La mayoría de las infecciones de ransomware en empresas e instituciones europeas no se informan a las autoridades. También se desconoce cuántas víctimas se infectan y si pagan el rescate. Eso complicaría el enfoque del ransomware.
Enisa, la agencia de ciberseguridad de la Unión Europea, escribe en un informe que tiene poca información sobre las víctimas del ransomware. Para su investigación, la agencia analizó 623 incidentes tanto en la UE como en el Reino Unido y los Estados Unidos que tuvieron lugar el año pasado. En total, se robaron diez terabytes de datos. En el 58 por ciento de los casos, también se robaron datos de los empleados. Enisa utilizó informes de empresas y gobiernos, publicaciones de medios y blogs y, en algunos casos, mensajes en la dark web.
Una conclusión notable del informe es que, en el 94.2 % de todos los incidentes, ENISA no pudo determinar si la empresa pagó el rescate. En el 37.88 por ciento de los casos, los datos se compartieron posteriormente en Internet y fueron robados durante el ataque. “De esto podemos concluir que el 61.12 por ciento de todas las empresas han llegado a un acuerdo con los atacantes o han encontrado otra solución”, escriben los investigadores. En el caso de infecciones de ransomware, se ha convertido en norma que los atacantes también amenacen con hacer públicos los datos robados, como un medio adicional de presión sobre la víctima. Esto sucede en la gran mayoría de los casos.
Los investigadores también dicen que la cantidad de casos estudiados es "solo la punta del iceberg". En realidad, la cantidad de infecciones de ransomware sería mucho mayor. Según los investigadores, esto es difícil de determinar porque muchas víctimas no hacen públicos sus incidentes o no los denuncian a las autoridades.
Eso también dificulta la investigación adicional sobre ransomware, dice Enisa. En muchos casos, las víctimas no pueden o no quieren decir cómo entraron los atacantes por primera vez. Combinado con el hecho de que los pagos de ransomware a menudo se realizan en secreto, "ese enfoque no ayuda a combatir el ransomware, sino todo lo contrario", escriben los investigadores.
ENisa aboga por mejores reglas que requieran que se informen los incidentes cibernéticos. Esto será más posible bajo la Directiva de Seguridad de Redes e Información o NIS2. Se trata de una normativa europea que se está elaborando actualmente y que obligará a las empresas de determinados sectores a notificar los ciberincidentes.