Informe sobre el riesgo de ransomware: Adoptar la mentalidad de asumir la violación

El 78% de las víctimas pagó el rescate.

Un estudio global de 900 profesionales de TI y seguridad revela que el 74% de las organizaciones atacadas por ransomware fueron atacadas varias veces, y el 78% de las organizaciones víctimas pagaron el rescate, lo que apunta a un ciclo de infracciones que causan daños crecientes en pérdidas de ingresos, costes operativos y, en algunos casos, salud y seguridad humanas.

Obtener el informe

Debemos asumir un estado de amenaza siempre presente. No se trata sólo de los casos notorios de los que oímos hablar cada trimestre más o menos. Esto ocurre todos los días, todos los días, a una serie de empresas.
Chris Inglis Asesor Estratégico de Semperis y primer Director Nacional Cibernético de EE.UU., ex Director Adjunto de la NSA

Frecuencia, gravedad y consecuencias alarmantes de los ataques

El ransomware, antes una amenaza esporádica, se ha convertido en un adversario implacable. Los grupos criminales orquestan múltiples ataques en rápida sucesión, aprovechando las vulnerabilidades de las organizaciones. Los sistemas críticos, incluido Microsoft Active Directory, son uno de los principales objetivos de los ataques.

El Informe sobre el riesgo del ransomware en 2024 revela estadísticas preocupantes para los líderes empresariales, de TI y de seguridad.

Obtener el informe

83%

de las organizaciones encuestadas fueron víctimas de un ataque de ransomware en los últimos 12 meses.

74%

de las víctimas del ransomware fueron atacadas varias veces

78%

de las víctimas pagaron el rescate (el 32% pagó 4 veces o más)

35%

de las víctimas que pagaron el rescate no recibieron las claves de descifrado o no pudieron recuperar sus archivos y activos.

Cuando se producen varios ataques, tienden a suceder en rápida sucesión. Estos datos sugieren que varias bandas de delincuentes están aprovechando las vulnerabilidades de las organizaciones para detonar un segundo o tercer ataque malicioso, en algunos casos, simultáneamente.
Simon Hodgkinson Asesor estratégico de Semperis y antiguo CISO de BP

Afrontar el ransomware

Las empresas están sufriendo ataques de ransomware con éxito varias veces en el mismo año, lo que provoca cierres, despidos, pérdida de ingresos y de confianza de los clientes y cancelación de los seguros cibernéticos.

74%

de las empresas fueron atacadas por ransomware no una, sino varias veces: el 54% el mismo día, y la mayoría en el plazo de una semana.

78%

de las organizaciones objetivo pagaron el rescate: el 72% pagó varias veces y el 32% pagó 4 veces o más.

Mickey Bresman, Director General de Semperis

El coste de lo que pague a un grupo de ransomware no es el final de los daños. Y algunos ataques no están motivados por el dinero, sino por causar caos y trastornos.
Mickey Bresman Director General de Semperis

Los ataques provocan pérdidas de datos e interrupciones de la actividad empresarial, incluso para las víctimas que disponen de copias de seguridad generales

Los ataques de ransomware causan trastornos generalizados y generalizados, incluso en las organizaciones que disponen de copias de seguridad generales. Los atacantes están penetrando en los sistemas a través de sistemas operativos integrados, tecnología obsoleta que no ha recibido actualizaciones de seguridad periódicas y puertas traseras olvidadas hace tiempo.

En general, la complejidad está aumentando, y sólo se puede hacer una cierta cantidad de cosas en un día. La computación en nube no ha aligerado la carga ni reducido la complejidad operativa. Hay que asumir que se están produciendo actividades maliciosas en la red, y es necesario tener la capacidad de encontrarlas y deshacerlas.
Guido Grillenmeier Tecnólogo principal de Semperis (EMEA)

¿Pueden las empresas decir "no" al ransomware?

