Sophos, proveedor global en soluciones de ciberseguridad de última generación, publica los resultados de una encuesta realizada a nivel mundial, Ciberseguridad: el desafío humano [descarga no requiere registro] en la que revelan que las empresas nunca vuelven a ser las mismas tras haber sido golpeadas por un ataque de ransomware. Entre las principales consecuencias de este tipo de ataques se encuentra una diferencia significativa en la confianza de los responsables de TI y en su enfoque contra las amenazas entre las empresas que han sido atacadas por un ransomware y las que no.
La encuesta ha sido realizada a 5.000 responsables en la toma de decisiones de TI en empresas de 26 países en 6 continentes, entre ellos Europa, América del Norte y del Sur, Asia-Pacífico y Asia Central, Oriente Medio y África. En España, el estudio se ha llevado a cabo con 200 responsables de TI de empresas que abarcan desde 100 hasta 5.000 trabajadores, de todos los sectores.
La confianza que los responsables de TI tienen en su equipo y en su capacidad de hacer frente a las amenazas es un valor fundamental para la protección de las empresas. A nivel mundial, los datos obtenidos en la encuesta son alentadores. La mayoría de los responsables de TI consideran que ellos (72%) y sus equipos (72%) están actualizados respecto a las amenazas en ciberseguridad o se adelantan a ellas. En cuanto a los que consideran no estar “al día” con las amenazas, solo un 28% sienten que están retrasados. En el caso de España, los responsables de TI que consideran estar actualizados desciende al 61% en su caso, y al 58% en el caso de sus equipos, aunque también desciende el porcentaje de responsables de seguridad que consideran estar retrasados en cuanto a las amenazas actuales con un 16%.
Los ataques de ransomware dañan la confianza de los responsables de TI y de sus equipos en cuanto a la comprensión del panorama de amenazas. La encuesta de Sophos revela que el 17% de los responsables de TI cuyas empresas han sido atacadas por un ransomware durante el año pasado, consideran que están “significativamente atrasados” respecto a las ciberamenazas, en comparación con solo el 6% de los responsables en empresas que no fueron atacadas, lo que supone una diferencia de tres veces más tras un ciberataque de ransomware. En España, el 4% de los responsables de TI afirman sentirse “muy atrasados” respecto a las amenazas en ciberseguridad.
Esta confianza también disminuye en cuanto a la valoración que los responsables de TI hacen respecto al nivel de actualización de sus equipos (15% en las empresas atacadas frente al 6% en las no atacadas) y respecto a sus líderes empresariales (20% en las empresas golpeadas por ransomware, frente al 11% en las que no).
Prevención vs detección
En lo que respecta al enfoque de la seguridad, el promedio mundial en cuanto a la distribución del tiempo dedicado a la seguridad se divide en un 45% del tiempo dedicado a la prevención, un 30% dedicado a la detección y el 25% restante dedicado a la respuesta. El equilibrio entre la prevención y la detección representa un enfoque sensato en ciberseguridad, teniendo en cuenta que dedicar mayor tiempo a las soluciones de respuesta frente a amenazas sugiere que no se han podido detener los ataques en sus fases iniciales.
Los resultados revelan que las víctimas de ataques de ransomware dedican proporcionalmente menos tiempo a la prevención frente a amenazas (43%) y más tiempo a respuesta (27%), comparado con aquellas empresas que no han sido atacadas (49% y 22% respectivamente), desviando los recursos de seguridad hacia el tratamiento de los incidentes en lugar de detenerlos en un primer momento. En cuanto a las empresas españolas, el enfoque adoptado en cuanto a la seguridad se divide en 46% del tiempo dedicado a la prevención y el 24% dedicado a la respuesta.
“La diferencia en las prioridades de los recursos de seguridad podría indicar que las víctimas de ataques de ransomware tienen más incidentes de seguridad de los que preocuparse en general. Sin embargo, también podría indicar que están más atentos a la naturaleza compleja y en varias fases de los ataques avanzados y, por lo tanto, dedican más recursos a detectar y responder a las señales de un ataque inminente”, declara Chester Wisniewski, científico investigador principal de Sophos.
