Ransomware, ¿quién paga la fiesta?

Corporaciones, aseguradoras e industria de ciberseguridad, abocadas a colaborar para frenar la incidencia creciente de las ciber-extorsiones

Con más de 500 asistentes, presenciales y en remoto, Espacio TiSec se ha consolidado en esta edición como la jornada monográfica de referencia en lo que atañe a la lucha contra el ransomware y al estado del arte de la oferta y la demanda de productos orientados a cubrir daños causados por ciberataques, así como la articulación de este incipiente nicho de mercado en el sector asegurador y de su cadena de valor. Durante dos días, una decena de grandes referentes, como Javier Candau (CCN), Juan Sotomayor (Guardia Civil), así como Andrés Peral y Daniel Largacha (Mapfre) o la abogada Paloma Llaneza, entre otros, dieron su punto de vista sobre cómo acabar con esta “ciberpandemia” y el papel de las aseguradoras. Espacio TiSec contó, además, con la participación de expertos de Alvarez&Marsal, Aon, Check Point, CrowdStrike, Kaspersky, One eSecurity, S2 Grupo, Stormshield y Tokio Marine HCC.

El ransomware –palabra que mezcla los conceptos ‘rescate’ y ‘software’–, es un viejo conocido de la historia negra de la informática. El primer ataque de este tipo conocido sucedió en 1989 cuando un investigador que luchaba contra el sida, Joseph Popp, distribuyó 20.000 disquetes entre investigadores de más de 90 países explicándoles que contenía un programa para analizar el riesgo de cada persona a contraer la enfermedad. Sin embargo, al abrirlo se activaba un malware, tras 90 inicios del ordenador, que impedía usarlo si no se pagaban 179 euros. Desde ese ataque, que fue conocido como ‘PC Cyborg’, el cibercrimen ha convertido a los programas maliciosos que secuestran la información a cambio de un rescate en su principal fuente de ingresos. Se calcula que, solo el pasado año, dos tercios de las empresas estuvieron expuestas a este riesgo en mayor o menor medida, provocando pérdidas globales que rondan los 19.000 millones de euros. Para analizar los grandes retos frente a esta amenaza, Revista SIC organizó en abril una nueva edición de su Espacio TiSec, bajo el lema ‘Ransomware: quién paga la fiesta’.

Nueva área ‘antiransomware’ del CCN

Las jornadas, con el aforo completo, comenzaron con una conferencia del Director de Ciberseguridad del Centro Criptológico Nacional (CCN), adscrito al CNI, Javier Candau. En su intervención, dio a conocer en primicia que, debido a la carga de trabajo que supone ayudar a los entes públicos que sufren ransomware –sólo el año pasado el organismo registró más de 150 incidentes de este tipo, algunos de alto impacto–, se ha creado una nueva área de coordinación centrada en este tipo de ataques para dedicar al resto del equipo a los Ataques Persistentes Avanzados (APT), su prioridad y otros tipos de especial impacto. Sólo en 2021, el CCN registró más de 13.000 en entidades públicas. Candau recordó, de cualquier forma, que el ransomware tiene un objetivo eminentemente económico, no como el espionaje, así que “siempre se busca al más débil”. En este sentido, pidió mayores esfuerzos a las administraciones públicas por cuya ciberseguridad vela. Cuando se sufre un ransomware “no vale decir que me ha tocado a mí. Algo tendrás que hacer para que no suceda”, destacó pidiendo mayores esfuerzos para, entre otros aspectos, que todos los organismos se adecuen al ENS y usen la tecnología y herramientas que ofrece el CCN para reducir el riesgo.

También, aprovechó para repasar algunos de los ataques más significativos en cuya resolución ha participado el CCN. ¿Su conclusión? “Que con un poco más de vigilancia y un nivel de seguridad adecuado se consigue mucho”. Además, aconsejó, sobre todo cuando se apuesta por el teletrabajo, realizar auditorías continuas del nivel de protección e implementar el doble factor de autenticación. Por último, pidió más colaboración con el sector privado.

Proactividad y colaboración policial

A continuación, el Responsable del Departamento de Delitos Telemáticos de la Guardia Civil –que cambiará su denominación en breve a Departamento contra el Cibercrimen–, el teniente coronel Juan Sotomayor, recordó que, “en España, no hay ningún ámbito delictivo que haya crecido más en el último lustro que la cibercriminalidad, con un 36% más de casos desde 2014, y con un 88% de los delitos con motivación económica”.

