La ley de Murphy

13 estadísticas sobre la gravedad de los ataques de ‘hackers’

“Tomarse la ciberseguridad a la ligera, pensando que nunca seremos víctimas de estos ataques, es un error muy inocente”.

Alguien me preguntaba si lo de los ataques era algo nuevo. Claro que no. En la conversación repasamos los casos de Box Correos y del Instituto Costarricense de Acueductos y Alcantarillados (AyA), en tiempos recientes, aparte de los numerosos casos de fraude a usuarios.

Cuando se reciben estadísticas de las empresas de ciberseguridad, sin embargo, uno se preguntaba sobre dónde estaban estos casos. Normalmente no se hacen públicos, por acuerdos de confidencialidad, y porque la legislación local es muy atrasada, tímida y desconocida sobre la obligación de las empresas e instituciones de informar a sus clientes o usuarios en caso de un hackeo a sus datos.

Lo vivido y sufrido en esta última semana con el ransomware Conti en el Ministerio de Hacienda y otras entidades sacaron a flote un ataque contundente y mostraron a incrédulos que es una situación real, que nos afecta.

“Tomarse la ciberseguridad a la ligera, pensando que nunca seremos víctimas de estos ataques ya sea en forma personal o en nuestras organizaciones, es un error muy inocente que podría tener grandes repercusiones económicas y operativas”, advirtió Jorge Utrera, gerente del área de respuesta a incidentes del CERT de Sistemas Aplicativos (Sisap).

Los principales ataques son los tipo ransomware, donde un tipo de código malicioso que secuestra información para luego extorsionar a su dueño mediante la exigencia del pago de una suma de dinero para recuperar la información o para evitar su divulgación. Como en el caso de Hacienda.

Otro tipo de ataques son los phishing y los Business Email Compromise (BEC).

El phishing es un ataque informático que busca conseguir datos personales de los usuarios mediante engaños, suplantando la identidad de organizaciones o personas, con el fin de engañar al usuario final y obtener sus credenciales, números de tarjeta de crédito, etc.

Los BEC son ataques muy bien planificados donde los cibercriminales logran a base de engaños infiltrarse en conversaciones de las organizaciones para obtener fondos de manera fraudulenta. En este tipo de ataque, los ciberdelincuentes estudian y aprenden con mucha paciencia (muchas veces hasta más de seis meses) sobre el funcionamiento de la organización y de sus operaciones financieras.

Algunas estadísticas brindadas por Sisap, con base en estudios de Sophos y Proofpoint, dan un panorama de lo que ocurre:

1. El ataque conocido como ransomware (41%) es la amenaza número uno en la región, seguido de cerca por los ataques tipo BEC (16%); ambos tipos de ciberataques se multiplicaron durante la pandemia.

2. El 54% de los ataques ransomware lograron con éxito descifrar los datos robados, poniendo en riesgo las bases de datos, que incluían información confidencial de la organización y clientes, entre otros.

3. El pago que las organizaciones hacen para recuperar los datos secuestrados por los ciberdelincuentes oscila entre los $10.000 y llegan a superar el $1 millón.

4. A pesar de realizar el pago por los datos robados o secuestrados, en promedio las organizaciones logran recuperar el 65% de la información, quedando el restante 35% completamente inaccesible.

5. Tan solo el 8% de las empresas que han pagado rescates, a cambio de su información, han logrado recuperar el 100% sus datos.

6. A pesar de que, en promedio, un 56% de los ataques ransonware no logran descifrar los datos de las organizaciones atacadas, el pago por extorsión a los ciberdelincuentes se duplicó en el último año.

7. El costo promedio en que incurren las organizaciones víctimas de ataques en países de Latinoamérica (Chile, Colombia, México, Brasil) es de $1,21 millones.

8. De acuerdo con el FBI, para el año 2021, los ataques tipo BEC son los más costosos ($2.396 millones). El FBI reportó un 100% de incremento en ataques BEC entre mayo 2018 y junio 2019.

9. En el 2020 el 57% de las organizaciones reportaron haber sido víctimas de un ataque exitoso de phishing respecto (en 2019 fue 55%).

10. Los departamentos más afectados por ciberataques son los de servicios generales o instalaciones físicas (17%) y mantenimiento (15%).

11. Los ataques tipo BEC se enfocan en 140 países, pero sus principales destinos son China y Hong Kong; en los últimos años se detectó un fuerte incremento hacia México, Reino Unido y Turquía.

12. Entre enero 2018 y junio 2019 ocurrió un incremento de 815% de casos de ataques BEC por “cambio de cuentas de planillas de colaboradores” solo en los Estados Unidos, afectando pequeñas, medianas y grandes empresas.

13. El 58% de los ataques BEC lograron robar dinero.

Carlos Cordero Pérez

Carlos Cordero Pérez

Carlos Cordero es periodista especializado en temas tecnológicos. Escribe para El Financiero y es autor del blog "La Ley de Murphy".

En beneficio de la transparencia y para evitar distorsiones del debate público por medios informáticos o aprovechando el anonimato, la sección de comentarios está reservada para nuestros suscriptores. El nombre completo y número de cédula del suscriptor aparecerá automáticamente con el comentario.