Sophos Iberia hace balance de un año de pandemia… y ciberataques

TPB313, jun21. Según datos proporcionados por los 150 directivos españoles incluidos en la encuesta mundial de esta empresa de ciberseguridad, los rescates pagados por empresas españolas en el último año han tenido un coste medio de 103.567 dólares. Y eso multiplicado por el 44% de las empresas españolas que han sido víctimas de un ataque de ransomware en el último año, son muchos millones de euros. Es más, según Sophos, el coste de medio de recuperación tras un ataque de ransomware en la empresa española asciende hasta los medio millón de euros, el doble que hace un año.

ESTOS SON algunos de los highlights que Sophos Iberia presentó a los medios en su rueda de prensa virtual, en la que también anunció su cierre de año fiscal con un crecimiento del 13% y una facturación global de 938 millones de dólares a nivel corporación. De hecho, el crecimiento en España ha estado situado muy por encima, casi el doble, curva que esperan siga ascendente con la renovación de sus best-sellers, Sophos XDR y el Firewall XGS, sus soluciones de última generación, que ofrecen un ecosistema de ciberseguridad adaptativo a cualquier empresa.

De manera más concreta, Sophos, detallaba los resultados anuales de la compañía tras el cierre del FY21 (marzo de 2020/marzo 2021), registrando un crecimiento del 24% en la región de Iberia. El 70% de la facturación ha sido de tecnologías de nueva generación hacia las que se ha orientado la compañía en los últimos años, que básicamente se comercializan directamente a través del canal y MSP/MSSP bajo la fórmula del pago por uso. Desde Sophos destacan que la rentabilidad de la compañía está aumentando, con un ebitda del 35% (por encima del crecimiento de la compañía británica fundada en 1985) así como el crecimiento en la expansión de sus productos, aumentando en un 37% gestión de soluciones de ciberseguridad a través de Sophos Central, la plataforma Cloud de gestión unificada para las soluciones del fabricante que ya han adoptado más de 500 empresas.

Ricardo Maté, director general de Sophos Iberia (España y Portugal) desde 2016, y que desde el 1 de abril del presente ejerce también como responsable para el sur de Europa (que incluye Francia, Italia y Benelux), valora de forma muy positiva este crecimiento. “Ha sido un año excepcional para nosotros en lo profesional. En el mundo de la ciberseguridad han pasado muchas cosas. En Iberia estamos creciendo por encima de casi el doble de lo que crece la compañía a nivel global, multiplicando la facturación por tres en los últimos cinco años en la región. De forma general vemos como la ciberseguridad está impulsando los modelos de pago por uso, en los que hemos crecido un 52% durante el último año a través del modelo gestionado que proporcionan nuestros MSP y MSSP”.

Por su parte, el número de clientes y partners en Iberia continúa creciendo, a un ritmo de 2.000 clientes nuevos por año, lo que se ha traducido en 5.900 clientes transaccionales en España y Portugal durante el FY21. Por su parte, el canal cuenta con 820 partners que han vendido productos de Sophos a lo largo del FY21. “Tenemos un modelo channel-first, todas nuestras soluciones y tecnologías son para que sean comercializadas y explotadas por nuestra red de partners. Cada año vemos en key partners cómo crece su facturación en Sophos un 30-40%, nuestro portfolio es muy interesante para ellos. Además, estamos muy orgullosos del equilibrio logrado en la distribución de nuestra facturación, a partes iguales entre clientes corporativos, media empresa y pymes”, apunta Maté.

