Por qué las copias de seguridad se han convertido en un objetivo fácil para los ciberdelincuentes

En un escenario de ataque por ransomware, existen principalmente dos métodos para recuperar los datos que han sido cifrados: restaurarlos desde copias de seguridad o ceder ante la demanda de pago del rescate. Los ciberdelincuentes están conscientes de que, al atacar las copias de seguridad de las organizaciones, limitan significativamente la capacidad de estas para restaurar los datos afectados, lo que incrementa considerablemente la tentación de pagar el rescate.

Según se ha observado, si los sistemas de respaldo de datos son comprometidos durante un ataque, la probabilidad de que la organización afectada acceda a pagar el rescate prácticamente se duplica, y el costo total de recuperación puede ser hasta 8 veces mayor en comparación con aquellos incidentes donde las copias de seguridad permanecen intactas.

Desde Sophos, una entidad líder en ciberseguridad e innovación, se señalan cuatro razones clave por las que los sistemas de copias de seguridad se han convertido en un objetivo cada vez más codiciado por parte de los atacantes, esto basado en los resultados de una encuesta reciente*.

Motivo 1: Intentar comprometer los backups en un ataque de ransomware se ha convertido en la norma

Los autores de ataques de ransomware intentan poner en peligro las copias de seguridad en casi todos sus ataques. El 94% de las empresas encuestadas afectadas por ransomware en 2023 afirmaron que los ciberdelincuentes intentaron poner en peligro sus copias de seguridad durante el ataque. Este porcentaje crece hasta el 99% tanto en la Administración Pública como en el sector de los medios de comunicación, el ocio y el entretenimiento.

Motivo 2: Los ciberdelincuentes lo consiguen en más de la mitad de los ataques de ransomware, aunque la tasa de éxito varía según el sector

En todos los sectores, el 57% de los intentos de comprometer las copias de seguridad tuvieron éxito, consiguiendo afectar a las operaciones de recuperación de más de la mitad de las víctimas. A pesar de eso, los datos revelan una variación considerable en la tasa de éxito entre sectores:

  • Los atacantes tuvieron más éxito al comprometer las copias de seguridad de sus víctimas en los sectores de energía, petroleras/gas y servicios públicos (79% de éxito) y educación (71% de éxito).
  • Por el contrario, el sector tecnológico y de telecomunicaciones (30% de éxito) y retail (47% de éxito) registraron los índices más bajos de éxito en el ataque contra backups.

Esto puede deberse a una mayor protección de las copias de seguridad en sectores como TI y telecomunicaciones, o una mayor eficiencia para detectar y detener los ataques, así como a que los sectores críticos como energía, el del petróleo y el gas y los servicios públicos pueden ser víctimas de ataques más avanzados.

Motivo 3: Comprometer las copias de seguridad multiplica por dos la rentabilidad del ataque

Por un lado, las peticiones de rescate por parte de los delincuentes se pueden duplicar: las víctimas cuyas copias de seguridad se vieron comprometidas recibieron peticiones de rescate que fueron, de media, de 2,3 millones de dólares, frente al millón de dólares de medio de las empresas en las que no lo consiguieron.

Además, las empresas víctimas de este ataque tenían casi el doble de probabilidades de pagar el rescate para recuperar los datos cifrados que las que mantuvieron intactas sus copias de seguridad (67% frente a 36%).

Motivo 4: Los costes de recuperación del ransomware para las víctimas se multiplican por 8 cuando las copias de seguridad se ven comprometidas

De media, las empresas que sufrieron la vulneración de sus sistemas de backup tuvieron que afrontar costes totales de recuperación de 3 millones de dólares, lo que supone una cifra 8 veces mayor que las que no (375.000 dólares). Esto puede deberse a varias razones, como al trabajo adicional que supone restaurar a partir de datos descifrados, o que una protección de backup más débil, sea un indicativo de defensas menos sólidas y, en consecuencia, una necesidad mayor de trabajo para recuperarse.

Recomendaciones de Sophos

  • Las copias de seguridad son una parte clave de una estrategia holística de reducción de riesgos de ciberseguridad. Si tus copias de seguridad son accesibles online, debes asumir que los atacantes también las encontrarán.
  • Realiza copias de seguridad periódicas y almacena las copias en varias ubicaciones. Asegúrate de añadir MFA (autenticación multifactor) a tus cuentas de backup en la nube para ayudar a evitar que los atacantes obtengan acceso.
  • Practica la recuperación. Cuanto más fluido sea el proceso de restauración, más rápido y fácil será recuperarse de un ataque.
  • Protege tus copias de seguridad. Vigila y responde a cualquier actividad sospechosa en torno a tus copias de seguridad, ya que puede ser un indicador de que los atacantes están intentando ponerlas en peligro.

Últimos artículos

Scroll al inicio