La eficacia de las defensas contra ransomware se desploma: solo un 3% frena la exfiltración de datos

Introducción

El ransomware continúa consolidándose como una de las amenazas más devastadoras para las organizaciones, a pesar de los constantes esfuerzos en mejorar las defensas. El último informe Picus Blue Report 2025 revela un preocupante descenso en la capacidad de prevención, especialmente en lo relativo a la exfiltración de datos, que apenas alcanza un 3% de eficacia. Este dato pone de manifiesto la urgente necesidad de replantear estrategias de ciberseguridad y adaptar las defensas a las técnicas y tácticas cada vez más sofisticadas de los grupos de ransomware.

Contexto del Incidente o Vulnerabilidad

En los últimos años, el ransomware ha evolucionado radicalmente. Ya no se limita al cifrado de datos, sino que emplea técnicas de doble y triple extorsión para maximizar el impacto y la presión sobre las víctimas. Los atacantes han perfeccionado la fase de exfiltración, robando grandes volúmenes de información sensible antes de ejecutar el cifrado y amenazando con su publicación si el rescate no es abonado. El informe de Picus Security, basado en miles de simulaciones y pruebas de ataque en entornos corporativos reales, evidencia que las actuales soluciones de defensa—tanto preventivas como de detección y respuesta—no están logrando frenar de manera efectiva estos ataques.

Detalles Técnicos

El Picus Blue Report 2025 analiza las capacidades de defensa frente a los principales vectores y tácticas de ransomware, empleando matrices como MITRE ATT&CK para clasificar los TTPs observados. Entre los CVEs más explotados por grupos de ransomware durante el último año destacan:

– **CVE-2023-34362** (MOVEit Transfer): Explotado para acceso inicial y exfiltración masiva de datos.
– **CVE-2023-0669** (GoAnywhere MFT): Utilizado en campañas de ransomware-as-a-service (RaaS) para comprometer infraestructuras críticas.

Las técnicas predominantes identificadas son:

– **Initial Access (TA0001)**: Phishing, explotación de RDP y vulnerabilidades zero-day.
– **Exfiltration (TA0010)**: Uso de herramientas legítimas como Rclone, Mega o Cobalt Strike para extraer datos.
– **Impact (TA0040)**: Cifrado y destrucción de backups locales y remotos.

El informe destaca que los exploits empleados por los atacantes suelen estar disponibles en frameworks populares como Metasploit y Cobalt Strike, lo que reduce la barrera técnica para la proliferación de estos ataques. Además, se han detectado indicadores de compromiso (IoC) relacionados con la infraestructura de exfiltración, dominios de comando y control (C2), y hashes de archivos maliciosos asociados a familias como LockBit, BlackCat y Clop.

Impacto y Riesgos

El descenso de la tasa de prevención global al 62% y, especialmente, la caída hasta el 3% en la prevención de exfiltración de datos, suponen un riesgo crítico. La publicación de datos confidenciales en la dark web o su venta a terceros puede provocar daños económicos y reputacionales de gran alcance. Se estima que el coste medio de un incidente de ransomware en Europa supera los 1,85 millones de euros, cifra que aumenta exponencialmente cuando se produce una filtración de datos personales o estratégicos.

A nivel regulatorio, la incapacidad para prevenir exfiltraciones puede conllevar sanciones severas bajo el Reglamento General de Protección de Datos (GDPR) y la inminente directiva NIS2, que refuerza los requisitos de ciberresiliencia en sectores críticos.

Medidas de Mitigación y Recomendaciones

Ante este panorama, los expertos recomiendan una estrategia multicapa que combine:

– Segmentación de red y control estricto de accesos privilegiados (PAM).
– Monitorización continua y detección de movimientos laterales y exfiltración mediante soluciones EDR/XDR y DLP avanzadas.
– Actualización y parcheo inmediato de servicios expuestos y aplicaciones de transferencia de archivos.
– Simulaciones regulares de ataques, incluyendo pruebas de exfiltración (BAS—Breach and Attack Simulation).
– Revisión y endurecimiento de configuraciones de backup, asegurando copias offline y pruebas periódicas de recuperación.
– Formación continua de usuarios para minimizar el riesgo de phishing y abuso de credenciales.

Opinión de Expertos

Según Nuria Roca, CISO de una multinacional tecnológica con sede en Madrid, “la tendencia descendente en la prevención de exfiltración es alarmante y debe verse como una llamada de atención urgente. Los atacantes, cada vez más profesionalizados, aprovechan la velocidad de explotación y la falta de visibilidad de las organizaciones. La clave está en combinar inteligencia de amenazas, automatización y análisis forense para detectar y contener la amenaza antes de que los datos salgan del perímetro”.

Implicaciones para Empresas y Usuarios

Para las empresas, el reto no es solo proteger los datos ante el cifrado, sino asegurar que la información crítica no pueda ser sustraída sin ser detectada. La presión regulatoria y el coste reputacional de los incidentes exigen una revisión profunda de las estrategias de prevención. Los usuarios deben estar concienciados sobre el papel que juegan en la cadena de seguridad, especialmente en la protección de credenciales y el reporte de actividades sospechosas.

Conclusiones

El Picus Blue Report 2025 deja claro que las defensas tradicionales contra ransomware están fallando en la fase más crítica: la exfiltración de datos. Ante la profesionalización de los grupos de ransomware y la adopción de tácticas cada vez más agresivas, las organizaciones deben evolucionar hacia modelos de seguridad proactivos, con especial foco en la visibilidad, la automatización y la respuesta temprana. Solo así será posible minimizar el impacto y cumplir con las crecientes exigencias regulatorias y del mercado.

(Fuente: www.bleepingcomputer.com)