CrowdStrike, compañía de ciberseguridad especializada en la protección del endpoint desde la nube y en la protección de las cargas de trabajo, ha hecho público su informe anual sobre seguridad global, realizado por la compañía independiente de análisis Vanson Bourne, en el que se destaca que cada vez más compañías claudican ante las extorsiones de los ciberdelicuentes debido a que los sistemas de seguridad son cada vez más lentos a la hora de descubrir incidentes.
“El informe muestra una imagen impactante del entorno actual de la seguridad corporativa: los ciberdelincuentes innovan en sus métodos para acceder a los sistemas empresariales y las organizaciones no actualizan sus tecnologías de seguridad”, afirma Michael Sentonas, director de tecnología de CrowdStrike. “Es cierto que el trabajo en remoto está acentuando los desafíos en la empresa debido a que los modelos de protección más utilizados, como el de Microsoft, no están adaptados a esa realidad: las corporaciones más modernas deberían trasladar sus estrategias de protección a plataformas que sepan dar respuesta a las necesidades reales de la vida actual, es decir, plataformas end-to-end con un enfoque holístico y cloud nativo”.
Ataques recientes como los de Sunburst o Kaseya han puesto de manifiesto los peligros a los que se enfrenta la cadena de suministro; de hecho, según el estudio de CrowdStrike, el 63% de los responsables de seguridad admite que está perdiendo la confianza que tenía en los fabricantes tradicionales, como Microsoft, debido al incremento de incidentes que están observando en empresas que confían en ellos. Tres de cada cuatro (77%) responsables de seguridad consultados por CrowdStrike afirman que sus empresas han sufrido un ataque en su cadena de suministro y el 84% teme sufrir algún incidente en su cadena de suministro en los próximos años.
En España, en concreto, el 80% de las empresas consultadas admite evitar a socios en los que perciben sistemas débiles de seguridad por miedo a sufrir un ataque indirecto y hasta el 37% ha perdido la confianza en sus socios después de analizar sus sistemas. Aun así, el 70% de los directores de seguridad de nuestro país sigue pensando que los máximos responsables de sus respectivas compañías no son conscientes de los peligros de un ataque a la cadena de suministro, a pesar de que cuatro de cada diez (39%) sufrió un incidente relacionado con la cadena de suministro en los últimos doce meses.
Los rescates han crecido un 62,7% en 2021 hasta alcanzar los 1,79 millones de dólares, frente a extorsiones medias de 1,1 millones de dólares en 2020
Dos millones de dólares anuales de pérdidas por ransomware
El estudio de CrowdStrike muestra la efectividad de los ataques de ransomware: los rescates han crecido un 62,7% en 2021 hasta alcanzar los 1,79 millones de dólares, frente a extorsiones medias de 1,1 millones de dólares en 2020, aunque según los servicios de inteligencia de CrowdStrike, las peticiones de rescate medio se acercan a los seis millones de dólares.
Pero más allá de esto, las empresas están alertando de una “doble extorsión”, ya que los ciberdelincuentes aprovechan la intención de pago de las víctimas para exigir más dinero si no quieren que se publiquen o vendan los datos robados: el 96 % de las empresas que pagaron un rescate por descifrar sus datos fueron extorsionadas también para pagar más dinero, una media de 792.493 dólares.
Entre los datos que llaman la atención del estudio destaca el hecho de que más de la mitad de las empresas (57%) no cuenta con una estrategia global de protección frente al ransomware y que dos de cada tres sufrieron un ataque relacionado con ransomware en los últimos doce meses. El pago medio de las extorsiones fue de 1,34 millones de dólares en EMEA.
En España, el 64% de las empresas consultadas recibió un ataque relacionado con ransomware en el último año pero solo un cuarto de las afectadas pagó el rescate (entre 250.000 y 2,5 millones de dólares). Al menos sirvió para que dos tercios de las afectadas mejorarán de alguna manera sus protocolos de protección. En cualquier caso, la mitad de los CSO españoles (48%) alerta de que existe una falta de compromiso interno sobre concienciación en materia de ciberseguridad y, de hecho, según el 43 %, se mantiene la responsabilidad exclusiva de protección sobre el equipo técnico y no sobre el conjunto de profesionales de la compañía.
El hecho de que los ciberdelincuentes no estén alcanzando las sumas de dinero que exigen no implica que no estén teniendo un éxito arrollador en sus intenciones, ya que las empresas se han dado cuenta de la amenaza que puede suponer la exposición de sus datos al público, pero lo que más llama la atención es que no vayan en la buena dirección en lo que a detección y tiempos de respuesta se refiere.
Se recomienda seguir la regla 1-10-60, según la cual los equipos de seguridad deben demostrar la capacidad de detectar una amenaza en el primer minuto desde que se inicia la intrusión, entender el incidente en 10 minutos y contener y erradicar el ataque en 60 minutos
60 minutos para acabar con un incidente, la quimera de la protección
Desde CrowdStrike se recomienda seguir la regla 1-10-60, según la cual los equipos de seguridad deben demostrar la capacidad de detectar una amenaza en el primer minuto desde que se inicia la intrusión, entender el incidente en 10 minutos y contener y erradicar el ataque en 60 minutos.
En la actualidad, se estima que las organizaciones tardan 146 horas en detectar un incidente, frente a las 117 horas que tardaban en 2020. Una vez detectado, necesitan 11 horas para entender cómo se ha producido y en qué consiste la amenaza, y 16 horas más para remediarla.
En España, la mayoría de las empresas necesitan un día completo tan sólo para detectar el incidente, aunque hay algunas afortunadas –o bien preparadas-, tres de cada diez, que son capaces de hacerlo en una hora. Las quejas para tardar tanto se refieren a que se utilizan muchas soluciones diferentes que no están correctamente integradas como para tomar decisiones rápidas y coherentes, para el 45 % de los expertos; y que es muy complicado responder a ataques modernos desde infraestructuras heredadas, para el 39 %.
Según el informe Threat Hunting de CrowdStrike publicado este mismo año, el equipo de Falcon OverWatch informaba de que los ciberdelincuentes solo necesitan 92 minutos de media para sobrepasar los sistemas de seguridad de una empresa, lo que muestra las dificultades de los equipos de seguridad, abrumados por el alto volumen de alertas y herramientas de protección que no facilitan los flujos de trabajo correctos para dar respuestas útiles ante un ataque.
El informe de CrowdStrike ha sido realizado por el especialista en estudios de mercado independiente Vanson Bourne entre 2.200 profesionales de seguridad senior de EEUU, EMEA y APAC entre octubre y noviembre de 2021.