Frente a ello, puso en valor esfuerzos de organizaciones como Europol que lleva “años desarrollando y liderando iniciativas policiales en este ámbito” o con el grupo de trabajo impulsado por EE.UU. para luchar contra él y en el que hay más de 30 países, entre ellos también ahora España. Asimismo recordó otros foros de colaboración, como EC3 o las iniciativas J-CAT y EMPACT, desarrollados con dinero de la UE, donde se está logrando una gran colaboración y éxitos notables. También, hizo especial hincapié en la necesidad de luchar contra la forma de monetizar las extorsiones del ransomware a través de grupos de respuesta internacionales. Los que ya hay “cada vez funcionan mejor y se enfocan a objetivos de alto valor centrándose en los ‘facilitadores’ de este tipo de ataques”. Terminó resaltando la necesidad de “cambiar de enfoque: hay que ser más proactivos, compartiendo información” y apostando por una estrategia de “acción conjunta”.


Petición de colaboración

Durante el encuentro, el inspector de la Policía Nacional, Alberto Francoso, Jefe del Servicio de Análisis de la Ciberseguridad y la Cibercriminalidad de la Oficina de Coordinación Cibernética (OCC), intervino brevemente para dar a conocer la presencia española en el Grupo Antiransomware, creado en 2021 por EE.UU., y del que España es responsable del grupo de colaboración público-privada. En este sentido, recordó que el organismo tiene un correo-e, ses.occ@interior.es, abierto para que cualquier experto aporte propuestas para su debate en esta iniciativa.

La encrucijada del ciberriesgo

Acto seguido, José Carlos Jiménez, Cyber Senior Underwriter para el Sur de EMEA y Latinoamérica de Tokio Marine HCC, profundizó en el contexto del riesgo cibernético y cómo las ciberpólizas “sostienen a grandes empresas”, colaborando la propia aseguradora con la compañía para “ayudar a mitigar la probabilidad de ocurrencia y los efectos de estos incidentes”. En este sentido, destacó que el 18% de los problemas cibernéticos ya son por ransomware y que “el reto, cuando se sufre, no es sólo retomar la actividad cuanto antes, sino hacerlo igual que antes de haber sufrido el incidente”. También, subrayó que el sector asegurador contribuye a mejorar la madurez cibernética de las compañías, además de ser un pilar importante en la gestión de crisis. Eso sí, puntualizó que “desde Tokio Marine HCC, antes de dar el visto bueno a una póliza, evaluamos el riesgo cibernético de la compañía pidiendo, entre otros aspectos, una estrategia y analizando todo lo que es importante para la continuidad del negocio, así como el histórico de incidentes y, también, qué se ha hecho para que no vuelvan a ocurrir”. De hecho, la empresa ha “desarrollado un marco de trabajo con las mejores prácticas de seguridad y en el que se define y califican, de 0 a 5, varios ámbitos” para que la empresa sepa, en ciberprotección “donde está, cómo mejorar y cómo justificar las inversiones necesarias para ser más maduros en este aspecto”. También, destacó la protección que aporta realizar pruebas de intrusión de forma regular, simulaciones de phishing o revisar de forma habitual el plan de continuidad de negocio. Concluyó recordando que el riesgo cibernético es una de las mayores preocupaciones para las empresas y que aún lo hace más preocupante el entorno cambiante en que vivimos. Por ello, el ciberseguro y lo que representa también está en continua evolución.

El rol de los mediadores

Un papel del que saben mucho los especialistas de la multinacional Aon. Espacio TiSec contó, precisamente, con dos de sus referentes como son Verónica Jimenez, Head of Cyber Insurance, y Claudia Gómez, Executive Director de Aon Financial & Profesional Solutions. Ambas plantearon cómo su trabajo se desarrolla “entre dos aguas”, destacando su aportación a la “compartición de riesgos entre el asegurado y la aseguradora”. Resaltaron el importante coste que supone para los seguros cubrir este tipo de incidentes “cuyo mayor gasto no es el rescate, sino las pérdidas que supone la interrupción del negocio y los gastos asociados”. En este sentido, plantearon que “se está llegando a un punto de inflexión donde realmente se ve si una empresa es asegurable o no. E, incluso, en caso positivo, se piden todo tipo “de medidas adicionales con cuestionarios que hay que responder de decenas de páginas, con preguntas muy detalladas”.


