Estudio sobre el costo global del ransomware: lo que nos dicen las cifras

Toda su organización se detiene. Archivos cifrados, operaciones congeladas y clientes afectados. La demanda de rescate es solo el comienzo. Bienvenido al caos demasiado real de un ataque de ransomware.

El ransomware no es algo que pueda suceder. Es la realidad, y las compañías se ven afectadas todos los días.

El nuevo estudio sobre el costo global del ransomware de Illumio descubre el verdadero número de víctimas de estos ataques. Hablamos con Trevor Dearing, director de soluciones de infraestructura crítica de Illumio, para analizar las ideas del reporte y comprender el camino correcto a seguir.

P: El reporte destaca un fuerte aumento en el cierre de organizaciones debido al ransomware, del 45% en 2021 al 58% en la actualidad. ¿Qué nos dice esto sobre la evolución del ransomware?

Ese salto del 45% al 58% es una de las estadísticas más poderosas del reporte. Muestra un cambio en las tácticas de los atacantes. Ya no solo roban datos, sino que usan ransomware para crear interrupciones.

Piense en lo que sucede cuando un hospital, una red de energía o una planta de fabricación cierra. Mire el reciente ataque a Synnovis que detuvo 1.130 operaciones planeadas y 2.190 citas ambulatorias en hospitales de Londres. O incluso los ataques a la TI de Südwestfalen de Alemania que paralizaron 70 municipios y afectaron a 1,6 millones de ciudadanos. El impacto del ransomware va mucho más allá de TI. Amenaza la resiliencia operativa e incluso la seguridad pública.

Este enfoque en la disrupción hace que el ransomware sea más peligroso que nunca. Los atacantes saben que pueden extorsionar rescates mucho mayores deteniendo las operaciones en lugar de robar registros.

Las Perspectivas de Ciberseguridad Global del Foro Económico Mundial de 2024 y 2025 destacan este cambio. De hecho, el 45% de los líderes cibernéticos encuestados en el reporte de este año dijeron que están preocupados por la interrupción de las operaciones y los procesos comerciales debido al ransomware. Este es un cambio con respecto a años anteriores, cuando el robo de datos era la mayor preocupación.

Y, honestamente, muchas organizaciones no están preparadas para esto. Todavía están preocupados por prevenir y detectar infracciones. En realidad, deberían centrar en estrategias de contención de brechas que los mantengan resistentes contra ataques inevitables.

P: Las organizaciones dedican casi un tercio de sus cotizaciones de TI a la defensa contra el ransomware y, sin embargo, el 88% todavía informa ser víctimas. ¿Dónde está la desconexión?

No se trata de cuánto gastan las organizaciones. Se trata de cómo lo están gastando.

Las cotizaciones aumentan año tras año, pero la inversión a menudo está fuera de lugar. Demasiadas organizaciones todavía se centran en prevenir las infracciones. Pero la verdad es que no puedes detenerlo todo. Los atacantes encontrarán una forma de entrar.

En este momento, hay mucho exceso de confianza y complacencia. Las organizaciones creen que están preparadas, pero los números cuentan una historia diferente.

Lo que se necesita es un cambio de mentalidad. En lugar de invertir recursos en detener todos los ataques posibles, las organizaciones deben priorizar la resiliencia, limitando el impacto de un ataque una vez que ocurre. Esto significa invertir en cosas como la contención de brechas y la higiene básica de la seguridad.

Otro problema es la complejidad. Cuanto más complejo sea su entorno de seguridad, más difícil será responder de manera efectiva. Simplificar sus herramientas y centrar en reducir la superficie de ataque puede marcar una gran diferencia.

P: El reporte afirma que los ataques de ransomware tardan un promedio de 132 horas y 17,5 personas en contener y remediar. ¿Por qué la recuperación requiere tantos recursos?

La recuperación de ransomware es una carga masiva. No se trata solo del costo financiero inmediato, aunque eso es significativo, se trata del costo de tiempo y oportunidad. Estás alejando a las personas clave de sus responsabilidades diarias para lidiar con las consecuencias.

Esencialmente, es como asignar varios empleados a tiempo completo durante un año a la remediación.

Una gran parte del problema es que muchas organizaciones aún no cuentan con estrategias de contención efectivas. Cuando un ataque se propaga a través de los sistemas, se necesita exponencialmente más tiempo y recursos para recuperar.

El tiempo, el costo y los recursos invertidos en ataques de ransomware no comenzarán a disminuir hasta que las organizaciones cuenten con herramientas que contengan las infracciones.

P: Los entornos híbridos y de nube se citan como particularmente vulnerables. ¿Por qué?

Los entornos de nube son intrínsecamente complejos, y esa complejidad crea vulnerabilidades.

