estás, cierra todas las puertas con candados nuevos y luego te pide dinero para darte las llaves.
En términos más técnicos, el ransomware es un tipo de amenaza informática maliciosa. Una vez que se mete en tu computadora, cifra o bloquea tus archivos y datos personales. Esto significa que no puedes acceder a ellos, igual que si estuvieran encerrados en una caja fuerte. Luego, los criminales que pusieron el código malicioso te piden un “rescate”, que suele ser dinero en una forma de moneda digital llamada bitcoin, a cambio de la “llave” para desbloquear tus archivos.
Por ejemplo, imagina que estás trabajando en un proyecto importante en tu computadora y de repente todos tus archivos se bloquean y aparece un mensaje en tu pantalla diciendo: “Tus archivos han sido cifrados. Paga 1 bitcoin para desbloquearlos”. Eso es un ataque de ransomware.
Tasa de ataques de ransomware por año
| Año | Porcentaje de organizaciones atacadas | Número de encuestados |
|---|---|---|
| 2020 | 51 % | 5,000 |
| 2021 | 37 % | 5,400 |
| 2022 | 66 % | 5,600 |
| 2023 | 66 % | 3,000 |
A nivel de país, se revelaron variaciones en la tasa de ataques de ransomware reportada. Singapur reportó la tasa más alta de ataques de ransomware en el último año, mientras que el Reino Unido tuvo la tasa más baja. Austria experimentó la mayor caída en la tasa de ataques, mientras que Sudáfrica registró el mayor incremento.
Ataques de ransomware por país en 2023
| País | Tasa de ataque |
|---|---|
| Singapur | 84 % |
| Reino Unido | 44 % |
| Austria | 50 % (descenso desde 84 %) |
| Sudáfrica | 78 % (aumento desde 51 %) |
En cuanto a la industria, el sector educativo fue el más propenso a haber experimentado un ataque de ransomware en el último año. Por el contrario, las industrias de TI, tecnología y telecomunicaciones informaron el nivel más bajo de ataques, lo que indica un mayor nivel de preparación y defensas cibernéticas.
Ataques de ransomware por industria en 2023
| Industria | Tasa de ataque |
|---|---|
| Educación (inferior) | 80 % |
| Educación (superior) | 79 % |
| TI, Tecnología, y Telecomunicaciones | 50 % |
¿Qué tipos de organizaciones reciben más ataques?
El estudio muestra una clara correlación entre los ingresos anuales y la propensión a experimentar un ataque de ransomware. La proporción de organizaciones afectadas por ransomware aumenta progresivamente con los ingresos. Un 56% de las organizaciones con ingresos de 10 a 50 millones de dólares sufrieron un ataque de ransomware en el último año, cifra que sube al 72% en las que tenían ingresos de más de 5 mil millones de dólares.
Por el contrario, no se encontró una relación clara entre la experiencia de ransomware y el número de empleados en una organización. Con la excepción del segmento de 1.001 a 3.000 empleados, la tasa de ataque de ransomware fue bastante consistente.
Ataques de ransomware por tamaño de organización en 2023
| Número de empleados | Tasa de ataque |
|---|---|
| 100-250 | 62 % |
| 251-500 | 62 % |
| 501-1,000 | 62 % |
| 1,001-3,000 | 73 % |
| 3,001-5,000 | 63 % |
Los datos indican que, en el contexto del tamaño de la organización, los ingresos anuales son un indicador mucho más importante de la probabilidad de sufrir un ataque que el número de empleados.
Porcentaje de organizaciones afectadas por ransomware según los Ingresos en 2023
Ingresos anuales | Porcentaje de organizaciones afectadas | Número de organizaciones |
|---|---|---|
| Menos de $10 millones | 58 % | 106 |
| $ 10-$50 millones | 56 % | 241 |
| $ 50-$ 250 millones | 63 % | 674 |
| $ 250-$ 500 millones | 67 % | 430 |
| $ 500 millones a $ 1 billón | 67 % | 633 |
| $1 billón a $ 5 billones | 69 % | 447 |
| Más de $ 5 billones | 72 % | 469 |
A medida que aumenta la rentabilidad de una organización, parece aumentar su susceptibilidad a los ataques de ransomware. Sin embargo, el tamaño de la organización, medido por el número de empleados, no parece tener una relación directa con la probabilidad de sufrir un ataque.
Causas principales por las que se sufre un ataque
Los encuestados informaron que la explotación de una vulnerabilidad fue la causa principal más común de los ataques de ransomware (36%), seguida por las credenciales comprometidas (29%). Estos hallazgos coinciden casi exactamente con el último análisis retrospectivo de Sophos de 152 ataques, en los cuales el 37% comenzó con una vulnerabilidad explotada y el 30% con credenciales comprometidas.
