Estudio sobre ciberseguridad descubre que empresas aun pagando rescate por ransomware sólo logran recuperar el 69 % de los datos encriptados.
Las empresas están perdiendo la batalla de ciberseguridad cuando se trata de defenderse contra los ataques de ransomware, según el Informe de Tendencias de Ransomware 2022 de Veeam®, muestra que el 72% de las organizaciones sufrieron ataques parciales o totales en sus repositorios de backups, lo que afecta drásticamente la capacidad de recuperar datos sin pagar el rescate.
El estudio también habla que 80% de los ataques exitosos tenían como objetivo vulnerabilidades conocidas, lo que refuerza la importancia de aplicar parches y actualizar el software. Casi todos los atacantes intentaron destruir los repositorios de copias de seguridad para desactivar la capacidad de recuperación de la víctima sin pagar el rescate.
El informe revela los resultados de una firma de investigación independiente que encuestó a 1,000 líderes de TI cuyas organizaciones habían sido atacadas con éxito por ransomware al menos una vez durante los últimos 12 meses, lo que lo convierte en uno de los estudios más grandes de su tipo.
La primera parte de la investigación examina los aprendizajes clave de estos incidentes, su impacto en los entornos de TI y los pasos tomados para implementar estrategias de Protección de Datos Moderna para garantizar la continuidad del negocio en el futuro.
Para realizar la evaluación se encuestó específicamente a cuatro perfiles de TI (CISOs, profesionales de Seguridad, administradores de respaldo y personal de Operaciones de TI) para comprender la alineación de la preparación cibernética en todas las organizaciones.
“El ransomware ha democratizado el robo de datos y requiere una duplicación colaborativa de las organizaciones de todas las industrias para maximizar su capacidad de remediar y recuperar sin pagar el rescate”, dijo Danny Allan, CTO de Veeam.
“Pagar a los ciberdelincuentes para restaurar datos no es una estrategia de protección de información. No hay garantía de que estos se recuperen, los riesgos de daños a la reputación y pérdida de confianza del cliente son altos y, lo que es más importante, esto alimenta una profecía auto cumplida que recompensa la actividad delictiva.” Danny Allan
Pagar el rescate no es una estrategia de recuperación
De las organizaciones encuestadas, la mayoría (76%) de las cibervíctimas pagó el rescate para finalizar un ataque y recuperar sus datos. Desafortunadamente, mientras que el 52% pagó el rescate y pudo recuperar los datos, el 24% liquidó el rescate, pero no pudo recuperarlos, lo que da como resultado una probabilidad de 1 en 3 de que, incluso pagando el rescate, no haya datos. Cabe destacar que el 19% de las organizaciones no pagaron el rescate porque pudieron recuperar sus datos. A eso debe aspirar el 81% restante de los afectados: recuperar datos sin pagar el rescate.
“Uno de los sellos distintivos de una estrategia sólida de Protección de Datos Moderna es el compromiso con una política clara de que la organización nunca pagará el rescate, sino que hará todo lo que esté a su alcance para prevenir, remediar y recuperarse de los ataques”, agregó Allan.
“A pesar de la amenaza omnipresente e inevitable del ransomware, la narrativa de que las empresas están indefensas frente a este no es precisa. Es necesario educar a los empleados y asegurarse de que practiquen una higiene digital impecable; realizar regularmente pruebas rigurosas de sus soluciones y protocolos de protección de datos, y crear planes detallados de continuidad del negocio que preparen a las partes interesadas clave para los peores escenarios”. Danny Allan
La prevención requiere diligencia tanto de TI como de los usuarios
La “superficie de ataque” para los delincuentes es diversa. En la mayoría de los casos, los villanos cibernéticos obtienen acceso por primera vez a los entornos de producción a través de usuarios errantes que hicieron clic en enlaces maliciosos, visitaron sitios web no seguros o se involucraron con correos electrónicos de phishing, lo que nuevamente expone la naturaleza evitable de muchos incidentes.
Después de haber obtenido acceso con éxito al entorno, hay muy poca diferencia en las tasas de infección entre los servidores del centro de datos, las plataformas de oficinas remotas y los servidores alojados en la nube.
En la mayoría de los casos, los intrusos aprovechan las vulnerabilidades conocidas, incluidos los sistemas operativos e hipervisores comunes, así como las plataformas NAS y los servidores de bases de datos, explotando cualquier software obsoleto o sin parches que pudieran encontrar. Cabe destacar que los profesionales de seguridad y los administradores de respaldo informaron tasas de infección significativamente más altas, en comparación con los de Operaciones de TI o los CISOs, lo que implica que “aquellos más cercanos al problema ven aún más problemas”.
La remediación comienza con la inmutabilidad
Los que respondieron a la encuesta confirmaron que el 94% de los atacantes intentaron destruir los repositorios de copias de seguridad, y en el 72% de los casos esta estrategia tuvo éxito parcialmente.
La eliminación de la línea de vida de recuperación de una organización es una estrategia de ataque popular, ya que aumenta la probabilidad de que las víctimas no tengan otra opción que pagar el rescate.
La única forma de protegerse contra este escenario es tener al menos un nivel inmutable o con espacio de aire dentro del marco de protección de datos, para lo que el 95% de los encuestados afirmaron que cuentan con uno. De hecho, muchas organizaciones informaron tener algún nivel de inmutabilidad o medios de espacio de aire en más de un nivel de su estrategia de disco, nube y cinta.
Otros hallazgos clave del informe incluyen:
- La orquestación es importante: para garantizar de manera proactiva la capacidad de recuperación de sus sistemas, uno de cada seis (16%) equipos de TI automatizan la validación y la capacidad de recuperación de sus backups para garantizar que sus servidores sean restaurables. Luego, durante la reparación de un ataque de ransomware, el 46% de los encuestados usan un “sandbox” o área de preparación/prueba aislada para asegurarse de que sus datos restaurados estén limpios antes de volver a introducir los sistemas en producción.
- La alineación de la organización debe unificarse: el 81% cree que las estrategias cibernéticas y de continuidad del negocio/recuperación ante desastres de sus organizaciones están alineadas. Sin embargo, el 52% de los encuestados considera que las interacciones entre estos equipos requieren mejoras.
- Diversificar los repositorios es la clave: casi todas las organizaciones (95%) tienen al menos un nivel de protección de datos inmutable o con brechas de aire, el 74% usan repositorios en la nube que ofrecen inmutabilidad; el 67% emplean repositorios de disco locales que no pueden ser alterados o bloqueados, y el 22% utilizan cinta con espacio de aire. Inmutable o no, las organizaciones notaron que, además de los repositorios de discos, el 45% de los datos de producción aún se almacenan en cinta y el 62% se almacena en la nube en algún momento del ciclo de vida de los datos.
Para lograr protegerse contra estas amenazas se requiere conocer lo que estas representas, por lo que es obligación de los responsables de la ciberseguridad estar al tanto de cómo evolucionan este tipo de ataques, además de constantemente estar buscando formas de prevención.