Destacadas Mercado Seguros

Allianz: las empresas deben reforzar los cibercontroles para contrarrestar la pandemia de ransomware

Durante la crisis de Covid-19 se ha producido otro brote en el ciberespacio: una pandemia digital impulsada por el ransomware. Los ataques de malware que cifran los datos y sistemas de las empresas y exigen el pago de un rescate para su liberación están aumentando en todo el mundo. El aumento de la frecuencia y la gravedad de los incidentes de ransomware se debe a varios factores: el creciente número de patrones de ataque diferentes, como las campañas de extorsión «dobles» y «triples»; un modelo de negocio criminal en torno al «ransomware como servicio» y las criptomonedas; el reciente aumento de las peticiones de rescate; y el aumento de los ataques a la cadena de suministro. En un nuevo informe, la aseguradora cibernética Allianz Global Corporate & Specialty (AGCS) analiza los últimos desarrollos de riesgo en torno al ransomware y describe cómo las empresas pueden reforzar sus defensas con buenas prácticas de ciber higiene y seguridad informática.

«El número de ataques de ransomware puede incluso aumentar antes de que la situación mejore», afirma Scott Sayce, Director Global de Ciberseguridad de AGCS. «No todos los ataques son selectivos. Los ciberdelincuentes también adoptan un enfoque de dispersión para explotar aquellas empresas que no están abordando o entendiendo las vulnerabilidades que pueden tener. Como aseguradoras debemos seguir trabajando con nuestros clientes para ayudar a las empresas a entender la necesidad de reforzar sus controles. Al mismo tiempo, en el mercado actual de los ciberseguros, que evoluciona rápidamente, proporcionar servicios de respuesta de emergencia, así como una compensación financiera, es ahora la norma».

La actividad de intrusión cibernética a nivel mundial se disparó un 125% en la primera mitad de 2021 en comparación con el año anterior, según Accenture, siendo el ransomware y las operaciones de extorsión uno de los principales responsables de este aumento. Según el FBI, hubo un aumento del 62% en los incidentes de ransomware en los Estados Unidos en el mismo período que siguió a un aumento del 20% para todo el año 2020. Estas tendencias de riesgos cibernéticos se reflejan en la propia experiencia de siniestros de la AGCS. LA seguradora estuvo involucrada en más de mil siniestros cibernéticos en general en 2020, frente a unos 80 en 2016; el número de siniestros de ransomware (90) aumentó un 50% en comparación con 2019 (60). En general, las pérdidas resultantes de incidentes cibernéticos externos, como el ransomware o los ataques de denegación de servicio distribuidos (DDoS), representan la mayor parte del valor de todas las reclamaciones cibernéticas analizadas por AGCS en los últimos seis años.

La creciente dependencia de la digitalización, el aumento del trabajo a distancia durante Covid-19 y las limitaciones presupuestarias en materia de TI son algunas de las razones por las que se han intensificado las vulnerabilidades informáticas, que ofrecen innumerables puntos de acceso para que los delincuentes las exploten. La mayor adopción de criptomonedas, como el Bitcoin, que permiten realizar pagos anónimos, es otro factor clave en el aumento de los incidentes de ransomware.

Cinco áreas de enfoque

En el informe, la AGCS identifica cinco tendencias en el ámbito del ransomware, aunque éstas están en constante evolución y pueden cambiar rápidamente en la carrera del «gato y el ratón» entre los ciberdelincuentes y las empresas:

El desarrollo del «ransomware como servicio» ha facilitado a los delincuentes la realización de ataques. Dirigidos como un negocio comercial, grupos de hackers como REvil y Darkside venden o alquilan sus herramientas de hacking a otros. También ofrecen una serie de servicios de apoyo. Como resultado, hay muchos más actores de amenazas maliciosas operando.

De la simple a la doble y a la triple extorsión… Las tácticas de «doble extorsión» van en aumento. Los delincuentes combinan el cifrado inicial de los datos o sistemas, o incluso, cada vez más, de sus copias de seguridad, con una forma secundaria de extorsión, como la amenaza de divulgar datos sensibles o personales. En este caso, las empresas afectadas tienen que gestionar la posibilidad de que se produzca tanto una interrupción importante de la actividad como una violación de los datos, lo que puede aumentar considerablemente el coste final del incidente. Los incidentes de «triple extorsión» pueden combinar ataques DDoS, encriptación de archivos y robo de datos, y no sólo se dirigen a una empresa, sino también a sus clientes y socios comerciales. Un caso notable fue el de una clínica de psicoterapia en Finlandia: se pidió un rescate al hospital. Al mismo tiempo, también se pidieron sumas más pequeñas a los pacientes a cambio de no revelar su información personal.