Aunque el 70% de los encuestados disponía de un plan de recuperación de identidades, sólo el 27% contaba con sistemas de copia de seguridad específicos para AD. El 61% de las víctimas del ransomware necesitaron más de un día para recuperar una funcionalidad informática mínima, lo que prolongó las interrupciones de la actividad empresarial.

72%

de las víctimas pagaron el rescate varias veces

32%

pagó el rescate 4 veces o más

¿Por qué pagaron las empresas el rescate?

Muchos encuestados señalaron el deseo de volver a la normalidad lo antes posible como motivo para pagar el rescate. Otros, especialmente los del sector de TI/telecomunicaciones, pagaron porque tenían un seguro cibernético para sufragar los costes. Otros consideraron que la amenaza para pacientes, clientes, su negocio o su reputación valía el precio del rescate. Por desgracia, el pago del rescate no garantiza la recepción de claves de descifrado utilizables. Además, los atacantes suelen utilizar el ransomware para distribuir malware que puede reinfectar los sistemas o causar otros daños.

Amenaza para la empresa, los clientes o la reputación

Acceso al ciberseguro

Restablecimiento rápido de las operaciones comerciales

La debilidad sistémica hace de AD un objetivo fácil

Cuestión de vida o muerte

El verdadero coste del ransomware

En cualquier organización compleja, las decisiones sobre presupuesto, personal y recursos de seguridad son un acto de equilibrio. Sin embargo, en el caso del ransomware, la dirección ejecutiva podría estar tomando esas decisiones sin una comprensión completa de los costes potenciales tras un ataque. El pago del rescate no garantiza la recepción de claves de descifrado utilizables. Además, los atacantes suelen utilizar el ransomware para distribuir malware que puede reinfectar los sistemas o causar otros daños. Un ataque con éxito suele costar mucho más que el pago de un rescate.

Los ataques de ransomware causan daños colaterales mucho más allá del pago del rescate

El pago del rescate en sí es sólo el principio de los costes derivados de un ataque de ransomware.

"El coste del pago del rescate no es la suma total del daño real", afirma Mickey Bresman, CEO de Semperis. "Ciertos ataques no están motivados por el dinero, sino que su objetivo es causar caos y trastornos. Además, el dinero que se paga se utiliza para otras actividades delictivas, como el tráfico de seres humanos, drogas y armas".

Chris Inglis señala que un ataque de ransomware no es un suceso puntual o limitado que se pueda abordar rápidamente y dejar atrás.

"Se trata de un suceso que cambia la vida y que tiene efectos duraderos y persistentes. Pérdida de confianza de los clientes, pérdida del ciberseguro, persecución normativa... ese escrutinio nunca desaparece".

Perturbación del negocio

Cierres temporales o permanentes

Daños de marca

Pérdida de ingresos o de clientes

Multas, demandas y cancelación del ciberseguro

Más del 80% de las violaciones implican el uso indebido de credenciales

Despidos y dimisiones

Pocas empresas se dedican a la protección de la identidad

El sistema de identidad, en particular Active Directory, es ahora el perímetro de seguridad de las organizaciones empresariales. La digitalización de la empresa moderna ha eliminado la idea de un perímetro defendible, creando un panorama complejo para los profesionales de la seguridad y una amplia superficie de ataque para los ciberdelincuentes. Sin copias de seguridad específicas de AD y libres de malware, y sin un plan de recuperación probado y específico para ciberdelincuentes, la recuperación se prolongará, aumentando las posibilidades de que la organización decida pagar un rescate para restablecer las operaciones de negocio.

En el centro de toda esta discusión está la viabilidad empresarial: la capacidad de la empresa para alcanzar sus aspiraciones y sus compromisos en nombre de sus accionistas y clientes. Los atacantes intentan poner esto en peligro para poder convencerte de que los compres. Si logran un ataque exitoso a la identidad, entonces son dueños del privilegio, y entonces pueden usar ese privilegio en su beneficio.
Chris Inglis Asesor estratégico de Semperis y primer Director Nacional Cibernético de EE.UU.