“Muchas empresas han usado las pólizas como ‘primera línea de defensa’ y esto no puede suceder: si no haces lo que tienes que hacer no vas a conseguir que te aseguren”, recordó Gómez. La buena noticia es que en España hay aseguradoras que quieren suscribir el riesgo. “Pero también hay un endurecimiento del mercado, con primas y coberturas menores, una suscripción más detallada y, donde antes se ofrecían mejoras, ahora hay limitaciones frente a posibles eventos de ransomware”, añadió Jiménez. De cualquier forma, aunque consideraron que “no todos los riesgos son transferibles, sí hay soluciones y todas pasan por evaluar en primer lugar y, en segundo, saber gestionar el riesgo para cuantificarlo”. “Y cuanto antes se haga mejor”, concluyeron.

Cálculo de prima en tiempo real

Especialmente novedosa fue la intervención de Julio San José, Managing Director de Transformación Digital y Ciberseguridad de Alvarez & Marsal, que expuso su enfoque de “reporte de datos de riesgos de ciberseguridad, para el recálculo de la prima en tiempo real”. Esta aproximación innovadora, que ya se ha probado con éxito en otros ramos como la automoción, permite a la aseguradora y al asegurador contar con información en tiempo real de su grado de madurez de ciberprotección y el riesgo que se asume para recalcular la póliza de forma continua. “Desde Alvarez & Marsal proponemos medir los riesgos de forma diferente, para pasar de hacerlo una vez al año o cada pocos meses a hacerlo al momento o en periodos más cortos” porque “tecnología para medir de forma continua hay”. Así, mostró y propuso un “esquema de monitorización de riesgo continuo”. Compartiendo la información a través de una “aplicación blockchain con la aseguradora, sabiendo que no es confidencial, pero de forma que sí sirva para transmitir un perfil de riesgo a la aseguradora, para que pueda incluir esta información y adaptar la prima”. Una propuesta que, según destacó San José, permite que “el día que se firma digitalmente la póliza, se acepte el framework de riesgos con todo lo que tenga que estar inventariado”. Y, en el caso de ocurrir un incidente, se “consulta cuál es la última configuración del cliente y se recalcula la póliza. Así, se pasa de un proceso estático a uno continuo”, concluyó.

Eusebio Nieva, Director SE para Iberia de Check Point, comenzó destacando en su intervención la cuidada organización de las redes criminales que se dedican al ransomware. Por eso, es “importante saber de dónde partimos y a quién nos enfrentamos y contar con un plan de defensa, ya que en el nuevo perímetro el usuario no está en nuestro CPD, sino en SaaS, en la nube, usando shadows IT y trabajando en todo tipo de dispositivos y desde diferentes ubicaciones, como su hogar”. Por eso, su aproximación pasa por “meter al usuario en una ‘burbuja protegida’ para que, con tecnología, conocimientos y defensas se pueda proteger su información”. En este sentido, Nieva mostró diferentes herramientas y propuestas que permiten anticiparse a posibles amenazas y recuperarse de incidentes. Así, destacó la importancia de contar con “segmentación de red, doble factor de autenticación, herramientas específicas antiransomware y threat prevention y de la denominada Defensa en Profundidad”. “En definitiva aplicar de forma efectiva el concepto de Confianza Cero”.

También, fue optimista en la forma en que la tecnología puede ayudar a “reconocer las amenazas a los usuarios”, permitiéndoles actuar de forma preventiva. Por ello, destacó la importancia de anticiparse y remediar la ‘detonación del ransomware’ contando con sistemas como EPP, EDR, sandboxing y threat hunting, entre otros. “Los ataques de ransomware se pueden prevenir y se van a llegar a evitar. Surgirán otros, sí, pero lo importante es que con las defensas adecuadas se terminarán parando”, finalizó.

