**La tasa de pago de rescates por ransomware cae al 23%: análisis de una tendencia en mínimos históricos**
—
### 1. Introducción
En el panorama actual de la ciberseguridad, los ataques de ransomware continúan representando una de las amenazas más significativas para las organizaciones a nivel global. Sin embargo, recientes informes revelan un cambio en el comportamiento de las víctimas: solo el 23% de las empresas afectadas por ransomware accedieron a pagar el rescate exigido por los atacantes, marcando la cifra más baja registrada hasta la fecha. Este descenso notable plantea cuestiones relevantes para CISOs, analistas SOC, consultores y profesionales de la seguridad informática sobre la evolución de la respuesta ante incidentes de ransomware y sus implicaciones técnicas, legales y operativas.
—
### 2. Contexto del Incidente o Vulnerabilidad
El ransomware ha sido, durante la última década, uno de los métodos de extorsión digital preferidos por los ciberdelincuentes. Grupos organizados, como LockBit, BlackCat (ALPHV), y Cl0p, han protagonizado campañas mediáticas y altamente destructivas, aprovechando vulnerabilidades en infraestructuras críticas y explotando fallos humanos como el phishing o la ingeniería social.
No obstante, la tendencia actual muestra que las organizaciones han endurecido su postura frente a las demandas de los atacantes. Diversos factores, como la mayor concienciación, la presión regulatoria (GDPR, NIS2), la mejora en planes de contingencia y la proliferación de soluciones de backup robustas, están contribuyendo a que menos víctimas opten por pagar el rescate.
—
### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)
El modus operandi típico de los grupos de ransomware sigue patrones bien documentados en el framework MITRE ATT&CK, donde destacan las siguientes técnicas y tácticas:
– **Vector de acceso inicial (TA0001):** Explotación de vulnerabilidades conocidas (CVE-2023-23397 en Microsoft Outlook, CVE-2023-34362 en MOVEit Transfer), ataques de phishing y compromisos de RDP expuestos.
– **Ejecución y persistencia (TA0002, TA0003):** Uso de herramientas como Cobalt Strike o Metasploit para el movimiento lateral y la ejecución de payloads maliciosos.
– **Cifrado y exfiltración (TA0040, TA0010):** Implementación de binarios personalizados de ransomware (LockBit 3.0, BlackCat) y herramientas de exfiltración como Rclone o Megasync antes de iniciar el cifrado de los datos.
– **Indicadores de compromiso (IoC):** Hashes de archivos maliciosos, direcciones IP de C2, dominios utilizados para la negociación de rescates y artefactos de cifrado específicos de cada variante.
El descenso en los pagos podría estar relacionado con el aumento en la detección temprana de estos IoC, así como la rápida difusión de exploits y parches para vulnerabilidades explotadas habitualmente.
—
### 4. Impacto y Riesgos
Aunque la reducción del porcentaje de pagos supone un avance desde el punto de vista de la ciberresiliencia, los riesgos asociados a los ataques de ransomware siguen siendo elevados:
– **Interrupción operativa:** El cifrado de sistemas críticos puede paralizar la actividad empresarial durante días o semanas.
– **Pérdida de datos y filtraciones:** Aumentan los casos de doble extorsión, donde los atacantes amenazan con publicar información sensible si no se paga el rescate.
– **Costes de recuperación:** Aunque no se pague el rescate, los costes de restauración, forense digital, cumplimiento normativo y comunicación pueden superar los 2M€ por incidente en grandes organizaciones.
– **Sanciones regulatorias:** El GDPR y la Directiva NIS2 imponen fuertes sanciones por incidentes que comprometan datos personales o servicios esenciales.
—
### 5. Medidas de Mitigación y Recomendaciones
Para mitigar el impacto de los ataques de ransomware y reducir la probabilidad de tener que pagar un rescate, los expertos recomiendan:
– **Backups robustos y segregados:** Realizar copias de seguridad frecuentes, almacenadas offsite y sometidas a pruebas de restauración periódicas.
– **Gestión de vulnerabilidades:** Aplicar parches de seguridad de manera ágil, priorizando CVE críticos explotados activamente.
– **Segmentación de red y control de accesos:** Implementar arquitectura Zero Trust y restringir privilegios de cuentas administrativas.
– **Monitorización continua:** Uso de EDR, SIEM y honeypots para la detección proactiva de actividades anómalas y movimientos laterales.
– **Planes de respuesta a incidentes:** Simulacros periódicos y protocolos claros para la contención, erradicación y recuperación.
—
### 6. Opinión de Expertos
Según Brett Callow, analista de amenazas en Emsisoft, «la caída en la tasa de pagos indica que las organizaciones están mejor preparadas y que las campañas de concienciación y las mejoras técnicas están dando resultados.» Por su parte, expertos de ENISA y el INCIBE subrayan la importancia de la colaboración público-privada y el intercambio de inteligencia de amenazas para reducir la efectividad de los grupos de ransomware.
—
### 7. Implicaciones para Empresas y Usuarios
Para las empresas, la disminución en el pago de rescates representa una doble ventaja: reduce la financiación de grupos criminales y, a largo plazo, puede desincentivar este modelo de negocio ilícito. Sin embargo, también implica asumir la carga de una recuperación autónoma, lo que exige una madurez avanzada en ciberseguridad y cumplimiento normativo.
Para los usuarios, la tendencia refuerza la necesidad de buenas prácticas como el uso de contraseñas robustas, la autenticación multifactor y la precaución ante correos sospechosos.
—
### 8. Conclusiones
El descenso al 23% en la tasa de pagos de rescates por ransomware es un indicador positivo del creciente nivel de madurez y resiliencia de las organizaciones frente a esta amenaza. Sin embargo, no debe llevar a la autocomplacencia: la sofisticación de los ataques y la profesionalización de los grupos criminales exigen una vigilancia constante, inversión sostenida en ciberseguridad y cumplimiento de las mejores prácticas técnicas y legales.
(Fuente: www.bleepingcomputer.com)