Estudios

Desde 2018, los ataques de ransomware al sector financiero le han costado a la economía mundial 32.300 millones de dólares solo en tiempo de inactividad

Desde 2018, los ataques de ransomware al sector financiero le han costado a la economía mundial 32.300 millones de dólares solo en tiempo de inactividad



Desde 2018 hasta junio de 2023, 225 organizaciones financieras se vieron afectadas por un ataque de ransomware. Estimamos que estas entidades han perdido más de 32.300 millones de dólares sólo en tiempos de inactividad.

Un ataque de ransomware a una empresa financiera, p. un banco, una compañía de seguros o una firma de contabilidad tiene el potencial de causar un caos masivo con sistemas cifrados y pone en riesgo datos confidenciales cruciales.



Para descubrir cuán devastadores pueden ser los ataques de ransomware en el sector financiero, hemos analizado los 225 casos de ataques confirmados contra estas empresas en todo el mundo. Utilizando nuestro rastreador mundial de ransomware, exploramos cada ataque en detalle para descubrir cuánto tiempo de inactividad se produjo, cuántos datos se robaron, cuáles fueron las demandas de rescate y si se pagaron o no rescates.

Tenga en cuenta: Si bien es posible que hayamos registrado una mayor cantidad de ataques en un país en comparación con otro, esto no significa necesariamente que sea más 'objetivo' de los atacantes. Más bien, la concienciación y la denuncia de tales ataques pueden ser más profundas. Por ejemplo, las herramientas y regulaciones de informes de violaciones de datos en muchos estados de EE. UU. ayudan a confirmar estos ataques. Esas mismas herramientas y regulaciones no existen en muchos otros países.



Resultados clave:

Desde 2018 hasta junio de 2023, encontramos:

  • 225 ataques de ransomware confirmados contra organizaciones financieras, siendo 2021 el año más afectado con 86 ataques en total
  • Más de 32,3 millones de registros individuales fueron vulnerados como resultado de estos ataques, al menos
  • Las demandas de rescate oscilaron entre 180.000 y 40 millones de dólares.
  • En promedio, los piratas informáticos exigieron 6,9 millones de dólares, lo que sugiere que en total se han exigido alrededor de 2.140 millones de dólares en pagos de rescate.
  • Los piratas informáticos recibieron 44,2 millones de dólares en pagos de rescate en sólo cinco ataques
  • El tiempo de inactividad varió de un día a 52 días
  • El tiempo de inactividad promedio por ataques ha sido consistentemente alto durante los últimos años (variando de 10 a 14 días).
  • El coste total del tiempo de inactividad se estima en 32.300 millones de dólares.
  • Las compañías de seguros sufrieron el mayor número de ataques (65)
  • LockBit fue la cepa de ransomware más dominante en 2022, pero fue superada por BlackCat/ALPHV en 2023 (hasta ahora). REvil y Conti fueron los más prolíficos en 2021, mientras que Maze llevó a cabo la mayor cantidad de ataques (donde se confirma la cepa de ransomware) en 2019/20.

Ataques de ransomware a empresas financieras por mes y año

Como ya hemos señalado, 2021 fue el año con mayor número de ataques de ransomware a empresas financieras, con 86 en total. 2020 fue el segundo año más grande con 56.

Aunque el número de ataques de ransomware disminuyó significativamente en 2022 (solo 39 en total), esto refleja la tendencia general del año pasado. Sin embargo, parece que en 2023 se producirá un aumento significativo de los ataques de ransomware.

Hasta finales de junio de 2023, nuestro equipo había registrado 24 ataques de ransomware confirmados contra empresas financieras. Esto es mucho más alto que los 16 observados en el mismo período de 2022. Muchos ataques no se confirman hasta aproximadamente un mes después del incidente, por lo que esperamos que estas cifras aumenten aún más.

Los piratas informáticos también parecen perseguir empresas de gran valor con grandes cantidades de datos. Al robar grandes cantidades de datos y cifrar sistemas, los piratas informáticos aumentan sus posibilidades de recibir un pago de rescate. Del mismo modo, incluso si una organización no paga, los datos financieros personales obtener una prima en la web oscura .

En 2022, se confirmó que poco más de 3,5 millones de registros se vieron afectados por ataques de ransomware. En lo que va de año, poco más de 14 millones de registros se han visto afectados. La gran mayoría de ellos se derivan del ataque a Latitude Financial de Australia en el que se vieron afectados 14 millones de registros. Inicialmente, la compañía dijo que 328.000 personas se habían visto afectadas, pero en un informe actualizado sobre la violación, dijo que hasta 14 millones podrían verse afectados. La organización se negó a pagar el rescate y ofrece ayuda a los clientes afectados a través de IDCARE.

