Según datos analizados por Stoïk, la primera insurtech de Europa especializada en riesgos cibernéticos para empresas con ingresos de hasta 1.000 millones de euros, si bien el 74% de los incidentes de ransomware sufridos en 2024 por las compañías consiguieron ser resueltos y su actividad restablecida en menos de una semana, solo un 22% de los casos lograron recuperarse en menos de 12 horas.
"La rapidez en la reacción ante un incidente no solo limita el impacto económico, sino que también es esencial para preservar la confianza de los clientes y partners. En un entorno cada vez más digitalizado, estar preparado para actuar con eficacia es más importante que nunca", explica Diego Montojo, Cyber Underwriter para Iberia en Stoïk.
Copias de seguridad bien configuradas, la clave del éxito de recuperación ante un incidente de ransomware
Sin embargo, existe una correlación entre la presencia de copias de seguridad bien configuradas y el tiempo de respuesta ante incidentes. Desde Stoïk han podido constatar que, en el 100% de los casos en los que existía copias de seguridad inmutables o completamente desconectadas de cualquier red informática, estando perfectamente configuradas, la gestión de los ataques por ransomware y su restablecimiento se produjo en menos de 12 horas.
“Conseguir recuperar toda una empresa tras un incidente de ciberseguridad en tan poco tiempo es toda una proeza. Esto ha sido posible gracias al avance de la tecnología, entre otros factores. Por ello, desde Stoïk trabajamos en la concienciación y la lucha por mejorar constantemente, ofreciendo el mejor servicio del que disponemos a nuestros asegurados” apunta Montojo.
En cambio, en todos los casos en los que el tiempo de gestión fue superior a una semana, las copias de seguridad de las empresas afectadas no estaban correctamente configuradas, o bien, lo estaban, pero los equipos informáticos no pudieron restaurar todos los archivos necesarios para reiniciar el sistema, lo que pone de manifiesto la importancia de tener las copias de seguridad bien configuradas.
“Un gran número de empresas creen tener sus copias de seguridad bien configuradas y restaurables cuando, en realidad, solo pueden restaurar una parte de los archivos. Mientras que restaurar un archivo o una máquina virtual es rápido, restablecer un servidor de archivos completo suele llevar varias horas más de lo previsto en el PCN (Plan de Continuidad del Negocio). Por ello, desde Stoïk, creemos que es importante que las compañías realicen dos pruebas anuales de restauración completa de copias de seguridad, para poder reiniciar la actividad rápidamente en caso de que suceda un incidente de ransomware”; afirma el Cyber Underwriter para Iberia de Stoïk.
Medidas preventivas que pueden ayudar a las empresas a recuperarse tras un ataque cibernético
Gestionar un ataque producido por un ciberdelincuente no es una misión sencilla para los departamentos y equipos externos de ciberseguridad. Conseguirlo en el menor tiempo posible y sin que repercuta en gran medida a las compañías, es todavía, más difícil si cabe. Entre las soluciones no solo se encuentra la necesidad de tener las copias de seguridad bien configuradas, sino que hay que implementar una serie de cambios para estar preparados ante un posible incidente. Desde Stoïk, advierten de las 4 medidas para tratar de reducir al máximo el tiempo de recuperación tras un ataque:
● La preparación: es importante contar con procedimientos para la gestión de brechas de seguridad, como un plan de gestión de crisis, un PCN (Plan de Continuidad del Negocio), etc. Estos planes, ayudan a las empresas a anticiparse a posibles brechas y saber cómo actuar en caso de que ocurra. De igual forma, realizar ejercicios y simulaciones de gestión de incidentes de seguridad también podría reducir notoriamente el tiempo de recuperación.
● Sistemas EDR: la implementación de un sistema EDR (Endpoint Detection and Response) administrado está directamente relacionado con una reducción significativa en la frecuencia de los ataques de ransomware, gracias a sus capacidades de detección proactiva, aislamiento rápido e investigación avanzada. De esta forma, la implementación de un EDR permite generar y centralizar los logs de lo que sucede en el sistema de información para poder ser investigado.
● Copias de seguridad: también es importante contar con una copia de los datos y elementos críticos del sistema informático en un dispositivo físico que esté aislado del Directorio Activo, de esta manera, las compañías podrán recuperar antes esos sistemas e información crítica vital para su negocio.
● Autentificación Multifactor: uno de los puntos que más se recalca en el entorno cibernético de las empresas es la importancia de contar con una autentificación multifactor (MFA), con la que tratar de proteger de posibles agentes externos que quieran penetrar en la compañía.
“Aunque las empresas en España cada vez están mejor protegidas, lo cierto es que aún hay mucho camino por recorrer en términos de ciberseguridad. Se trata de un riesgo muy grande para las empresas y todas deben de ser conscientes de que, en algún momento, pueden ser atacadas. Por eso, la pregunta no es si van a ser afectadas sino cuándo lo van a ser.”, apunta Montojo. “Es importante que las empresas comprendan que no basta con contar con avanzadas herramientas de prevención; este debería combinarse con un seguro cibernético que pueda cubrir los daños en caso de siniestro. Precisamente, en Stoïk apostamos por esta combinación, porque creemos en la importancia de centralizarlo todo bajo un mismo paraguas, lo que facilita enormemente la comunicación y la gestión con las empresas”.