Este 2025 está siendo un año marcado por los ataques cibernéticos a empresas en España. La constante evolución de la inteligencia artificial y la profesionalización de los ciberdelincuentes está afectando de lleno a las compañías, elevando el número de ataques en nuestro país. Ante esta situación, muchas empresas están trabajando en su ciberseguridad para protegerse de este tipo de riesgos; sin embargo, cuando un ciberdelincuente encuentra una brecha de seguridad por la que colarse, el tiempo de respuesta ante un incidente se vuelve de vital importancia.
Según datos analizados por Stoïk, insurtech europea especializada en riesgos cibernéticos para empresas con ingresos de hasta 1.000 millones de euros, si bien el 74% de los incidentes de ransomware sufridos en 2024 por las compañías consiguieron ser resueltos y su actividad restablecida en menos de una semana, solo un 22% de los casos lograron recuperarse en menos de 12 horas.
«La rapidez en la reacción ante un incidente no solo limita el impacto económico, sino que también es esencial para preservar la confianza de los clientes y partners. En un entorno cada vez más digitalizado, estar preparado para actuar con eficacia es más importante que nunca», explica Diego Montojo, Cyber Underwriter para Iberia en Stoïk.
Copias de seguridad bien configuradas
Sin embargo, existe una correlación entre la presencia de copias de seguridad bien configuradas y el tiempo de respuesta ante incidentes. Desde Stoïk han podido constatar que, en el 100% de los casos en los que existía copias de seguridad inmutables o completamente desconectadas de cualquier red informática, estando perfectamente configuradas, la gestión de los ataques por ransomware y su restablecimiento se produjo en menos de 12 horas.
En cambio, en todos los casos en los que el tiempo de gestión fue superior a una semana, las copias de seguridad de las empresas afectadas no estaban correctamente configuradas, o bien, lo estaban, pero los equipos informáticos no pudieron restaurar todos los archivos necesarios para reiniciar el sistema, lo que pone de manifiesto la importancia de tener las copias de seguridad bien configuradas.
“Un gran número de empresas creen tener sus copias de seguridad bien configuradas y restaurables cuando, en realidad, solo pueden restaurar una parte de los archivos. Mientras que restaurar un archivo o una máquina virtual es rápido, restablecer un servidor de archivos completo suele llevar varias horas más de lo previsto en el PCN (Plan de Continuidad del Negocio). Por ello, desde Stoïk, creemos que es importante que las compañías realicen dos pruebas anuales de restauración completa de copias de seguridad, para poder reiniciar la actividad rápidamente en caso de que suceda un incidente de ransomware”; afirma el Cyber Underwriter para Iberia de Stoïk.
Medidas preventivas
Gestionar un ataque producido por un ciberdelincuente no es una misión sencilla para los departamentos y equipos externos de ciberseguridad. Conseguirlo en el menor tiempo posible y sin que repercuta en gran medida a las compañías, es todavía, más difícil si cabe. Entre las soluciones no solo se encuentra la necesidad de tener las copias de seguridad bien configuradas, sino que hay que implementar una serie de cambios para estar preparados ante un posible incidente. Desde Stoïk, advierten de las 4 medidas para tratar de reducir al máximo el tiempo de recuperación tras un ataque:
● La preparación: es importante contar con procedimientos para la gestión de brechas de seguridad, como un plan de gestión de crisis, un PCN (Plan de Continuidad del Negocio), etc. Estos planes, ayudan a las empresas a anticiparse a posibles brechas y saber cómo actuar en caso de que ocurra. De igual forma, realizar ejercicios y simulaciones de gestión de incidentes de seguridad también podría reducir notoriamente el tiempo de recuperación.
● Sistemas EDR: la implementación de un sistema EDR (Endpoint Detection and Response) administrado está directamente relacionado con una reducción significativa en la frecuencia de los ataques de ransomware, gracias a sus capacidades de detección proactiva, aislamiento rápido e investigación avanzada. De esta forma, la implementación de un EDR permite generar y centralizar los logs de lo que sucede en el sistema de información para poder ser investigado.
● Copias de seguridad: también es importante contar con una copia de los datos y elementos críticos del sistema informático en un dispositivo físico que esté aislado del Directorio Activo, de esta manera, las compañías podrán recuperar antes esos sistemas e información crítica vital para su negocio.
● Autentificación Multifactor: uno de los puntos que más se recalca en el entorno cibernético de las empresas es la importancia de contar con una autentificación multifactor (MFA), con la que tratar de proteger de posibles agentes externos que quieran penetrar en la compañía.