Los correos electrónicos fueron la causa raíz del 30% de los ataques: el 18% comenzó con un correo electrónico malicioso y el 13% con phishing. El 3% comenzó con un ataque de fuerza bruta y solo el 1% con una descarga.
Causas Principales de los Ataques de Ransomware en 2023
| Causa | Porcentaje |
|---|---|
| Vulnerabilidad | 36 % |
| Credenciales comprometidas | 29 % |
| Correo electrónico malicioso | 18 % |
| Phishing | 13 % |
| Ataque de fuerza bruta | 3 % |
| Descarga | 1 % |
El sector de medios, ocio y entretenimiento informó el mayor porcentaje de ataques cuya causa principal fue una vulnerabilidad explotada (55%), indicando brechas de seguridad generalizadas en esta área. El gobierno central y federal tuvo el mayor porcentaje de ataques que comenzaron con credenciales comprometidas (41 %).
Las industrias de TI, tecnología y telecomunicaciones informaron las tasas más bajas tanto para las vulnerabilidades explotadas (22 %) como para las credenciales comprometidas (22 %), lo que probablemente refleje altos niveles de defensas cibernéticas en este sector. Sin embargo, informó las tasas más altas de ataques basados en correos electrónicos, con más de la mitad (51 %) comenzando en las bandejas de entrada de los usuarios.
Causas principales de ataques de ransomware por industria en 2023
| Industria | Vulnerabilidad | Credenciales comprometidas | Ataques basados en correo electrónico |
|---|---|---|---|
| Medios, Ocio, y Entretenimiento | 55 % | – | – |
| Gobierno Central y Federal | – | 41 % | – |
| TI, Tecnología, y Telecomunicaciones | 22 % | 22 % | 51 % |
¿En cuántos ataques llegan a cifrar los datos?
Los ciberdelincuentes están logrando cifrar datos de sus víctimas en más de tres cuartas partes (76 %) de los ataques de ransomware. De hecho, los niveles de cifrado están ahora en su punto más alto en los últimos cuatro años. Esto probablemente refleja el nivel de habilidad cada vez mayor de los adversarios que continúan innovando y refinando sus enfoques.
Tasa de cifrado de datos en ataques de ransomware (2020-2023)
| Año | Datos cifrados | Ataque detenido antes del cifrado | Extorsión sin cifrado |
|---|---|---|---|
| 2020 | 65 % | 31 % | 4 % |
| 2021 | 54 % | 21 % | 7 % |
| 2022 | 73 % | 24 % | 3 % |
| 2023 | 76 % | 3 % | 3 % |
Casi todos los sectores tienen dificultades para detener los ataques antes de que los datos puedan ser cifrados: con una sola excepción, en cada sector, más de dos tercios de los ataques resultaron en el cifrado de datos. La mayor frecuencia de cifrado de datos (92 %) fue informada por los servicios profesionales y empresariales.
La industria de TI, tecnología y telecomunicaciones es la que rompe la tendencia, con los cibercriminales logrando cifrar datos en menos de la mitad (47 %) de los ataques. Este es otro indicador del alto nivel de defensas cibernéticas y preparación de respuesta en este sector.
En el 30 % de los ataques en los que se cifraron los datos, también se robaron datos. Este enfoque de “doble inmersión” por parte de los cibercriminales se está volviendo cada vez más común, ya que buscan aumentar su capacidad para monetizar los ataques.
En cuanto a la recuperación de datos, el 97 % de las organizaciones que tuvieron datos cifrados recuperaron los datos. Los respaldos fueron el método más común de recuperación, utilizado en el 70 % de los incidentes. El 46 % pagó el rescate y recuperó los datos, mientras que el 2 % utilizó otros medios.
Métodos de recuperación de datos en 2023
| Método | Porcentaje |
|---|---|
| Uso de respaldos para restaurar datos | 70 % |
| Pago del rescate y recuperación de los datos | 46 % |
| Uso de otros medios para recuperar datos | 2 % |
El uso de respaldos para recuperar datos ha disminuido en el último año, cuando se utilizó para recuperar datos en el 73% de los casos. La tasa de pago de rescate ha permanecido nivelada con respecto al año pasado.
¿Cuánto están pagando por los rescates?
La propensión general a pagar rescates se mantiene nivelada con respecto al estudio del año pasado, sin embargo, los pagos en sí mismos han aumentado considerablemente en el último año, con el promedio de pago de rescate casi duplicándose de 812.380 dólares en 2022 a 1’542.333 dólares en 2023. El pago de rescate mediano reportado en el estudio de este año fue de 400.000 dólares.
“Los costos de los incidentes aumentan significativamente cuando se pagan los rescates. La mayoría de las víctimas no podrán recuperar todos sus archivos simplemente comprando las claves de cifrado; también deben reconstruir y recuperarse de las copias de seguridad. Pagar rescates no solo enriquece a los delincuentes, sino que también ralentiza la respuesta a incidentes y agrega costos a una situación que ya es devastadoramente costosa”, analizó Chester Wisniewski, CTO de campo de Sophos.
