A pesar de ser uno de los métodos de ataque más antiguos, contando 36 velas este año desde que empezó a hacer víctimas, el ransomware sigue estando muy extendido y dando mucho miedo.
Italia, según la ACN, la Agencia Nacional de Ciberseguridad, es el tercer país de la Unión Europea, después de Alemania y Francia, más afectado por los ataques de ransomware y el sexto a nivel mundial.
Las víctimas favoritas de los piratas son las pequeñas y medianas empresas, sobre todo en la zona norte del país, la más productiva, y, en particular, aquellas empresas en las que aún no se ha desarrollado una cultura de ciberseguridad adecuada al riesgo actual.
Una situación tan grave que pone en peligro la seguridad nacional, como destaca el Informe sobre la Política de Seguridad de la Información 2025, dado que los ataques de ransomware también se utilizan cada vez más con fines de espionaje y sabotaje por parte de actores vinculados a los Estados.
Por estas razones, es probable que el panorama normativo italiano contra los ciberataques se dote pronto de otra herramienta: un nuevo proyecto de ley que fue presentado el 20 de marzo en la Cámara de Diputados por Matteo Mauri (PD) y que pretende reforzar la estructura defensiva de nuestro país contra los ciberataques y el ransomware en particular.
El núcleo del proyecto de ley, que consiste en un único artículo que delega en el gobierno para intervenir con decretos legislativos en un plazo de seis meses, es la prohibición del pago de rescates y la obligación de notificarlo al CSIRT en un plazo de seis horas. Además, se prevén medidas de inteligencia y un grupo de trabajo nacional, así como un fondo para las empresas afectadas.
En concreto, se trata de las nueve directrices básicas establecidas en la norma.
- Prohibición del pago de rescates por personas incluidas en el Perímetro de Ciberseguridad. La prohibición sólo puede derogarse mediante un acto del Primer Ministro en presencia de riesgos graves para la seguridad nacional.
- Obligación de informar al CSIRT Italia en el plazo de seis horas tras descubrir un ataque de ransomware, con sanciones administrativas en caso de incumplimiento. A su vez, el CSIRT tendrá que informar a la Policía Postal, a la autoridad supervisora (DORA) y, si procede, también al Ministerio de Defensa.
- Calificación del ataque como amenaza a la seguridad nacional y posibilidad de que el Primer Ministro active medidas de ciberinteligencia incluso en ausencia de una crisis manifiesta.
- Actividades encubiertas de la policía también en redes informáticas en el extranjero para investigar ciberdelitos.
- Plan de Acción Nacional de la ACN, con medidas operativas y preventivas para apoyar a las víctimas, especialmente a las PYMES y a las AP locales. Las acciones incluyen: asistencia para hacer frente al ataque, contención, restauración de los sistemas y evaluación de alternativas al pago del rescate.
- Creación de un grupo de trabajo nacional antiransomware en el CSIRT de Italia, con funciones de coordinación operativa, intercambio de información y apoyo a las víctimas.
- Incentivos económicos a ACN para la aplicación de las medidas previstas.
- Creación del «Fondo Nacional de Respuesta a Ataques de Ransomware», destinado a apoyar a entidades públicas y privadas en la compensación, aunque sea parcial, de las pérdidas económicas sufridas como consecuencia de un ataque. Sólo podrán acceder al fondo quienes demuestren haber notificado correctamente el incidente y haber seguido las directrices operativas de la ACN.
Ransomware: historia y desarrollo del príncipe de los ataques
Corría el año 1989 cuando, durante una conferencia sobre el SIDA, un biólogo llamado Joseph Popp distribuyó entre los presentes un disquete que contenía un ransomware llamado Troyano PC Cyborg y lo rebautizó como Troyano del SIDA. Éste encriptaba los nombres de los archivos con un método de cifrado y pedía un rescate de 189 $.
Así nació el ransomware hace 36 años. Desde entonces no ha dejado de evolucionar, cobrándose cada vez más víctimas y convirtiéndose en uno de los principales fantasmas de la Web.
Se trata de un malware que infecta los ordenadores y vuelve inaccesibles los datos con el objetivo de pedir un rescate para restaurarlos. Como su nombre indica: «ransom» en inglés significa «rescate».
La amenaza llega generalmente a través de correos electrónicos, disfrazados de comunicaciones oficiales, que incitan a los usuarios, normalmente empleados o colaboradores de una empresa u organización, a descargar archivos adjuntos o hacer clic en un enlace. Esta acción instala un software que actúa en segundo plano, bloqueando al usuario el acceso a los archivos del ordenador objetivo mediante un bloqueo criptográfico.
Desde el punto de vista de los delincuentes, se trata de una acción relativamente fácil, rentable y, por tanto, muy atractiva.
Para las empresas, en cambio, el daño es enorme, porque además del rescate propiamente dicho, las víctimas tienen que contar con la interrupción de su actividad, la pérdida o daño de sus datos, que a menudo no se restauran a pesar del pago del rescate, y, por último, el daño a su reputación.
Según el nuevo informe de Ransomfeed, que ofrece un análisis detallado de las tendencias mundiales del ransomware, las demandas mundiales de ransomware en el segundo trimestre de 2024 ascendieron a 1.747.
De ellos, 58 afectaban a Italia y suponían algo más de un ataque de ransomware cada dos días, un aumento de casi el 100% en comparación con el segundo trimestre de 2022.
El peso económico de los ciberataques
El coste medio de una violación de datos en Italia, según el reciente Informe sobre el Coste de una Violación de Datos 2024 de IBM, alcanzó los 4,37 millones de euros.
Los sectores manufacturero, sanitario y de servicios públicos se encuentran entre los más afectados. El aumento de los ataques ha hecho aún más evidente la fragilidad de la infraestructura digital de Italia.
A pesar del crecimiento y la mayor sofisticación de los ataques, lo que se desprende de los informes de los investigadores es, sin embargo, una preocupante falta de concienciación sobre las ciberamenazas, tanto entre las empresas como entre las instituciones públicas.
Una falta de concienciación que provoca respuestas inadecuadas y retrasos en la adopción de medidas de seguridad eficaces.
Además de los daños, también está la multa
En Italia, además de los daños antes mencionados, las víctimas de ransomware también están sujetas a sanciones en virtud de una disposición emitida en 2022 por el Garante per la protezione dei dati personali. Esto es una advertencia a las organizaciones de que deben equiparse mejor para la protección de datos y la gestión de riesgos cibernéticos.
Cómo defenderte
Para defenderse de este tipo de ataques, las medidas técnicas son ciertamente útiles.
Entre ellas, las más importantes son las estrategias de copia de seguridad, la gestión adecuada de las credenciales de autenticación y la instalación de sistemas de supervisión y anti-intrusión para detectar rápidamente cualquier «infección».
Sin embargo, dado que el ransomware es un método de ataque que explota el elemento humano aprovechando la vulnerabilidad, la distracción, la emocionalidad y, en general, la falta de una postura digital adecuada, es imperativo que las empresas y organizaciones inviertan hoy en excelentes cursos de formación que se actualicen continuamente e incluyan ejercicios prácticos y formación personalizada.
El objetivo es transformar el «factor humano» del eslabón más débil de la cadena al primer factor de defensa.