Los casos de ataques por ransomware crecen exponencialmente y parecieran no tener límite. Prácticamente cualquier organización o persona que maneje información digitalizada, es vulnerable. Esta es una realidad que se refleja claramente en las estadísticas actualizadas. Con el agravante de que son numerosos los casos sobre los que no se manejan datos. Esto, porque los afectados prefieren no denunciar o hacer público que han sido víctimas de este ciberdelito.
En este sentido, la prevención es indispensable y contar con una protección multicapa resulta una medida inteligente. Y es que los ciberdelincuentes cada vez son más exigentes y desarrollan ataques de ransomware, que, según la Oficina de prensa del FBI de San Francisco (EUA) van evolucionando. Adicionalmente, sus ataques son meticulosamente direccionados. Por ejemplo, según Statista en 2024, el sector energía y servicios públicos “registró el mayor número de vulnerabilidades explotadas”.
De igual manera, organizaciones privadas también constituyen un objetivo atractivo para quienes llevan a cabo estas prácticas. Así, entes públicos, privados, personas naturales o jurídicas, es decir, cualquiera, puede estar en riesgo. Y las motivaciones no solo tienen que ser de índole económica. Los ciberdelincuentes pueden tener incentivos políticos, religiosos o hasta personales. Inclusive, en ocasiones, solo buscan palestra o exponer los datos e información de un organismo, como simple juego.
El ransomware es un “negocio” muy lucrativo, en plena expansión
Desde el punto de vista netamente económico, las estadísticas sobre lo productivo del ransomware son interesantes. Esto, recordando que pueden estar disminuidas, debido a que algunas organizaciones prefieren inhibirse y no denunciar.
De acuerdo con el Centro de Quejas de Delitos en Internet del FBI, conocido como IC3, el delito cibernético no sólo resulta bastante lucrativo para quienes lo ejecutan. También va en incremento, consolidándose como una fuente de ingresos que apunta a ser peligrosamente ilimitada:
- Durante el 2024, los incidentes y fraudes cibernéticos tuvieron un impacto mayor a los 16.600 millones de dólares para los afectados.
- Durante el año pasado, 14 de los 16 sectores de infraestructura crítica de EUA se vieron afectados por ataques de ransomware. Así, éste continúa como la amenaza cibernética más firme para el sector. Reflejándose un incremento de quejas al respecto del 9%, desde el 2023.
- Para el 2024, el IC3 recibió más de 3100 denuncias de ransomware. Esto equivale a un incremento, en relación al 2023, de casi el 12%. Además, recogió más de 86.000 de extorsión, lo que implica un aumento cercano al 79%, en relación al 2023.
- Sumando las denuncias recibidas de ransomware entre 2022 y 2024, las pérdidas de los afectados ascienden a más de 106 millones de dólares. Y esto solo en términos económicos…
De acuerdo a fuentes especializadas en el tema, el coste promedio que implica una filtración de datos, es de 4,35 millones de dólares. Además, a nivel mundial, un 71% de organismos han sufrido consecuencias, por ataques de ransomware. Y el panorama no es para nada alentador, puesto que para el año 2031 se estima un coste esperado de 265 mil millones de dólares por daños atribuidos al ransomware.
Más allá del aspecto económico
Otros focos de interés en el tema del ransomware tienen implicaciones no necesariamente económicas. Aunque es necesario aclarar que de igual manera terminan afectando el patrimonio de los afectados. Dependiendo del tipo de organización vulnerada, estos ataques funcionan de una forma muy precisa y pueden afectar diversos flancos o aspectos de una organización o persona.
Y es que la creatividad y capacidad de los perpetradores de estos ataques es impresionante. Lo que en sus inicios solo implicaba la encriptación de los datos y la correspondiente “negociación” para obtener la clave para desencriptarlos, ha mutado rápidamente. Anteriormente, se exigía a la organización afectada un pago como intercambio para la entrega de la clave. Sin embargo, ahora los alcances de este ciberataque han adquirido otras dimensiones.
Ya los ciberdelincuentes no se conforman solo con el pago del monto exigido. También usan otro tipo de amenazas con las cuales lucrarse más. Publicar los datos e información privada de una organización o persona, por ejemplo. O jugar con la necesidad del tiempo de respuesta a sus “clientes”. También es común que trasladen sus exigencias a los proveedores, clientes o socios del afectado.
Hay una gran variedad de opciones que los atacantes pueden usar para extorsionar a sus víctimas. Depende del grado de vulnerabilidad al que éstas se encuentren expuestas y también, de las posibles consecuencias que para ellas implicaría. Y, en general, éstas suelen ser graves, puesto que los delincuentes estudian a sus objetivos con suficiente antelación, para determinar el alcance de sus ataques. Por eso, son muchos quienes incurren en lo que puede constituir un verdadero error: pagar.
Una verdadera disyuntiva
Someterse a un chantaje, desde cualquier punto de vista, puede parecer un error. Pero, al medir las posibles consecuencias de no ceder, solo el afectado puede saber que es preferible. En este caso se debe considerar con cuidado el valor de la “moneda de cambio” utilizada por los ciberdelincuentes. Decidirá si tiene menor valor que las secuelas que pueda ocasionar su posible uso. Así, la víctima de extorsión se enfrenta a una gran disyuntiva y puede tomar decisiones apresuradas y erradas.
Un dato alarmate dentro de una investigación reseñada por Statista, revela que México es el segundo país que sufre más ataques cibernéticos en la región latinoamericana, acumulando el 28% de los casos, siendo superado por Brasil (56%) y seguido de Colombia (10%).
Desafortunadamente, las estadísticas revelan una realidad abrumadora. En otro estudio de Statista, en 2023, aproximadamente el 73% de las organizaciones afectadas, a nivel mundial, pagó el rescate exigido para recuperar sus datos. Cerca del 41% logró recuperar el acceso a sus datos, posterior al pago exigido. El 1% nunca obtuvo acceso a los datos, inclusive posterior al pago del rescate. Además, 4 de cada 10 organismos se vieron obligados a pagar montos adicionales para poder recuperar el acceso a sus datos.
Estos resultados no solo sugieren que falta una estrategia robusta de seguridad de información en las instituciones, sino también la poca cultura de ciberseguridad y falta de políticas que la promuevan de forma efectiva entre los ciudadanos.
Hablando de ética…
Todo aquel que utilice diversos medios para extorsionar o chantajear, incurre en un delito. Puede tener los motivos más nobles a imaginar, sin embargo, los métodos no son aceptables. Sobre todo, porque sus consecuencias no necesariamente son del todo previsibles. Y ejercer el poder de sometimiento sobre alguien débil y vulnerable, se considere merecido o no, simplemente no es ni ético ni moral.
Y ahora, en la era digital, cuando el ransomware está adquiriendo dimensiones impresionantes, es vital actuar con inteligencia. Por eso, apuntar a la prevención y la educación, resulta indispensable. Blindar por todos los medios disponibles los datos e información organizacionales y personales con una protección multicapa, resulta una buena idea. Las estadísticas no mienten. Y, si hay algo que está claro, es que la ética de los delincuentes suele ser bastante cuestionable.