Las organizaciones a menudo luchan con la visibilidad. No saben lo que está en riesgo. Los sistemas heredados en configuraciones híbridas agravan el problema. Muchos de estos sistemas no se pueden parchear, ya sea por limitaciones operativas o porque simplemente son demasiado antiguos.

Otro problema es el escepticismo en torno a las actualizaciones automáticas. Los incidentes de TI como los de julio de 2024 hicieron que las organizaciones desconfíen de la aplicación de parches, incluso cuando es necesaria. Pero dejar los sistemas sin parches es como dejar la puerta de entrada abierta de par en par para los atacantes.

La clave es equilibrar la gestión de parches con la reducción del riesgo. Si no puede aplicar parches de inmediato, debe controlar el acceso a esos sistemas hasta que pueda.

La microsegmentación es fundamental aquí. Le permite aislar vulnerabilidades mientras mantiene las operaciones.

P: ¿Por qué las copias de seguridad por sí solas no son una defensa suficiente contra el ransomware?

Las copias de seguridad son esenciales, pero no son una bala de plata. Uno de los mayores riesgos es el exceso de confianza. Las organizaciones asumen que mientras tengan copias de seguridad, están seguras. Pero la realidad es mucho más complicada.

Si los atacantes ya se infiltraron en su red, podría terminar haciendo una copia de seguridad del malware sin dar. Incluso cuando las copias de seguridad funcionan según lo previsto, restaurar los sistemas lleva tiempo, tiempo que es posible que no tenga durante un ataque de ransomware.

Y no olvidemos el riesgo de que algo salga mal en el proceso de copia de seguridad. Es una solución frágil que no puede ser su única línea de defensa.

El objetivo debe ser combinar las copias de seguridad con la contención. Si puede reducir la cantidad de sistemas afectados por un ataque, tendrá menos sistemas para restaurar, lo que hará que el proceso de recuperación sea más rápido y menos costoso.

P: ¿Cuáles son los pasos más inmediatos que deben tomar las organizaciones para mejorar su resiliencia al ransomware?

La resiliencia comienza con la adopción de una estrategia de confianza cero. Asume la brecha y concéntrate en limitar el impacto.

La microsegmentación es una herramienta fundamental para Zero Trust. Le permite aislar las amenazas rápidamente, lo que a su vez reduce el tiempo de inactividad y los costos de recuperación.

La contención es clave. Cuanto más rápido puedas aislar un ataque, más rápido podrás recuperarte.

Las organizaciones también necesitan tener los conceptos básicos correctos. Simplifique sus herramientas de seguridad, capacite a sus equipos y cerciorar de contar con un plan estable de respuesta a incidentes.

La resiliencia no se trata solo de prevenir ataques, se trata de estar preparado para recuperar cuando ocurran.

P: ¿Qué nos dice el reporte sobre la seguridad de la cadena de suministro?

El aumento de la confianza en la seguridad de la cadena de suministro realmente me llamó la atención.

Si bien es bueno ver que las organizaciones aumentan sus expectativas de seguridad de terceros, es peligroso confiar demasiado en la seguridad de sus proveedores. No puede controlar lo que sucede en sus entornos o la seriedad con la que se toman la seguridad en su organización.

Pero puedes controlar a qué tienen acceso en el tuyo.

Aquí es donde entra en juego Zero Trust. No se trata de confiar menos en sus proveedores, se trata de confiar en ellos de manera diferente. Limite su acceso, preparar para lo peor y concentrar en proteger su propio entorno.

Veo que los ataques a la cadena de suministro son uno de los mayores riesgos que existen. Depende de las organizaciones asumir la responsabilidad de su propia seguridad.

Contener ransomware con Illumio

El ransomware es implacable, pero no tiene por qué devastar su negocio. Illumio Zero Trust Segmentation (ZTS) está diseñado para contener el ransomware en su núcleo al detener su capacidad de propagar por su red. Incluso si los atacantes violan sus defensas, Illumio garantiza que el daño sea limitado, aislando la amenaza antes de que pueda extender a los sistemas críticos.

Illumio proporciona visibilidad granular de todas sus cargas de trabajo, aplicaciones y entornos. Puede ver exactamente cómo se comunican los sistemas, lo que facilita la identificación de vulnerabilidades y la identificación de actividades inusuales. Esta información le permite crear y aplicar políticas de microsegmentación que bloquean el acceso no autorizado en tiempo real.

Con Illumio, el ransomware no tiene espacio para operar. Al contener el radio de explosión de un ataque, protege los datos confidenciales, mantiene la continuidad operativa y evita interrupciones costosas.

Descargue su copia gratis de El estudio sobre el costo global del ransomware Hoy.