“Pero antes de nada, quisiera recordar cuál es la misión de nuestra empresa: proteger a las personas del cibercrimen mediante soluciones, productos y servicios para compañías de todos los tamaños, desde cinco usuarios a decenas de miles, y no solo gran cuenta, cubrimos todos los espectros, eso es bueno para España, país de pymes. Hemos crecido en ingresos por igual en los tres grupos, pero obviamente de los 2.100 nuevos clientes, por cada gran cliente nuevo, tenemos muchas más pymes. Actualmente hemos logrado que el 69% de nuestros ingresos procedan de nuestras tecnologías de next generation que ya suponen el componente más importante del negocio con unos ingresos recurrentes. Tenemos casi 6.000 clientes transaccionados, pero cada semana incorporamos clientes nuevos que firman a doce, 24 y algunos hasta 36 meses”.

Una vuelta de tuerca

El panorama de la ciberseguridad no ha dejado de evolucionar en el último año, en parte debido al impacto del coronavirus, que ha supuesto un cambio en el enfoque de ciberseguridad de las empresas. Este cambio se ha visto impulsado por la implementación de las cadenas de suministros, que obligan a proteger tanto las empresas como sus colaboradores, proveedores y socios para evitar ser víctimas de un ciberataque por la puerta trasera. Desde el punto de vista de negocio se está produciendo un cambio de tendencia, y es la importancia de la interconexión de toda la cadena de suministro y en la que se deben integrar las medidas de ciberseguridad con los proveedores, alianzas, medios de pago… La seguridad ya no es solo para proteger una compañía, sino para que toda nuestra cadena esté protegida”, señala Maté.

En segundo lugar, la migración masiva a la nube es ya una realidad, al igual que el teletrabajo, que también ha pulverizado los perímetros de seguridad de la red empresarial tal y cómo se conocían hasta el momento. No solo han cambiado los entornos empresariales, sino que los ataques también han cambiado. El panorama de ciberamenazas actual es más sofisticado y complejo, con los atacantes adaptando sus tácticas a las nuevas defensas empresariales y buscando la máxima rentabilidad con sus ataques: disminuyendo el número de ataques, sí, pero haciéndolos más dañinos y difíciles de frenar. “Pero tengo una buena noticia, que los defensores estamos ganando pese a las noticias que salen continuamente. La tecnología está evolucionando con Inteligencia Artificial frente a atacantes que cada vez automatizan más sus operaciones. Los ataques a la puerta trasera suelen estar automatizados, pero luego una vez conseguido ya suele ser más manual para preparar el ataque devastador”, explica el director general de Sophos Iberia, que advierte además de que los rescates demandados son cada vez más costosos.

El caso de libro fue el ataque de Solarwinds que se produjo a la cadena de suministro, ya no fue el ataque a una compañía, sino a miles de ellas. El directivo de Sophos también hizo referencia ha ataques como el de Acer por la cuantía que se pide por desbloquear los datos, nada menos que 50 millones de dólares, o el ataque último a un oleoducto estadounidense cuya consecuencia inmediata ha sido colas de coches en las gasolineras desabastecidas y subida del precio del combustible. Vamos, que el origen estará en el ciberespacio, perolas consecuencias se pagan en el mundo real.

“Lo que antes era comprar el paquete de antivirus o instalar un cortafuegos se ha quedado ya corto. En el nuevo panorama de la ciberseguridad las empresas deben pasar de la gestión de la seguridad a la monitorización constante 24 x 7 del entorno de la ciberseguridad, lo que implica contar con un ecosistema de seguridad adaptativo que sea capaz de proteger, detectar y responder, de manera automática e inmediata, adaptándose a las necesidades de seguridad de las empresas, y lo que es más costoso, requiere tener expertos para que actúen antes de que sea demasiado tarde”, explica Maté.

«Vemos como la ciberseguridad está impulsando los modelos de pago por uso, en los que hemos crecido un 52% durante el último año a través del modelo gestionado que proporcionan nuestros MSP y MSSP» (R. Maté, Sophos)

Desde Sophos hacen una serie de recomendaciones a las compañías y lo tienen muy claro: “En primer lugar, piensen en que van a sufrir un ataque sí o sí, si no lo han sufrido ya. Es fundamental contar con un buen sistema de backup, tanto online como offline, y si me apuran que sea en cinta inclusive”, enumera Maté. “Utilizar la protección por capas, utilizar las mejores tecnologías y profesionales para monitorizar los sistemas 24/7 y tener un plan de recuperación frente al malware. No tener un plan de recuperación supondrá que el coste de recuperación tras el ataque será mucho mayor. Y por supuesto, no ceder al chantaje y no pagar”.

No ceder al chantaje

A propósito del ransomware, Sophos compartió datos de su último informe “El Estado del ransomware 2021”, un estudio internacional llevado a cabo por Sophos entre más de 5.400 responsables de TI en empresas de todos los tamaños en 30 países de todo el mundo, en el que han participado 150 empresas españolas. Referidos a España, las principales conclusiones que arroja este estudio sobre las empresas en nuestro país reflejan que:

  • El 44% de las compañías españolas han sufrido un ataque de ransomware en el último año (superior a la media mundial del 37%, el caso más extremo es India con un 68%).
  • En el 42% de los casos los atacantes consiguieron cifrar sus datos (en este caso por debajo de la media mundial de 54%).
  • Además, el 45% de las compañías encuestadas considera que los ciberataques actuales son demasiados avanzados para sus equipos de TI.
  • Adicionalmente, el 21% de las empresas atacadas por ransomware pagaron el rescate, a pesar de que solo un 67% de las organizaciones que pagaron consiguieron recuperar la mitad o más de los datos cifrados durante el ataque.
  • El informe revela cómo el coste medio de recuperación de las empresas españolas se ha duplicado en el último año, desde los 260.000 euros en 2020 hasta alcanzar los 500.000 euros en 2021.
  • El coste medio del rescate pagado por las empresas españolas en el último año ha sido de 85.605 euros.

En cuanto a los sectores más afectados por el ransomware a nivel global destacan el sector de la educación y el retail, con un 44% de las empresas encuestadas de estos sectores siendo víctimas de ciberataques de ransomware, seguido por Business y Goverment. “Ha bajado el porcentaje de 73% a 54% de las empresas a las que les han cifrado los datos -en España el 42%-, pero suben las compañías que pagan rescate del 26% al 32% -en España el 21%- que reconoce haber pagado el rescate. Hay que decir que solo un 8% recuperaron el 100% de los datos, y un 29% consiguieron recuperar más de la mitad de sus datos”, dice Maté, que introduce un matiz importante: “estos índices se deben tanto a chapuzas del ciberatacantes a la hora de dar las claves para invertir el proceso como a que no hay tecnología tan sofisticada para un recovery total del cifrado, datos estos que no les interesa que se sepan ya que como hackes que se venden como servicio profesional su negocio quedaría en entredicho y la realidad es que un 63% no recuperaron después de pagar ni la mitad de lo que tenían antes”.

El coste medio del rescate fue de 170.694 dólares -103.567 en España- en empresas de menos de mil empleados, pero este va subiendo en proporción al número de trabajadores afectados (225.588 dólares de media en compañías hasta 5.000 empleados). “De hecho, el coste medio de recuperación tras un ataque de ransomware se ha duplicado en el último año, alcanzando los 500.000 euros en alguna empresa española, con un montante total de 1.850 millones de dólares”.

Por último, el informe revela que cada vez son más las empresas que consiguen detener el ataque y frenar el cifrado de datos, gracias a que las tecnologías antiransomware empiezan a funcionar, ya que un 53% de las empresas españolas atacadas pudo detener el ataque antes de que cifraran sus datos. Por otro lado, aumentan los ataques de tipo extorsionador, en los que no se cifran los datos, pero sí se pide un rescate a la empresa, pasando de un 2% a un 5% entre las compañías españolas durante el último año. Estos ataques son más sencillos para los ciberdelincuentes que no necesitan cifrar la información y simplemente amenazan a las víctimas con hacer pública la información supuestamente robada y cifrada si no se paga el rescate.