La escasez de profesionales cualificados en ciberseguridad afecta a la protección
Los equipos de TI se enfrentan a un constante aluvión de ciberataques, con amenazas procedentes de múltiples direcciones y con objetivos diversos. Según datos de Sophos, el 51% de los encuestados fueron víctimas de rescates en el último año y los cibercriminales lograron cifrar datos en el 73% de estos ataques*. Frente a estas amenazas, la necesidad de encontrar y retener a profesionales cualificados en ciberseguridad en sus empresas es una prioridad para la mayoría de las organizaciones. A nivel mundial, el 81% de los responsables de TI consideran la contratación y retención de profesionales cualificados como un gran desafío. De estos, el 54% lo valoran como un desafío significativo y un 27% afirma que éste es su mayor reto. Entre las empresas españolas el 58% valoran la falta de profesionales cualificados como un desafío considerable pero no el más importante, seguidas de un 17% para las cuales es un reto significativo.
Un ataque de ransomware sufrido por una compañía también supone un aumento de la urgencia en la contratación de profesionales cualificados en seguridad. Más de un tercio (el 35%) de las empresas víctimas de ransomware afirmó que contratar y retener a profesionales cualificados fue su mayor reto en materia de ciberseguridad, en comparación con solo el 19% de las compañías que no habían sido atacadas, 16 puntos porcentuales menos. En España, el 17% de los encuestados afirmó sentirse así.
Como consecuencia de la escasez de conocimientos en ciberseguridad, la contratación y retención de personal cualificado se sitúa como la máxima prioridad para los responsables de TI. A nivel mundial, el 55% de los encuestados afirmó que es una de sus áreas prioritarias de enfoque en los próximos 12 meses, seguido de minimizar el riesgo de un ciberataque (51%), el aumento de estabilidad en la infraestructura (40%) y la mejora de la eficiencia y la escalabilidad operacional (39%).
En el caso de España, la prioridad de los responsables de TI también es la contratación y retención de profesionales de ciberseguridad, con un 67% de las respuestas, seguida de minimizar el riesgo de un ciberataque (60%), la modernización e innovación en tecnología (45%) y, por último, mejorar la eficiencia y la escalabilidad operacional (42%).
Las peligrosas técnicas del ransomware Ryuk
El hecho de que los atacantes de ransomware continúen evolucionando sus Tácticas, Técnicas y Procedimientos (TTPs) contribuye a la presión sobre los equipos de seguridad, como se recoge en el el artículo “They’re back: inside a new Ryuk ransomware attack” de SophosLabs Uncut. El artículo deconstruye un ataque reciente relacionado con el ransomware Ryuk. El equipo de respuesta frente a amenazas de Sophos descubrió que los atacantes de Ryuk utilizaban versiones actualizadas de herramientas legítimas y ampliamente disponibles para comprometer una red específica y desplegar el ransomware. Sorprendentemente, el ataque progresó a mucha velocidad, a las tres horas y media de que un empleado abriera un archivo adjunto de un email malicioso de phishing, los atacantes ya estaban llevando a cabo un reconocimiento activo de la red. En 24 horas, los cibercriminales tenían acceso a un controlador de dominio y se preparaban para lanzar Ryuk.
“Nuestra investigación sobre el reciente ataque con el ransomware Ryuk revela a qué se enfrentan los sistemas de defensa. Los equipos de seguridad deben estar en alerta 24 horas al día, siete días a la semana y tener un conocimiento completo de las ultimas herramientas y comportamientos de los cibercriminales. Los resultados de la encuesta muestran claramente el impacto de estas demandas casi imposibles. Entre otras cosas, las empresas que han sido víctimas de un ataque de ransomware muestran una confianza profundamente dañada respecto a su propia concienciación frente a las ciberamenazas. Sin embargo, su experiencia con el ransomware también parece haberles dado una mayor apreciación sobre la importancia de los profesionales de seguridad cualificados, así como un sentido de urgencia para introducir en sus sistemas de seguridad soluciones de threat hunting dirigidas por humanos, para comprender e identificar mejor los comportamientos actuales de los cibercriminales”, afirma Wisniewski. “Sean cuales sean las razones, está claro que cuando se trata de seguridad, una empresa nunca vuelve a ser la misma tras ser golpeada por un ciberataque de ransomware”.