Ciberseguridad
Ransomware
cibercrimen

Ciberdelincuentes roban 10 terabytes de datos mensuales a través de 'ransomware'

Según la Agencia de Ciberseguridad de la Unión Europea (ENISA), los atacantes obtuvieron los datos personales de los empleados de las organizaciones afectadas en más de la mitad de los casos analizados.

ransomware
Créditos: Michael Geiger (Unsplash)

Desde hace años el ransomware ocupa las primeras posiciones en las listas de los ciberataques más comunes, y ya es normal ver que los montos de los rescates y los costes provocados a las empresas por el ataque sólo van en aumento. En este contexto, la Agencia de Ciberseguridad de la Unión Europea (ENISA) publicó un informe en el que se revela que los ciberdelincuentes obtienen 10 terabytes de datos al mes a través de ransomware

Según la entidad, en los más de 600 casos de ransomware analizados en la UE, el Reino Unido y Estados Unidos entre mayo de 2021 y junio de 2022, el 58,2% de los datos robados incluían datos personales de los empleados de las organizaciones afectadas. 

Asimismo, se revela que en el 94,2% de los casos no se sabe si la empresa pagó o no el rescate, sin embargo, se evidenció que en el 37,88% de ellos los atacantes expusieron la información secuestrada, por lo tanto, el informe asume que en más del 60% de los casos las organizaciones afectadas pagaron o encontraron otra solución. No obstante, ENISA piensa que esto es sólo la punta del iceberg y que la cantidad de empresas afectadas por ransomware es mucho mayor, ya que muchas de ellas no hacen público el ataque ni lo comunican a las autoridades competentes. 

 

Diseccionando el ransomware

El análisis de la agencia europea determinó cuatro formas en las que el ataque de ransomware se dirige a los activos de una empresa: bloquear, cifrar, eliminar o robar los datos. Estos activos pueden ser desde documentos, herramientas de archivos y bases de datos, hasta servicios web, sistemas de gestión de contenidos, pantallas, registros maestros de arranque (MBR), tablas de archivos maestros (MFT) y otros. 

En tanto, el ataque de ransomware se puede dividir en cinco etapas, no necesariamente en el mismo orden: acceso inicial, ejecución, acción sobre los objetivos, chantaje y negociación del rescate.

Finalmente, el informe definió cinco modelos de negocio de un ataque de este tipo: centrado en los atacantes individuales, centrado en amenazas de actores grupales, ransomware como servicio, corretaje de datos y centrados en conseguir notoriedad (para mantener una reputación y asegurar futuros pagos).

 

Qué acciones tomar

Por un lado, ENISA recomienda a las organizaciones una serie de medidas para enfrentarse a los posibles ataques de ransomware, como mantener una copia de seguridad actualizada y aislada de la red, además de aplicar la regla 3-2-1 (tres copias de seguridad en dos almacenamientos distintos y una copia fuera de las instalaciones). De la misma forma, aconseja ejecutar un software de seguridad diseñado para detectar el ransomware en dispositivos finales y restringir los privilegios administrativos. Si la empresa ya fue víctima de un ransomware, la agencia recomienda ponerse en contacto con las autoridades correspondientes, no pagar el rescate ni negociar con los ciberdelincuentes, poner en cuarentena el sistema afectado y visitar el proyecto No More Ransom de la Europol, entre otros. 

En términos de políticas públicas, ENISA está explorando formas de mejorar la notificación de los incidentes por parte de las organizaciones. Una de ellas es la revisión de la Directiva de Seguridad de las Redes y de la Información (NIS 2), que ayudarán a generar un mejor mapeo y comprensión de los incidentes relevantes.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper