Los rescates de 'ransomware' provocaron en 2020 pérdidas de mínimo 125 millones de euros a firmas españolas, y ahora las administraciones están en la diana

Ciberdelincuente, hacker.

REUTERS/Kacper Pempel

  • Las pérdidas asociadas por ataques con ransomware crecieron un 23,5% en 2020 según el último informe sobre el coste de estos ciberataques realizados por Emsisoft.
  • La firma neozelandesa destaca que España asciende a ser el tercer país con mayores pérdidas por este tipo de ciberataques, a pesar de registrar la mitad de los incidentes.
  • Descubre más historias en Business Insider España.

El informe sobre el coste del ransomware que realiza la firma neozelandesa Emsisoft reflejó más de 8.800 incidentes en firmas españolas con costes mínimos de 100 millones de euros durante 2019. El nuevo informe destaca que el año pasado los incidentes se redujeron a la mitad (4.088) pero los costes crecieron hasta superar los 125 millones de euros.

Se trata de un incremento del 23,5% que convierte a España en el tercer país con mayores pérdidas por ciberataques con ransomware de los que Emsisoft analiza. El país solo está por debajo de Estados Unidos y Francia, que registran más de 15.000 y 4.000 incidentes respectivamente, pero costes mínimos de 490 millones y 132 millones respectivamente.

Por detrás de España quedan países como Italia, Alemania, Canadá, Reino Unido, Australia, Austria y Nueva Zelanda.

2020 fue un año difícil en términos de ciberataques con ransomware para empresas y administraciones del país. Se vieron afectados incluso hospitales, a pocas semanas de que estallara la crisis sanitaria provocada por la pandemia. Fue el caso del hospital de Torrejón de Ardoz.

Aunque los costes mínimos reflejados para las empresas españolas se sitúan en los 125 millones de euros, el auténtico valor estimado de las pérdidas que provocaron estos incidentes supera los 500 millones de euros.

Se trata, sin embargo, de un número que no contempla otras pérdidas como las provocadas por el tiempo de inactividad en el que se vieron sumidas las empresas por ver sus sistemas informáticos paralizados durante el ataque. En esta tabla solo se incluye las pérdidas asociadas a los rescates que los colectivos de ciberdelincuentes demandaron a las víctimas.

De forma global, Emsisoft estima que unos 15.000 millones de euros fueron pagados en rescates de ransomware a pesar de que la recomendación de las autoridades en todo el mundo es no ceder a los chantajes de los criminales y no aceptar sufragar esos cargos. El problema, claro, es que desde principios de 2020 estas mafias ponen en práctica lo que se ha dado en conocer como "doble extorsión".

Desfibriladores, camas o impresoras: millones de dispositivos conectados están en riesgo y pueden comprometer los servidores de hospitales y gobiernos

Un ransomware, hasta ahora, se propagaba dentro de un sistema informático con el objetivo de cifrar los archivos y hacer los dispositivos inutilizables. Si la víctima quería recobrar la normalidad, tendría que pagar un rescate mediante criptomonedas. Pero desde 2020 los delincuentes, además de atacar con el ransomware, roban información sensible, y fuerzan a sus víctimas a pagar si no quieren ver datos de clientes o contratos confidenciales publicados y filtrados en la red.

Emsisoft hace este informe anualmente con los datos que extrae de la plataforma ID Ransomware, que recopila información sobre este tipo de incidentes. Sin embargo, la propia compañía, una firma especializada en ciberseguridad neozelandesa, estima que solo el 25% de las empresas y de las administraciones víctimas de un incidente del estilo utilizan ID Ransomware.

La compañía también aclara que el 27% de las organizaciones afectadas acaban pagando el rescate.

El informe de este año también estima que las pérdidas por ransomware, contando el período de inactividad y de lucro cesante que pueden haber sufrido las empresas españolas, podría hacer ascender esta cifra por encima de los 1.000 millones de euros.

Además, una nueva tabla también refleja las pérdidas provocadas por ataques con ransomware que no afectaron a empresas, sino a usuarios domésticos. Contemplando estos datos, el coste en España se duplica por encima de los 247 millones de euros.

Un 2020 fatídico en 'ransomware'

Solo en 2020 se multiplicaron los incidentes causados con ataques con ransomware a empresas españolas. Basta recordar que fue el año en el que la empresa pública que pone las instalaciones ferroviarias en todo el territorio nacional, Adif, sufrió un ciberataque que acabó con el volcado de datos sensibles de la organización publicados en la red porque se negaron a pagar un rescate.

También Mapfre fue víctima de un incidente que fue capaz de resolver adecuadamente, y que comunicó con absoluta transparencia, tal y como le reconoció recientemente la propia Agencia Española de Protección de Datos.

Aunque solo son las marcas más conocidas, lo cierto es que los incidentes con ransomware son constantes y afectan sobre todo a pequeñas y medianas empresas. En las últimas semanas varias compañías del país, como un proveedor de aires acondicionados de Madrid e incluso un colegio privado de una fundación de la capital fueron víctimas de este tipo de incidentes, sin que haya trascendido mayor información.