La regla del “1-10-60”

Las conferencias del primer día finalizaron con Luca Nilo Livrieri, Senior Manager Sales Engineering para el Sur de Europa de CrowdStrike, quien dio a conocer la visión de la compañía y cómo hacer frente a lo que denomina “un nuevo adversario híbrido”. De hecho, recordó que, según datos de inteligencia de la compañía, los ataques con doble extorsión con ransomware han crecido en todo el mundo en 2021 un 82% –de 1.474 a 2.686–. Y a esta situación hay que sumar, en muchas ocasiones, una tercera extorsión “basada en la posibilidad de ser difamados al comunicar la situación, por parte de los propios criminales, a los medios de comunicación”.

También, alertó de la cada vez mayor rapidez para ejecutar estos ataques, ya que “se ha pasado de 9,42 horas en 2018, a poco más de 1,38 horas el año pasado”. Y eso que para remediarlos se tarda, de media, “162 horas”. “Por eso, proponemos aplicar nuestras reglas de 1-10-60, que se basan en contar en un minuto con capacidades para detectar, 10 para investigar y 60 para responder, gracias a la monitorización continua y asistencia las 24 horas del día”. Nilo finalizó poniendo en valor la plataforma Falcon de la compañía, que ha cumplido una década, y destacando la importancia de contar con visibilidad para proteger a usuarios y empresas, aplicar la mencionada norma ‘1-10-60’, conscientes de que la velocidad de respuesta es vital y, también, disponiendo de protección de nueva generación”.

Más allá de lo legal

La segunda jornada comenzó con una ilustrativa conferencia de la reconocida abogada, experta en tecnología, Paloma Llaneza, CEO de Legaltech. “La única forma de minimizar los ciberriesgos, como otros, es identificarlos y cuantificarlos”, comenzó destacando. En este sentido, recomendó encarecidamente a las empresas que tienen ciberpólizas dedicar un tiempo a conocer con precisión qué cubren y qué no, porque “suele ocurrir que se produce un incidente y se acometen actuaciones que luego están fuera de lo acordado”. “Por mucho que quieras que te cubran los daños, si están fuera de lo contratado, las aseguradoras no lo harán”. También, recomendó ser claros y transparentes con las aseguradoras: “es mejor decir la verdad que ser acusado de haberse inventado cosas o no haberlas declarado”, ya que uno de los grandes debates cuando las aseguradoras son reclamadas por un siniestro es si la empresa conocía o no el riesgo… y lo ocultó. “Todos los contratos de seguro excluyen el dolo. Si se hace algo mal, a propósito, no se cubre”.

Recordó, además, que el sector asegurador está apostando por diferentes modelos para limitar el riesgo que asume, como el acuerdo que ha llevado a cabo Hiscox y la española Leet Security para contar con una calificación de las empresas o de Mapfre RE que se ha asociado con Kovrr para gestionar el riesgo ‘ciber’. Llaneza terminó su intervención destacando que “tener una póliza no excluye el riesgo, ni tener que pagar. Por eso, incluso contando con ella, es mejor actuar como si no se tuviera y la importancia de que el equipo de TI tenga claro desde el primer momento, en caso de ransomware, qué cubre y qué no. No vale escudarse luego en el ‘yo creía”.

Lecciones aprendidas

Quizá, una de las ponencias más esperadas fue la protagonizada al alimón por Andrés Peral, Director de Seguridad en Sistemas de Información de Mapfre, y Daniel Largacha, Director del SOC. Ambos mostraron, con precisión y en profundidad, las lecciones aprendidas durante y tras el severo ataque de ransomware que sufrió la multinacional española el 14 de agosto de 2021, destacando las mejoras que, a su alta madurez de entonces, han sumado. El ataque “fue muy sofisticado y preparado con muchos medios”, destacó Largacha quien, también, puso en valor todo el trabajo hecho en ciberprotección por la empresa que cuenta con un CERT desde 2009. “El problema es que estos grupos criminales siempre van un paso por delante preparándose lo que vas a hacer”, resaltó Peral.