Ataques a la cadena de suministro: Hay dos tipos principales: los que se dirigen a los proveedores de software/servicios informáticos y los utilizan para propagar el malware (por ejemplo, los ataques a Kaseya o Solarwinds). O los que tienen como objetivo las cadenas de suministro físicas o las infraestructuras críticas, como el que afectó a Colonial Pipeline. Es probable que los proveedores de servicios se conviertan en objetivos principales, ya que a menudo suministran soluciones de software a cientos o miles de empresas y, por tanto, ofrecen a los delincuentes la posibilidad de obtener un mayor beneficio.

Dinámica de los rescates: Las peticiones de rescate se han disparado en los últimos 18 meses. Según Palo Alto Networks, la demanda media de extorsión en Estados Unidos fue de 5,3 millones de dólares en el primer semestre de 2021, un aumento del 518% respecto a la media de 2020; la demanda más alta fue de 50 millones de dólares, frente a los 30 millones del año anterior. La cantidad media pagada a los hackers es unas 10 veces inferior a la demanda media, pero esta tendencia general al alza es alarmante.

Pagar o no pagar: El pago de rescates es un tema controvertido. Las fuerzas del orden suelen desaconsejar el pago de las demandas de extorsión para no incentivar aún más los ataques. Incluso cuando una empresa decide pagar un rescate, el daño puede estar ya hecho. Restaurar los sistemas y permitir la recuperación de la empresa es una tarea enorme, incluso cuando una empresa tiene la clave de descifrado.

La interrupción de la actividad y los costes de recuperación son los principales impulsores de las pérdidas

Los costes de interrupción y restauración de la actividad empresarial son los principales impulsores de las ciberpérdidas, como los ataques de ransomware, según el análisis de siniestros de AGCS. Representan más del 50% del valor de los cerca de 3.000 siniestros cibernéticos del sector asegurador por valor de unos 750 millones de euros (885 millones de dólares) en los que ha participado en seis años.

El coste total medio de la recuperación y el tiempo de inactividad -una media de 23 días- de un ataque de ransomware se duplicó con creces en el último año, pasando de 761.106 dólares a 1,85 millones de dólares en 2021.

El aumento de los ataques de ransomware en los últimos años ha provocado un cambio importante en el mercado de los ciberseguros. Las tarifas de los ciberseguros han aumentado, según el corredor Marsh, mientras que la capacidad se ha reducido. Los suscriptores están poniendo cada vez más atención en los controles de ciberseguridad empleados por las empresas.

«Tres de cada cuatro empresas no cumplen los requisitos de AGCS en materia de ciberseguridad», explica Marek Stanislawski, Líder Global de Ciber Suscripción de AGCS. «Las empresas necesitan invertir en ciberseguridad. Las pérdidas pueden evitarse si las organizaciones siguen las mejores prácticas. Una casa con la puerta abierta tiene muchas más posibilidades de ser robada que una casa cerrada.”

Lista de comprobación con las mejores prácticas de seguridad informática

La AGCS ha publicado una lista de comprobación con recomendaciones para una gestión eficaz del ciberriesgo. «En alrededor del 80% de los incidentes de ransomware las pérdidas podrían haberse evitado si las organizaciones hubieran seguido las mejores prácticas. La aplicación regular de parches, la autenticación multifactorial, así como la formación en seguridad de la información y la concienciación y la planificación de la respuesta a incidentes son esenciales para evitar los ataques de ransomware y también constituyen una buena ciber higiene», afirma Rishi Baviskar, Líder Global de Ciber Expertos de AGCS Risk Consulting. «Si las empresas se adhieren a las recomendaciones de buenas prácticas, hay muchas posibilidades de que no se conviertan en víctimas del ransomware. Se pueden cerrar numerosas brechas de seguridad, a menudo con medidas sencillas.”

En caso de ataque, la cobertura del seguro cibernético ha evolucionado para ofrecer servicios de respuesta a incidentes de emergencia que suelen incluir el acceso a un gestor de crisis profesional, apoyo forense en materia de TI y asesoramiento jurídico. Otras ofertas incluyen la formación en seguridad informática para los empleados y la asistencia en el desarrollo de un plan de gestión de crisis cibernética.