La razón es que muchas de las mafias que envían estos programas de ataque reivindican sus fechorías en sus propias páginas web en la dark web, donde además lanzan comunicados en los que detallan la cuantía del rescate que solicitan y a qué tipo de datos sensibles han tenido acceso y filtrarán si sus víctimas no acaban aceptando el chantaje.

En 2021 la situación no mejora

Ya lindando la mitad del año 2021 se puede vaticinar que, a pesar de que el confinamiento estricto ya no existe y la pandemia está terminando, los ataques con ransomware continúan impactando con fiereza sobre el país. Se han visto afectadas grandes empresas como Glovo o The Phone House.

Solo en las últimas semanas se han conocido los casos de ciberataques con este tipo de código a organizaciones como el Servicio de Empleo Público Estatal.

El SEPE se vio afectado durante días por una cepa de ransomware conocida como Ryuk, aunque sus responsables aseguraron que no se habían visto comprometidos datos ni de ciudadanos ni de empresas. Durante días, los trabajadores del SEPE se vieron obligados a tomar citas a bolígrafo, ya que sus equipos informáticos estaban apagados para controlar y mitigar el incidente.

Facebook, LinkedIn o Clubhouse: los hackeos en redes sociales siguen creciendo porque son el 'petróleo' con el que los ciberdelincuentes montan sus ataques

Varios ministerios sufrieron en abril un ataque organizado y sincronizado que provocó que algunas de sus páginas web se cayesen, y los expertos del Centro Nacional de Inteligencia emitieron una voz de alarma para que todos los organismos críticos del Estado extremasen las precauciones, según avanzaba El Confidencial.

Quizá el ataque más grave de todos es el que sufrió el Ayuntamiento de Castellón, que vio cómo documentos sensibles, como fotos de víctimas de accidentes de tráfico o denuncias de violencia de género se filtraron en la red, poniendo de relieve otra cosa: la delgada línea que conecta la ciberdelincuencia y la salud mental.

Hace falta voluntad política

Eusebio Nieva, director técnico de la firma de ciberseguridad Check Point en España, detalla, en declaraciones a Business Insider España, que el aumento de ciberataques era esperable. "Era extraño que no se hubiesen producido más en este tiempo". Se refiere a los incidentes que sufrió la administración española hace unas semanas.

¿Están peor defendidas las instituciones públicas? "Carecen a día de hoy de medidas de seguridad. Las que tienen implementadas no son capaces de tratar o evitar las amenazas". Unas amenazas "que evolucionan constantemente". "Ya se ha demostrado que una arquitectura basada en un antivirus tradicional no es capaz si no ponemos por encima otras capas de defensa".

¿Qué capas? "Por ejemplo, un análisis dinámico de los ficheros que llegan a la oficina o al perímetro". Por ejemplo, los que llegan a través del correo electrónico. Con un análisis dinámico se puede comprobar que el archivo que llega no es malicioso y, si lo es, evitar que el usuario pueda acceder a él, abrirlo o activarlo.

Sindicatos y colegios de Informáticos estallan y denuncian precariedad y falta de recursos en la administración mientras el SEPE trata de recuperarse del ciberataque

Otro ejemplo es fijar medidas adecuadas en los dispositivos de los usuarios, sean estos ordenadores o móviles. "Medidas adecuadas para tratar el ransomware y ataques avanzados que analicen cómo evolucionan los procesos en un dispositivo y si ves que comienza a cifrar, lanzar una alerta". "El problema es que si tratas de evitar estos problemas usando firmas solo vas a estar protegido ante ataques conocidos", zanja el especialista.

"Si el ataque es desconocido en ese momento, lo más probable es que te pillen".

Nieva, sin embargo, no cree que las administraciones públicas estén tomando conciencia del problema, a pesar de que justo en 2021 están en la diana de los ciberdelincuentes y de los colectivos patrocinados por potencias extranjeras. "Debe haber un coste político para que se tomen medidas, para tener voluntad política".

"Si estos problemas no le cuestan el cargo a ningún político no se preocuparán", lamenta el director técnico de Check Point en España.

LEER TAMBIÉN: Cómo el internet de las cosas y la ética en los algoritmos jugarán un papel clave en el futuro inmediato de la ciberseguridad, según este responsable de Google Cloud

LEER TAMBIÉN: El Gobierno ya asume un papel protagonista en la ciberseguridad, pero las empresas demandan más "bidireccionalidad" por parte de las instituciones, según estos expertos

LEER TAMBIÉN: Oleada de ciberataques a altas instituciones del Gobierno: las páginas del INE y varios ministerios, caídas durante horas

VER AHORA: Tomás Villén, director general de Porsche Ibérica: “En 2021, más de la mitad de nuestras ventas serán coches eléctricos; hemos conseguido poner alma a la electrificación”