De cualquier forma, “el impacto del ataque fue parcial, pero muy doloroso”, añadió “ya que afectó al servicio que se da al cliente, actividades comerciales…”. Eso sí, la respuesta de la empresa fue ejemplar, convocando entre otros aspectos el comité de crisis en minutos y teniendo al personal técnico en una hora trabajando sobre ‘el terreno’. Y el problema, en el caso de Mapfre, es que “la operativa normal, en estos casos, de cortar las redes, no levantar nada, aislarlas no es viable porque prima el servicio al cliente y esa metodología puede llevar semanas”, destacó Peral. Así que se apostó por poner “a la empresa en un estado ‘de letargo’ y disparar un plan de recuperación, basado en el negocio, teniendo en cuenta que atender a nuestros clientes era una prioridad” y que se llegaron a tener más de 3.000 dispositivos Windows cifrados.


Entre las lecciones aprendidas destacó que, por ejemplo, “la persona que ‘apaga el fuego’ no puede comunicar la información al comité de gestión de crisis, porque puede descuidar en los primeros momentos la parte técnica, que es la primordial”, añadieron. También, fue importante que se convocaran comités locales de crisis en los 40 países en los que está presente la empresa para coordinar una respuesta, con la mayor agilidad posible. “Es fundamental tener claras las prioridades”, explicó Peral, quien se mostró orgulloso de la ayuda que, en general, toda la comunidad de ciberseguridad dio a Mapfre, “mucho más allá de lo profesional o comercial”. Ambos expertos también destacaron la transparencia de la compañía comunicando el incidente, a través de más de 250 acciones. “Y se entendió perfectamente”.

Entre sus conclusiones resaltaron la importancia de “elevar la ‘línea base de ciberseguridad’, tener un nivel homogéneo en todo y reforzar las capacidades reactivas de la organización, además de contar con capacidades avanzadas de detección y respuesta, al igual que la cultura de ciberseguridad y de sentir que forma parte del ADN de la organización”. “Y tener claro que, al final, en un incidente de este tamaño lo que cuenta es lo que tú sepas y tengas: nadie va a venir a resolverlo como lo deberías hacer tú: eres el que conoce el escenario, el contexto, la red… Nadie va a ayudarte mejor que tú mismo”.

Diferentes velocidades

Después, Alfredo Zorzo y Aitor Azpiroz, Director de Ciberseguros y Director Global de Respuesta a Incidentes de One eSecurity, respectivamente, hablaron sobre el impacto de las soluciones y servicios en el abaratamiento de las primas poniendo en valor que el equipo de más de 50 especialistas de la compañía ha ayudado en más de 200 investigaciones complejas, en todo el mundo, en incidentes de ransomware.

Para ejemplificar cómo actuar, Azpiroz expuso dos casos concretos, uno de una empresa mediana, con 50 millones de facturación, y otro de una gran empresa, con más de 2.000 millones de negocio, y cómo encararon este tipo de situaciones. “No todos los casos son iguales, cada situación es diferente con distintas capacidades de ciberseguridad, momentos concretos en los que se detecta el ataque y eso hace que una decisión adecuada para un momento no lo sea para otro”, explicó Zorzo. “El reto en muchas ocasiones es identificar el impacto, su origen y poder restaurar los sistemas con esa información”, comentó Azpiroz.

De cualquier forma, alertó de la importancia de contar con sistemas proactivos, ya que en el caso de la mediana empresa pasaron tres días desde que se produjo la intrusión hasta que se ‘detonó’ el ransomware. Por ello, la compañía, entre otras medidas, incrementó el presupuesto para ciberseguridad un 2.000% tras ese momento, mejorando su estrategia, ampliando el equipo técnico dedicado e implementando sistemas de gestión de credenciales, control de acceso, de dispositivos, monitorización, además de conocer cómo activar un ciberseguro y contar, si se dispone, con el equipo de respuesta de la aseguradora.

También, fue ilustrativo el caso de una gran empresa, que llamó a One eSecurity al sexto día desde la intrusión “y eso que el antivirus llevaba días alertando de una posible amenaza”. De cualquier forma, Azpiroz destacó que la dirección estuvo alineada con el equipo de respuesta y que todos los sistemas y profesionales actuaron correctamente, mostrando una gran madurez en ciberprotección. “Esto es importante porque las compañías de ciberseguros ahora son muy exigentes y antes de permitir la contratación de una póliza realizan decenas de preguntas –se ha pasado de cuestionarios de 30 ó 50 preguntas a más de 200–, visitas a la empresa y análisis para cerciorarse de que, por ejemplo, se cumplen con marcos como el de NIST para conocer el riesgo. Ahora si no cumples… no tienes póliza”, destacaron.