Todo está relacionado con el núcleo del acceso. Una vez que un atacante consigue el acceso de nivel 0, tienes un tiempo limitado para proteger el resto de la infraestructura.
Jeff Wichman Director Principal de Respuesta a Incidentes

Cada minuto de inactividad del sistema de identidad es extremadamente doloroso. Charlé con un cliente que probó el plan de recuperación de Active Directory (AD) con los sistemas que tenían instalados. Llegaron a la conclusión de que la mitigación de un ataque les llevaría siete días. Eso no es aceptable, porque significa que todo lo demás en la organización también estará fuera de servicio durante siete días.
Mickey Bresman Director General de Semperis

No me sorprende que la mayoría del ransomware tenga como objetivo el sistema de identidad. Si un atacante quiere crear el máximo impacto para extorsionar dinero, quiere tomar el control de su entorno, y sin duda querrá poseer Active Directory. Una vez que Active Directory se ve comprometido, los actores de la amenaza tienen las llaves de su reino.
Simon Hodgkinson Asesor estratégico de Semperis y antiguo CISO de BP

¿Por qué las organizaciones no dan prioridad a la defensa contra el ransomware?

Las organizaciones se enfrentan a múltiples retos a la hora de poner en marcha una estrategia de defensa contra el ransomware. La mayoría de los encuestados informaron de que su mayor obstáculo para la resiliencia era la falta de apoyo del consejo de administración.

Chris Inglis señala que una ciberseguridad eficaz requiere un enfoque triple que incluya doctrina corporativa, desarrollo de habilidades y tecnología. Primer paso: Explicar el valor de la seguridad basada en la identidad en términos empresariales

"La tecnología puede ayudarnos a analizar y evaluar lo que está ocurriendo, momento a momento", afirma Inglis. "Puede ayudarnos a responder y recuperarnos más rápidamente. Pero lo que más falta hace ahora es una toma de conciencia colectiva de que todos tenemos un papel que desempeñar. Esto empieza por el consejo de administración, no por el departamento de informática. El consejo es responsable; la SEC lo ha dejado claro. La normativa lo deja cada vez más claro: la ciberseguridad es una cuestión empresarial".

Falta de apoyo del consejo

Limitaciones presupuestarias

Sistemas obsoletos o heredados

Escasez de personal

Normativa sobre ciberseguridad

La gente tiende a dedicar sus recursos y esfuerzos a la protección de los puntos finales. Pero los actores de amenazas traspasan el endpoint. Y una vez dentro de la red, atraviesan todo el sistema de identidad. ¿Qué defensa tienes cuando eso ocurre? Porque una vez que poseen tu sistema de identidad, tienen todo el poder. Si tu sistema de identidad se cae, ninguna de tus otras soluciones funcionará.
Sean Deuby Tecnólogo principal de Semperis (Norteamérica)

Más recursos

Obtenga más información sobre cómo prevenir, detectar y responder a los ataques basados en la identidad.

Conozca Silver SAML: SAML dorado en la nube

Blog

Defensa contra ataques de inyección LDAP: Seguridad AD 101

Blog

Semperis DSP: Mejore la protección de AD y Entra ID frente a las ciberamenazas

Blog

Ataques a Active Directory: 5 métodos comunes de ataque a AD

Blog

Ver todos

Disfrute de una demostración personalizada

Solicite una demostración y uno de nuestros expertos en productos le dará una idea de nuestras soluciones.

Solicitar una demostración Visitar la plataforma

Nuevo informe TEI de Forrester: Semperis reduce el tiempo de inactividad en un 90% y ahorra millones a sus clientes

Semperis amplía la detección de ataques basada en ML con un enfoque especializado en el riesgo de identidad

Semperis gana tres años consecutivos el prestigioso premio CRN's Prestigious Partner Program Guide

Un estudio de Semperis sobre ransomware revela que el 86% de las víctimas de ransomware fueron atacadas en fin de semana o festivo

Semperis aparece en la lista anual de las mejores empresas para trabajar de Inc. Magazine por tercer año consecutivo.