Tendencias
Ciberseguridad
Seguros

Las empresas aseguradas tienen más probabilidades de ser víctimas de ‘ransomware’

Según un informe reciente, las empresas que cuentan con un seguro cibernético se han visto más afectadas por el ‘ransomware’ que las que no lo tienen, incluso, a veces, más de una vez.

ciberseguros

Aquellas empresas que sí cuentan con un seguro cibernético tienen más probabilidades de ser golpeadas por el ransomware, más probabilidades de ser atacadas en diversas ocasiones y más probabilidades de pagar rescates. Así se desprende de una encuesta reciente elaborada a partir de las respuestas de responsables TI.

Ya en 2019, menos del 20% de las empresas sufrieron ataques repetidos de ransomware, mientras que durante la pandemia, el porcentaje se elevó a alrededor del 30%. Y no se detuvo entonces, puesto que el 38% de las organizaciones encuestadas en 2022 informaron de dos o más ataques de ransomware exitosos, aquellos en los que los atacantes pudieron bloquear sistemas, cifrar datos o exfiltrar información para exigir un rescate, según el informe de Barracuda realizado por Vanson Bourne.

 

Las empresas con ciberseguro, un blanco

Los seguros cibernéticos juegan un papel importante en las cifras, ya que los convierten más en objetivos, explica a CSO Fleming Shi, CTO de Barracuda Networks. La encuesta reveló que el 77% de las organizaciones con ciberseguro fueron atacadas al menos una vez, frente al 65% de las organizaciones sin seguro. Además, de las empresas que tenían ciberseguro, el 39% pagó el rescate.

Para empeorar las cosas, la investigación descubrió que las empresas aseguradas también tenían un 70% más de probabilidades de ser atacadas varias veces. Las víctimas repetidas también eran más propensas a pagar rescates, y menos propensas a utilizar sistemas de copia de seguridad para ayudarles a recuperarse. Aunque el informe no establece una relación directa entre tener un ciberseguro y ser víctima de ransomware, Shi especula con la posibilidad de que los atacantes descubran que una empresa está asegurada gracias a la ingeniería social, o que se dirijan a objetivos con más probabilidades de tener datos críticos. "Eso les permite tener más confianza en conseguir el pago", afirma.

Eso no significa que tener un ciberseguro sea malo. Las compañías de seguros insisten en los controles de ciberseguridad antes de proporcionar cobertura, dice Shi. "El seguro puede desempeñar un papel positivo si lo utilizas de forma que te ayude a mejorar tu postura de seguridad".

 

El ciberseguro ayuda a disminuir el porcentaje de empresas que pagan ‘ransomware’

Según apunta un informe publicado por Coveware a principios de este año, el porcentaje de víctimas de ransomware que pagan el rescate ha ido disminuyendo, del 85% a principios de 2019 al 45% en el primer trimestre de 2023. Parte de la razón podría ser que incluso pagando el rescate no se recuperan todos los datos. Según el informe sobre ransomware 2022 de Sophos, las organizaciones que pagaron rescates solo recuperaron de media el 61% de sus datos, y solo el 4% recuperó todos sus datos.

Las empresas están invirtiendo en una mejor seguridad debido a los informes de noticias y los requisitos reglamentarios, pero también porque sus compañías de seguros lo exigen. "Cuando empezamos a imponer controles específicos, vimos un impacto tangible", explica Jason Rebholz, CISO de Corvus Insurance. "Hace dos años, empezamos a exigir que las organizaciones tuvieran copias de seguridad seguras y resistentes. Cuando hicimos eso, vimos una caída del 35% en los rescates pagados".

Admite que es difícil para las organizaciones saber en qué herramientas de seguridad invertir, dada la gran variedad de opciones existentes y el rápido ritmo de cambio. Pero las compañías de seguros tienen una visión particular en este ámbito porque pueden ver los detalles de las reclamaciones de ciberseguros, además de seguir de cerca la evolución del sector. "No hay nadie que tenga más interés en su ciberseguridad que su compañía de ciberseguros", afirma Rebholz. Lo que importa es una sólida seguridad de los puntos finales, la autenticación multifactor y las copias de seguridad, afirma. "Podemos ver la diferencia. La gente que tiene mejores controles de seguridad tiene menos reclamaciones y menos graves. Si no se dispone de una pasarela de correo electrónico segura, por ejemplo, hay 2,5 veces más probabilidades de que el correo electrónico de la empresa se vea comprometido."

En este sentido no cree que los atacantes se dirijan específicamente a las empresas porque tengan seguro. "Es uno de los mayores mitos que existen. Pero no hay empresas que anuncien que tienen un ciberseguro, y los ciberdelincuentes tienen muchas víctimas a las que perseguir". Los piratas informáticos suelen basarse en la valoración del mercado u otros factores a la hora de elegir a sus víctimas, afirma Rebholz. El ransomware es sólo una de las muchas amenazas que cubren las pólizas, explica a CSO Chris Hendricks, responsable de respuesta a incidentes de Coalition. No ve una correlación entre tener un ciberseguro y ser objetivo del ransomware y no cree que las empresas se vuelvan complacientes cuando contratan un seguro.