Demasiados incidentes

A continuación, Antonio Sanz, Head of DFIR de S2 Grupo, mostró el impacto que tiene disponer de soluciones y servicios gestionados de ciberseguridad en el abaratamiento de las primas “porque hay que tener siempre claro que estos grupos no son una amenaza a largo plazo: están para ganar el máximo dinero posible con el menor esfuerzo”, destacó. Precisamente, lamentó que cada vez haya más ataques con éxito en todo tipo de empresas y los que ayudan en este tipo de crisis “estamos literalmente con el ‘agua al cuello’, gestionando dos o tres incidentes de importancia al mes”. “Y lo más preocupante es que el riesgo “se puede mitigar o transferir”, pero “no se puede eliminar”, ya que “el ransomware es una amenaza que genera excesiva incertidumbre y ello supone que las empresas menos preparadas no sean capaces de conseguir asegurarse ante él. No salen a cuenta a las aseguradoras”.

Así pues, recomendó apostar por una gestión del riesgo eficaz que permita, también, disponer de este tipo de ciberpólizas. “Si reducimos el riesgo de impacto reducimos la incertidumbre. Y eso gustará a una aseguradora que mejorará las condiciones que nos ofrece”. Por ello, también recomendó hacer más planes de concienciación en las empresas, con simulacros de forma regular –para ver que se cuenta con la preparación y procedimientos adecuados–, así como auditorías continuas para ver lo que se está haciendo bien y lo que hay que mejorar. No faltó en su ponencia la referencia al papel del CISO, ya que consideró que “un impacto significativo en una compañía es la muerte del CISO pero, si se aplican medidas para bastionar y responder de forma eficiente, se mitiga el riesgo. Hay que mostrar, en el día a día, la diligencia debida y hacer lo mejor que se pueda con los recursos que se tienen”. Y en esto, recordó que “es fundamental contar con un buen proveedor de servicios y soluciones de seguridad gestionada”.

Más ciberinteligencia

A continuación, Dani Creus, Lead Security Researcher de Kaspersky, analizó cómo la tecnología puede ayudar a hacer frente a incidentes de ransomware. “Es ya muy robusta y nos permite aprovechar el ‘efecto cascada’: si paramos a uno podemos detener a todos”. “La seguridad –recordó– es un proceso, no un estado”. En este sentido, recomendó, antes de elegir una tecnología, consultar los test internacionales de empresas independientes que elaboran rankings con los mejor valorados.

Lamentó que el cibercrimen cuenta con una organización y especialistas de alto nivel a los que es costoso hacer frente. “Y cada vez van más allá: cuando no consiguen entrar con tecnología en una empresa directamente intentan sobornar a trabajadores que actúen de insiders”. Puso como ejemplo que se llegó a ofrecer a un empleado de Tesla casi 480.000 euros por facilitar la introducción de malware en la empresa. “Aunque cada vez más, simplemente, se compra el acceso en el mercado negro”.

De cualquier forma, sí aplaudió los esfuerzos que se están haciendo en el ámbito internacional con iniciativas como la de EE.UU. de ofrecer 10 millones de dólares de recompensa por facilitar la desarticulación de grupos de ransomware como Darkside, Conti o Revil.

Creus también recomendó a las empresas apostar por la “defensa en capas”, probar su protección con simulacros y tener una política adecuada de copias de seguridad, comprobando que realmente funciona en todo tipo de crisis. Además, recordó la importancia de la inteligencia para actuar proactivamente, poniendo como ejemplo el ofrecimiento y colaboración de Kaspersky en este ámbito con cuerpos y fuerzas de seguridad y organismos, como Europol. “Es imposible acabar con el cibercrimen sin una colaboración real de los que luchamos contra él y debería ser más fluida”.

Dispositivos IoT

Finalizó la jornada con Antonio Martínez, Country Manager para Iberia de Stormshield. En su intervención, mostró un caso real de un ataque de ransomware que comenzó en una fábrica a través de una máquina de café conectada a la nube.