LockBit robó otros 15 millones de registros del Bank Syariah Indonesia, pero, como explicamos a continuación, esto aún no ha sido confirmado por el banco, por lo que no se ha incluido en el análisis.

  • Número de ataques:
    • 2023 (a junio) – 24
    • 2022 – 39
    • 2021 – 86
    • 2020 – 56
    • 2019 – 13
    • 2018 – 7
  • Número de registros afectados:
    • 2023 (a junio) – 14.002.968
    • 2022 – 3,513,240
    • 2021 – 4,143,682
    • 2020 – 15,331,455
    • 2019 – 172,376
    • 2018 – 26,155
  • Tiempo de inactividad promedio:
    • 2023 (a junio) – 14 días
    • 2022 – 10 días
    • 2021 – 14 días
    • 2020 – 9 días
    • 2019 – 8 días
    • 2018 – 8 días*
  • Tiempo de inactividad causado (casos conocidos):
    • 2023 (a junio) – 158 días (11 casos)
    • 2022 – 76 días (8 casos)
    • 2021 – 244 días (17 casos)
    • 2020 – 83 días (9 casos)
    • 2019 – 32 días (4 casos)
    • 2018 – N/A*
  • Tiempo de inactividad estimado causado (basado en casos conocidos y promedio desconocido):
    • 2023 (a junio) – 340 días
    • 2022 – 386 días
    • 2021 – 1.210 días
    • 2020 – 506 días
    • 2019 – 104 días
    • 2018 – 56 días
  • Costo estimado del tiempo de inactividad:
    • 2023 (a junio): 4.200 millones de dólares
    • 2022: 4.800 millones de dólares
    • 2021: 15.100 millones de dólares
    • 2020: 6.200 millones de dólares
    • 2019: 1.300 millones de dólares
    • 2018: 698,5 millones de dólares

*No hubo cifras de tiempo de inactividad disponibles para 2018, por lo que se utilizó el promedio de 2019.

El verdadero coste de los ataques de ransomware a las organizaciones financieras

Como señalamos en la introducción, las demandas de rescate variaron entre 180.000 y 40 millones de dólares. Esto último fue solicitado por Phoenix CryptoLocker de CNA Financial Corporation (una compañía de seguros con sede en EE. UU.). Lo que quizás sea aún más sorprendente es que supuestamente la organización pagó el rescate dos semanas después de que sus sistemas fueran encriptados y los datos fueran robados.

Otras demandas de rescate elevadas incluyen:

  • Banco Sharia de Indonesia – 20 millones de dólares: En mayo de 2023, LockBit atacó a BSI y exigió un rescate de 20 millones de dólares. El banco se negó a pagar y desde entonces LockBit ha filtrado 1,5 TB de datos que supuestamente incluyen información personal y financiera de 15 millones de clientes. BSI aún debe confirmar esta cifra, por lo que no se ha incluido en nuestro análisis general.
  • Una llamada: 21,15 millones de dólares: La compañía de seguros con sede en el Reino Unido, One Call, recibió un rescate de £ 15 millones de DarkSide en mayo de 2021. No se confirmó si la compañía pagó el rescate, pero los sistemas tardaron alrededor de 12 días en restaurarse.

Con base en los datos disponibles, pudimos determinar lo siguiente (no hubo datos disponibles para 2018):

  • Demanda promedio de rescate:
    • 2023 (hasta junio): 9,3 millones de dólares
    • 2022 – $892,335
    • 2021: 20,5 millones de dólares
    • 2020: 4,1 millones de dólares
    • 2019: 1,7 millones de dólares
  • Rescate exigido (casos conocidos):
    • 2023 (hasta junio): 28 millones de dólares (3 casos)
    • 2022: 4,5 millones de dólares (5 casos)
    • 2021: 61,6 millones de dólares (3 casos)
    • 2020 – 12,3 millones de dólares (3 casos)
    • 2019: 3,4 millones de dólares (2 casos)
  • Rescate total pagado (casos conocidos):
    • 2023 (a junio) – N/A
    • 2022: 1,5 millones de dólares (2 casos)
    • 2021: 40,4 millones de dólares (2 casos)
    • 2020 – N.A.
    • 2019: 2,3 millones de dólares (1 caso)

Lo que está claro es que las demandas de rescate siguen siendo exorbitantes para el sector financiero. Pero con el tiempo de inactividad y los datos confidenciales en juego, no es una gran sorpresa que los piratas informáticos estén tratando de sacar provecho de la urgencia de poner los sistemas en funcionamiento y/o salvaguardar los datos.