 

Cómo ayudan las aseguradoras a la ciberhigiene

Coalition hace lo que ellos llaman "seguro activo", explica Hendricks. "Trabajamos muy duro para motivarles a no ser complacientes". Por ejemplo, una compañía de seguros inmobiliarios necesitaría saber que un edificio tiene puertas cortafuegos y rociadores antes de vender un seguro contra incendios. La vigilancia activa de Coalition les permite ver, desde fuera, si la empresa tiene puertas cortafuegos. Podemos decir: "Oiga, ¿se ha dado cuenta de que sus puertas cortafuegos están cerradas? Eso es un riesgo de incendio. He aquí cómo abrirlas", dice Hendricks.

Esto resulta especialmente útil para los clientes más pequeños, que quizá no dispongan de sus propias herramientas de supervisión de la superficie de ataque y escaneado de vulnerabilidades, afirma. Además, se reevalúan los comportamientos de riesgo cada vez que se renueva una póliza, lo que reduce la frecuencia y gravedad de los incidentes, añade.

La empresa también realiza un seguimiento de la eficacia de determinados controles de seguridad. La autenticación multifactor, por ejemplo, reduce tanto el riesgo de ransomware como el de fraude en las transferencias de fondos. "No es una bala de plata, pero supone un gran beneficio", afirma. Recomienda cerrar el protocolo de escritorio remoto, que permite a los empleados trabajar desde casa con más facilidad. "Lo utilizan atacantes poco sofisticados a escala. Hay mejores formas de asegurar el acceso remoto: recomendamos VPN con autenticación multifactor".

La protección de puntos finales es otra herramienta que sugiere. Antes era el antivirus, pero ahora es la detección y respuesta de puntos finales, insiste. "Los que tienen una EDR de calidad corren menos riesgo de tener problemas importantes. Y un paso más allá sería contar con la supervisión de alguien como un proveedor de servicios de seguridad gestionados, de modo que haya ojos vigilando para hacer algo en caso de que ocurra algo", afirma. Y, por supuesto, las copias de seguridad. "Nunca pasan de moda y realmente reducen el impacto [de los ataques de ransomware]", afirma.

Pero una buena copia de seguridad es algo más que tener una copia de tu servidor de archivos en un cubo de Amazon S3. Una copia de seguridad debe ser capaz de restaurar las operaciones de su negocio y las empresas necesitan probar las copias de seguridad para asegurarse de que funcionan. Y sí, cuando las empresas solicitan un seguro contra ransomware, esto es algo sobre lo que se les pregunta, dice Hendricks.

 

Evolución del panorama de los ciberseguros

Podría haber cierta validez en los resultados de la encuesta de Barracuda, según la analista de Forrester Alla Valente, los atacantes probablemente están queriendo trabajar más inteligentemente, no más duro. "Si yo fuera un hacker, probablemente dirigiría mis ataques de ransomware a las empresas que pueden pagar", confiesa Valente a CSO. Una empresa que no tenga un seguro cibernético en vigor podría no ser capaz de reunir el dinero del rescate. "Pero los hackers también se dirigen a sectores que no tienen más remedio que pagar", añade.

En cuanto a la complacencia, los tiempos han cambiado. "Hace cuatro años, habría dicho que las empresas que tienen un ciberseguro lo utilizan como una forma de gestión de riesgos. Tenemos un seguro, así que no tenemos que hacer tanto", afirma. "Pero entonces se produjo la Covid-19 y vimos no sólo un enorme aumento de los ataques de ransomware, sino también un enorme aumento de las reclamaciones que se presentaron contra las pólizas de seguro cibernético independientes, y también como parte de otras pólizas de interrupción del negocio. Fue entonces cuando las aseguradoras empezaron a preocuparse".

 

Atacantes en evolución

Mientras las compañías de seguros exigen más a sus clientes y las empresas refuerzan sus defensas, los atacantes no se quedan quietos. Según el informe de Coveware, en respuesta a la disminución de los porcentajes de pago de rescates, los atacantes han cambiado sus tácticas y ahora se dirigen a empresas más grandes y exigen rescates mayores. El pago medio de rescates ha pasado de menos de 50.000 dólares en 2019 a más de 400.000 dólares a finales de 2022. En el primer trimestre de 2023, el 45% de los ataques tenían una demanda inicial de más de 1 millón de dólares, un máximo histórico.

Otra cosa que ha cambiado es el número de peticiones de rescate adicionales. En el pasado, según Coveware, la reextorsión -cuando un atacante vuelve y pide más dinero después de que se haya pagado un rescate- era una táctica utilizada por grupos de ransomware de gama baja, que atacaban a empresas más pequeñas. Pero, en 2022, algunos grupos de ransomware-as-a-service de renombre que atacan a empresas más grandes también han adoptado la estrategia de la reextorsión.

Otra técnica que han estado utilizando los atacantes es robar copias de los datos antes de cifrarlos. Esta táctica de exfiltración estuvo presente en más del 80% de los ataques de ransomware en el primer trimestre de este año. Según Coveware, las empresas se dan cuenta cada vez más de que pagar a los chantajistas por la promesa de que no filtrarán los datos robados no es una actividad especialmente productiva. En comparación, con las claves de descifrado, pueden ver inmediatamente si la clave funciona y la empresa obtiene algún valor del pago.

Los atacantes también están siempre buscando nuevas herramientas, como la IA, para aumentar la eficacia de sus ataques. "Se está desarrollando mucha tecnología nueva, como ChatGPT y otras", afirma Valente, de Forrester. "No se han utilizado el tiempo suficiente para que podamos identificar los riesgos y mitigarlos". Las empresas están jugando a la ruleta, afirma. "Mientras yo he centrado mi atención aquí, los hackers han evolucionado. Haces lo que puedes, pero hay muchos riesgos ahí fuera".



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper