Ransomware: ¿pagar significa recuperar los datos?
Ésta es, sin duda, una de las preguntas clave que se hacen las víctimas del ransomware. Desde usuarios particulares que ven como el contenido de sus ordenadores o smartphones ha sido cifrado por el malware, hasta responsables de empresas y organizaciones que han sido víctimas de cualquiera de los múltiples grupos cibercriminales especializados en esta técnica, todos recurren en primer lugar a comprobar si tienen copias de seguridad de los archivos cifrados, como vía de recuperación rápida frente al incidente.
El problema es que, como ya hemos mencionado en otras ocasiones, la cultura de la copia de seguridad no está tan instaurada como debería y, en consecuencia, es relativamente común que no sea posible recuperar toda la información cifrada por el ransomware. Y ésta, junto con la potencial filtración de la información previamente exfiltrada, son las principales razones por las que algunas víctimas deciden pagar el rescate.
El último ejemplo lo encontramos en Quanta, que como ya te contamos la semana pasada fue víctima del grupo REvil, y que parece haber llegado a un acuerdo de pago, pues la publicación sobre el ataque ha sido retirada del blog del grupo cibercriminal, una acción que solo se lleva a cabo, por norma general, cuando se ha cedido a las presiones y se ha pagado el rescate. Cuando, por contra, las víctimas deciden no pagar, nos encontramos con la difusión de los activos exfiltrados, como ha ocurrido con Phone House.
Es cierto que, al menos en la mayoría de los casos, el pago del rescate suele llevar asociado el evitar la difusión, pública o privada, de los activos exfiltrados, pero no está tan claro que sirva para poder recuperar toda la información cifrada, a tenor de una publicación que podemos encontrar en el blog de la compañía de seguridad Sophos, y que afirma que solo el 8% de las empresas que pagaron un rescate recuperaron todos sus datos.
Tras realizar una encuesta a 5.40o responsables de toma de decisiones de IT en organizaciones medianas en 30 países de Europa, América, Asia-Pacífico y Asia Central, Medio Oriente y África, los datos afirman que hasta el 29% de las empresas que fueron víctimas del ransomware solo pudieron recuperar la mitad, o menos, de los archivos cifrados.
Más desafortunados fueron el 4% que, pese a pagar, no pudieron recuperar nada, y el gran total nos dice que el 92% de las víctimas perdió parte de sus datos, y más del 50% de ellas se quedó sin al menos un tercio de sus activos digitales. Por ponerlo en negro sobre blanco: pagar no garantiza la recuperación de todos los activos cifrados, solo un 8% de las víctimas encuestadas (menos de uno de cada diez) pudieron recuperarse, a este respecto, del ransomware.
Los grupos cibercriminales son conscientes de ello y de que esta realidad no le es ajena a las organizaciones. Además, el boom del ransomware ha tenido, como consecuencia positiva, una mejora en general en lo referido al uso de sistemas de copia de seguridad. Esto es lo que explica que, de un tiempo a esta parte, el ransomware vaya asociado a la exfiltración de datos, pues las empresas lo tienen mucho más difícil para responder ante este tipo de acciones. Los riesgos del ransomware sin más pueden mitigarse con backups, las exfiltraciones no.
Esto también nos explica una situación aparentemente paradójica, pero que si nos paramos a pensarlo tiene mucho sentido. Y es que según Sophos, el volumen de ataques de ransomware no ha dejado de disminuir los últimos años y, sin embargo, hablamos de ésta como una de las amenazas más vigentes y pujantes de la actualidad. ¿A qué se debe esto? A que lo que ha cambiado es el modo en el que se difunde.
Con ese patrón, las empresas de ciberseguridad lo tenían bastante fácil para obtener muestras del malware, que empleaban para crear herramientas para combatirlo, al igual que con el resto de patógenos de otras familias. En aquel momento, el ransomware era solo otro «bicho» más, que se combatía de igual modo. Pero esto ha cambiado con el paso de los años.
Ahora, los grandes grupos dedicados al ransomware no realizan campañas masivas, no buscan la difusión global de su malware. En lugar de ello, planifican campañas personalizadas para sectores concretos, o incluso para empresas determinadas, y recurren al phishing y al spearphishing para acceder a la infraestructura IT de sus víctimas. Una vez dentro se inicia la difusión del malware, posteriormente la exfiltración de los datos y, solo finalmente, el cifrado de los mismos, que es el primer momento en el que muchos averiguan que están siendo víctimas del ransomware.
La razón de este cambio se explica rápidamente con los números: si en 2013 una víctima de ransomware se enfrentaba a un rescate de unos 300 dólares, el coste total promedio de recuperarse de un ataque de ransomware se sitúa en 1,85 millones de dólares en 2021. El año pasado el importe medio era de 761.106 dólares. Y en cuanto al importe promedio pagado por rescate es de 170.404 dólares. Un modelo, sin duda, mucho más lucrativo que el de los 300 dólares por víctima.
Debemos, además, sumar a esto que pagar el rescate tras un ataque de ransomware no soluciona el problema. Como ya te contamos hace unos meses, el pago puede evitar la publicación de información exfiltrada y, si tienes mucha suerte, la recuperación de una buena parte de la información cifrada (no toda, como ya has podido leer aquí). Así pues, ¿qué medidas hay que adoptar frente al ransomware? Invertir en seguridad y en sistemas de copia de seguridad.