Agregando tiempo de inactividad

El tiempo de inactividad es uno de los factores más importantes implicados en un ataque de ransomware. Si una organización tiene una copia de seguridad, puede restaurar sus sistemas rápidamente, lo que ayudará a mantener los costos al mínimo (al menos por el tiempo de inactividad; esto no tiene en cuenta los datos robados).

Utilizando los datos que hemos recopilado, hemos podido ver cuánto tiempo de inactividad han causado los ataques de ransomware en todo el sector financiero. Sistemas completos pueden dejar de funcionar durante días, semanas e incluso meses seguidos, provocando graves interrupciones en la empresa y sus clientes. Como sugieren nuestros últimos hallazgos, las organizaciones financieras pierden un promedio de dos semanas de tiempo de inactividad cuando son afectadas por un ataque de este tipo.

De acuerdo a un informe en 2017 , el costo promedio del tiempo de inactividad (en 20 industrias diferentes) es de $8,662 por minuto. Esto significa que las empresas financieras de todo el mundo han perdido aproximadamente 32.300 millones de dólares debido al tiempo de inactividad debido a los ataques de ransomware.

Aunque estos costos pueden parecer extremadamente altos, están en línea con algunas de las cifras publicadas por organizaciones afectadas por ransomware. Por ejemplo, Latitude Financial, que comentamos anteriormente, informó un costo de 95 a 105 millones de dólares australianos (64 a 71 millones de dólares estadounidenses) como resultado de su ataque.

A estudio 2017 de Information Technology Intelligence Consulting (ITIC) estimó el coste por hora del tiempo de inactividad en banca/finanzas en 9,3 millones de dólares. Esto es significativamente más alto que la estimación que hemos utilizado (que sería de $519,720).

Debido a que no existen estudios recientes ni estudios específicos sobre el tiempo de inactividad en finanzas, hemos optado por la cifra más baja de 8.662 dólares por minuto. Sin embargo, si utilizamos la cifra de ITIC, el tiempo de inactividad debido al ransomware podría haber costado a las organizaciones financieras hasta 580.700 millones de dólares.

El sector financiero es un objetivo clave para los piratas informáticos de ransomware

La caída del año pasado en los ataques de ransomware puede haber sido un alivio bienvenido, pero, como muestran nuestras cifras del primer semestre de este año, es probable que esto haya sido de corta duración. Del mismo modo, el año pasado notamos un cambio en la narrativa en torno al ransomware, y muchas organizaciones evitaron usar la palabra 'ransomware' al describir un incidente cibernético.

Este año, más víctimas parecen admitir haber sufrido un ataque de ransomware. Esto podría deberse en cierta medida a ataques a gran escala como los de Fortra y MOVEit. (Estos solo se incluyen en nuestro rastreador mundial de ransomware como ataques únicos, por lo que no se registra a cada víctima por separado).

Sin embargo, cualquiera que sea la narrativa en torno al ransomware, la amenaza sigue siendo alta. A medida que los piratas informáticos optan cada vez más por la doble extorsión, las organizaciones financieras no sólo enfrentan la preocupación del tiempo de inactividad sino también del robo de datos. Algunos ataques clave en lo que va de año incluyen a Latitude Financial, Globalcaja, FIIG Securities, Fullerton India y Bank Syariah Indonesia.

Metodología

Utilizando la base de datos de nuestro mapa de ataques de ransomware, nuestra investigación encontró 225 ataques de ransomware financiero en total. A partir de estos datos, pudimos determinar los montos de los rescates, si se pagaron o no y el tiempo de inactividad causado.

Si no se dieron cifras específicas para el tiempo de inactividad, es decir, se citaron 'varios días', 'un mes' o 'volver al 80 % después de 6 semanas', creamos estimaciones a partir de estas cifras basadas en la cifra más baja que podrían ser. Por ejemplo, varios días se calcularon como 3, un mes se calculó como el número de días del mes en que ocurrió el ataque y se utilizó el número de semanas citadas en las declaraciones de porcentaje de recuperación (por ejemplo, 6 semanas según el ejemplo anterior).

Para obtener una lista completa de fuentes, consulte nuestra rastreador mundial de ransomware.

^