El estudio reveló una amplia distribución de pagos, sin embargo, la proporción de organizaciones que pagan rescates más altos ha aumentado con respecto a nuestro estudio de 2022, con un 40 % reportando pagos de un millón de dólares o más en comparación con el 11 % del año pasado. En contraste, solo el 34 % pagó menos de 100.000 dólares, bajando del 54 % del año pasado.
Como era de esperar, las organizaciones con mayores ingresos fueron las más propensas a pagar los rescates más altos.
Pagos de rescates por ingresos
| Ingresos anuales* | Pago promedio de rescate | Pago mediano de rescate |
|---|---|---|
| $ 50-$250 millones | $ 690.996 | $ 145.000 |
| $ 250-$500 millones | $ 1’523.652 | $ 428.000 |
| $ 500 millones a $ 1.000 millones | $ 1’466.240 | $ 425.000 |
| $ 1.000 millones – $ 5.000 millones | $ 2’049.817 | $ 1’000,000 |
| Más de $ 5.000 millones | $ 2’464.339 | $ 3’000,000 |
Otros costos derivados de los ataques
Los costos de recuperación de un ataque de ransomware son más que solo los pagos de rescate. Excluyendo los rescates pagados, las organizaciones informaron un costo promedio estimado de recuperación de los ataques de ransomware de 1,82 millones de dólares, un aumento desde la cifra de 2022 de 1,4 millones de dólares y en línea con los 1,85 millones de dólares reportados en 2021.
Costo promedio de recuperación de un ataque
| Año | Costo promedio de recuperación |
|---|---|
| 2021 | $ 1,85 millones |
| 2022 | $ 1,4 millones |
| 2023 | $ 1,82 millones |
Los costos de recuperación informados comenzaron en 165.520 dólares para organizaciones con ingresos anuales de menos de 10 millones de dólares, aumentando a 4’496,086 de dólares en la cohorte de más de 5.000 millones de dólares. Aunque estos números ocultan una gama de costos de recuperación, hay un patrón claro de costos de recuperación que aumentan con los ingresos.
En cuanto al tiempo de recuperación, aunque está en línea con el informe de 2022, el porcentaje que pudo recuperarse en menos de un día ha caído del 14 % al 8 %.
La investigación reveló que las organizaciones que utilizan respaldos para recuperar sus datos se recuperan del ataque más rápidamente que aquellas que pagan el rescate.
El 45 % de aquellos que usaron respaldos se recuperaron en una semana, en comparación con el 39 % de aquellos que pagaron el rescate. Casi un tercio (32 %) de aquellos que pagaron el rescate tardaron más de un mes en recuperarse, mientras que la cifra para aquellos que usaron respaldos es del 23 %. Aunque estas dos opciones de respuesta no eran mutuamente excluyentes y algunos encuestados habrán pagado el rescate y usado respaldos, las ventajas de recuperación de los respaldos son claras.
Ransomware aumenta en Colombia
El informe de Sophos se complementa con el Informe de Amenazas Cibernéticas 2023 de SonicWall, publicado a comienzos de 2023.
Lee también: ¿Cuánto le cuesta un ciberataque a una empresa en 2023?
En términos de ransomware, SonicWall informó que los ataques de ransomware disminuyeron un 21 % a nivel mundial en 2022. Sin embargo, aún fue el segundo año con la mayor cantidad de intentos de ransomware registrados, con 493,3 millones de intentos. A pesar de la disminución en los ataques de ransomware, los costos de recuperación siguen siendo altos, lo que demuestra el daño significativo que estos ataques pueden causar.
Por otro lado, se observó un aumento del 2 % en el volumen de malware en 2022, con los ataques de malware del Internet de las Cosas (IoT) y el cryptojacking mostrando aumentos significativos de 87 % y 43 %, respectivamente. Los sectores de educación, finanzas y comercio minorista fueron los más afectados por el malware.
En particular, el informe destacó a Colombia como uno de los diez países más atacados por ransomware. El país ocupa el sexto lugar en el estudio. Otros países de América Latina, como Brasil, también se encuentran entre los más atacados, como se observa en el siguiente gráfico:
“Las organizaciones de hoy se enfrentan a un panorama de amenazas en constante evolución en el que los actores de amenazas están encontrando nuevas y creativas formas de atacar a las empresas”, dijo Alvaro Giraldo, gerente regional de Ventas países andinos y Cono Sur de SonicWall.
Por último, SonicWall descubrió 465.501 variantes de malware nunca antes vistas en 2022, lo que muestra el ritmo rápido de evolución de las ciberamenazas. Este número, junto con el hecho de que los intentos de intrusión contra la vulnerabilidad de Log4j superaron el billón en 2022, subraya la necesidad de una fuerte defensa cibernética y de una continua conciencia de la seguridad.