Frente a este tipo de ataques, destacó el en enfoque de la compañía europea, propiedad de Airbus, que dispone de diferentes herramientas y estrategias para hacer frente a este tipo de incidentes, ya sea protegiendo el punto final, las redes o evitando el phishing, “origen de gran parte de los ataques y que, en el caso de variantes como LockBit 2.0, también exfiltran información, además de cifrar datos”. En este sentido, recomendó invertir en capacidades que eviten el ‘movimiento lateral’ para detectar el ransomware antes de que se active. Por eso, “y dado que hay diversas técnicas de ataque, también hay que contar con capacidades y protección combinadas de forma que una funcione donde otra no lo ha conseguido”.

Además, recomendó invertir en capacidades como el análisis de comportamiento y monitorizar la red con frecuencia para detectar el ransomware en su fase de cifrado más temprana y reducir su impacto.

COLOQUIO DÍA 27
¿Está ganando la industria la ‘carrera’ al lado oscuro?

“El reto es contribuir a mejorar las cosas porque hay que intentar ir, al menos, al ritmo de los ‘malos’”, destacó Jiménez. “Y no hay que olvidar que estar más preparado también supone contar con pólizas mejores y menos cuantiosas”, explicaron las dos ejecutivas de Aon. “Lo más positivo es que, cuando se colabora, se ve que lo que aporta uno lo mejora otro. Todos evolucionamos y aprendemos”, añadió Nieva, a la vez que San José consideró el buen nivel, “aunque mejorable”. Además, destacaron que la mejor forma de conocer el grado de ciberseguridad de una compañía es realizar simulaciones y entrenar a los empleados.

¿Está ganándose la ‘carrera’ al ‘lado oscuro’? Los participantes destacaron que aún queda por hacer. “Estamos en el buen camino observando cierta reducción en los ataques de ransomware”, comentó Gómez a la vez que Jiménez resaltó que una compañía que está haciendo bien las cosas también tendrá la ventaja de poder contratar una póliza de ciberriesgo. “De hecho, cuando se produce un incidente mejora su protección todo el sector”, resaltó Jiménez. “Es importante la colaboración porque permite también una mejor velocidad de respuesta”, agregó Nilo. En definitiva, “la distancia se acorta cada vez, pero, seguramente, cuanto más nos acerquemos a ellos más se alejarán con otros tipos de ataques”, lamentó San José.

COLOQUIO DÍA 28
Es el camino: más colaboración, acciones ofensivas e inversión para acabar con las extorsiones cibernéticas

En ella, Creus comenzó destacando que, frente al ransomware, hay que cambiar muchas veces de enfoque: “si hacemos siempre lo mismo, tendremos los mismos resultados”, recordó citando a Albert Einstein y enfatizando que, además de invertir en recursos tecnológicos y humanos, es importante la presión política, como la actual estrategia del presidente de EE.UU., Joe Biden, que ponga “nerviosos a los cibercriminales”, aunque no debería ser la única medida de presión. “El problema es que los ‘malos’ invierten en muchas ocasiones más que los ‘buenos’ y el balance está desequilibrado a su favor”, añadió Martínez.

Zorzo recordó que, a las consecuencias económicas del ransomware, se suma que también es empleado para actos de ciberguerra “y, en el caso de las empresas, este supuesto nunca está cubierto por las ciberpólizas”. “El ransomware, de cualquier forma, es un problema económico y va estar presente muchos años, aunque podemos trabajar en reducir su impacto”, añadió Azpiroz. “Pero se pueden hacer cosas para desincentivar a los que atacan con él: hay que ser más ‘robustos’, colaborar más, promover la lucha policial, disponer de más inteligencia y hacer que en muchos casos desistan del ataque por considerarlo poco rentable”, afirmó Sanz.

Además, todos destacaron el papel que juega el sector asegurador que, además de permitir transferir parte del riesgo, aporta unas exigencias que redundan en la mejora de la madurez de ciberseguridad de las empresas. “Y hay que tenerlo muy en cuenta: vive de saber gestionar riesgos y cuando uno es insostenible, actúa”, comentaron los participantes, apostando por incrementar la colaboración del sector privado. No faltó también la crítica a la necesidad de ser más ofensivos “como ha hecho el FBI y Europol actuando en el ciberespacio, cerrando páginas de venta de productos ilegales en la Dark Web”.

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×