El porcentaje de víctimas que paga por ransomware cae al 28% pese al auge de ataques

Introducción

El panorama del ransomware continúa evolucionando a un ritmo vertiginoso, desafiando las estrategias de defensa y resiliencia de organizaciones de todos los tamaños. Según los últimos datos publicados, el porcentaje de víctimas que acceden a pagar el rescate exigido por los actores de amenazas ha caído a un mínimo histórico del 28% durante el último año, a pesar de que el número total de ataques reportados ha experimentado un aumento considerable. Este fenómeno marca un punto de inflexión relevante en la relación de fuerzas entre atacantes y defensores, y obliga a revisar las prácticas de gestión de incidentes y respuesta ante ciberextorsión.

Contexto del Incidente o Vulnerabilidad

Durante 2023, el ecosistema del ransomware ha sido testigo de una profesionalización continua de los grupos criminales, con la proliferación de modelos Ransomware-as-a-Service (RaaS) y una diversificación de las técnicas de presión sobre las víctimas, desde la doble extorsión hasta la publicación selectiva de datos robados. Sin embargo, la combinación de una mayor concienciación, la mejora de las capacidades de backup y recuperación, junto con la presión de organismos públicos y marcos regulatorios como el GDPR y la reciente directiva NIS2, han provocado que un número creciente de organizaciones se resistan a satisfacer las demandas económicas de los extorsionadores.

Detalles Técnicos

El auge de ataques de ransomware en 2023 se ha visto acompañado por la aparición de nuevas variantes y la explotación de vulnerabilidades críticas en software ampliamente utilizado. Grupos como LockBit, BlackCat (ALPHV) y Cl0p han liderado la actividad, explotando CVEs como CVE-2023-34362 (MOVEit Transfer), CVE-2023-0669 (GoAnywhere MFT) y CVE-2023-4966 (Citrix Bleed) para obtener acceso inicial a sistemas corporativos.

Los vectores de ataque más frecuentes han incluido el phishing dirigido (spear phishing), la explotación de servicios expuestos a Internet y el uso de credenciales comprometidas. Herramientas como Metasploit, Cobalt Strike y frameworks personalizados han sido ampliamente empleadas para la post-explotación, movimiento lateral y despliegue de cargas maliciosas. Según la taxonomía MITRE ATT&CK, las TTPs predominantes han abarcado técnicas como “Valid Accounts” (T1078), “Exploitation of Public-Facing Application” (T1190) y “Data Encrypted for Impact” (T1486).

En cuanto a indicadores de compromiso (IoC), se ha observado una evolución en los mecanismos de cifrado (con el uso de algoritmos híbridos y técnicas de “partial encryption”), direcciones de C2 ofuscadas y artefactos personalizados para eludir detección por EDR.

Impacto y Riesgos

El descenso sostenido de los pagos no ha disuadido a los grupos de ransomware, que han intensificado la presión, incrementando el número de ataques y diversificando los objetivos para maximizar la rentabilidad. La doble extorsión —amenaza de publicar datos sensibles— sigue siendo una táctica central, así como la triple extorsión, que añade la presión sobre socios o clientes de la víctima.

El impacto económico global del ransomware en 2023 se estima en decenas de miles de millones de euros, considerando costes directos e indirectos (interrupción operativa, respuesta a incidentes, reclamaciones legales y reputacionales). Sectores especialmente afectados han sido manufactura, sanidad, educación y administración pública, con un porcentaje creciente de ataques dirigidos a pymes.

Medidas de Mitigación y Recomendaciones

La caída en el porcentaje de pagos refleja una mayor resiliencia y preparación por parte de las organizaciones. Entre las medidas más efectivas destacan:

– Implementación de estrategias de backup 3-2-1, con copias offline y pruebas regulares de restauración.
– Segmentación de redes y aplicación de principios de mínimo privilegio.
– Actualización y parcheo proactivo de sistemas críticos, priorizando la remediación de CVEs explotados activamente.
– Despliegue de soluciones EDR y XDR con capacidades de detección de comportamiento anómalo.
– Formación continua en ciberseguridad para empleados, especialmente en la identificación de correos de phishing.
– Simulación regular de incidentes de ransomware en los planes de respuesta y recuperación.

Opinión de Expertos

Expertos en ciberseguridad como Brett Callow (Emsisoft) subrayan que la reducción en el pago de rescates es indicativa de una evolución positiva en la postura defensiva, pero advierten del riesgo de una escalada en las tácticas de presión y la posible aparición de nuevas modalidades de extorsión. Además, la reciente entrada en vigor de NIS2 obliga a un enfoque más proactivo en la gestión de riesgos y la notificación de incidentes, elevando el listón de cumplimiento para las organizaciones europeas.

Implicaciones para Empresas y Usuarios

Para los responsables de seguridad (CISOs), analistas SOC y equipos de respuesta, este escenario exige mantener una vigilancia constante sobre los activos expuestos, reforzar la colaboración con proveedores y partners, y actualizar los planes de continuidad de negocio. La disuasión del pago propicia una mayor presión sobre la prevención y la recuperación, así como una apuesta decidida por la transparencia frente a clientes, reguladores y stakeholders.

Conclusiones

El descenso del porcentaje de víctimas que pagan rescates representa un avance significativo en la lucha contra el ransomware, pero la amenaza persiste y se reinventa. La combinación de tecnología, procesos, personas y cumplimiento normativo seguirá siendo la clave para minimizar el impacto de estos ataques y dificultar el modelo de negocio de los ciberdelincuentes.

(Fuente: www.bleepingcomputer.com)