El as del ecosistema

En este panorama complejo y cambiante y con el objetivo de dar respuesta a las necesidades del mercado, Sophos acaba de actualizar su solución Sophos XDR que ofrece un verdadero ecosistema de ciberseguridad que aprovecha los datos de la red, el correo electrónico, los servidores y los endpoints para ofrecer una visión completa y profunda del entorno de ciberseguridad y enfrentar las amenazas antes de que ocurran. Sophos XDR aprovecha un repositorio compartido de datos acumulados, Sophos Data Lake, que almacena información crítica de soluciones como Sophos Intercept X, Sophos Firewall, Sophos Email y otras fuentes en la nube para realizar investigaciones de seguridad a través de todos los productos. La nueva solución XDR de Sophos permite a los administradores de TI de las empresas incorporar la información de toda la red a través de las soluciones de la compañía, para llevar a cabo una detección y respuesta frente a amenazas predictiva y automática dentro del entorno.

Sophos XDR y EDR forman parte del “ecosistema de ciberseguridad adaptativa” (ACE) de Sophos, una nueva arquitectura colectiva de inteligencia de amenazas multicapa que optimiza la información combinando la inteligencia de amenazas de SophosLabs, que analiza más de medio millón de muestras cada día (más de 12 DB almacenados) en una primera línea de defensa. El completo catálogo de Sophos compuesto por software, hardware y servicios en una segunda línea de detección y caza de ciberamenazas, basados en la aplicación de la IA para mejorar continuamente la protección de los equipos y adaptarse a lo que ocurra en la red, y que se convierten en sondas de información que reportan y alimentan el datalake.

“La recopilación de toda esta información en el repositorio de datos de Sophos permite, gracias a la Inteligencia Artificial, analizar toda la información histórica y ver si se están produciendo comportamientos sospechosos en la red o se han producido recientemente, gracias al acumulado de datos de 90 días que permite el datalake”, apunta Maté. “Una tercera línea está compuesta por nuestras APIs abiertas para que se puedan integrar en el ecosistema. Y la cuarta línea es la consola central que gestiona todo desde un único punto, no hay ninguna compañía de seguridad que ofrezca esta posibilidad con un portfolio tan amplio y que facilite la tarea tanto a los administradores como a los partners”.

Adicionalmente, la compañía también ha situado en el mercado la nueva generación de Firewall XGS, la mayor actualización de al firewall de Sophos de la historia, con un rendimiento mejorado y una protección avanzada contra los ciberataques. Los nuevos equipos de Firewall XGS cuentan con la mejor inspección de seguridad de la capa de transporte (TLS) del sector, incluida la compatibilidad nativa con TLS 1.3, que es hasta cinco veces más rápida que otros modelos disponibles en el mercado actualmente y que ofrece a las compañías la posibilidad de descifrar el tráfico que pasa por su red a la vez que mejoran su rendimiento en las aplicaciones. “El 90% del tráfico de red que pasa por un firewall es cifrado, si no podemos ver lo que es estamos en un grave problema, más del 50% del malware entra así. Y el 91% de las compañías declara que no descifran este tráfico porque es muy costoso en tiempo y en dinero”, cuenta del CEO de Sophos Iberia. “Nuestros firewalls sí permiten leer el cifrado, lo que permite multiplicar la efectividad de las inspecciones y acelerar el rendimiento al doble, condiciones necesarias para una estrategia de zero-day”.

«XDR y EDR forman parte del “ecosistema de ciberseguridad adaptativa” (ACE) de Sophos, una nueva arquitectura colectiva de inteligencia de amenazas multicapa que optimiza la información proporcionada por SophosLabs combinado con las APIs y una consola central» (R. Maté, Sophos)

Herramientas para el canal

Tras completar Toma Bravo la compra de Sophos, todo sigue igual, “permitiendo al equipo de dirección seguir haciendo su trabajo. La idea es seguir mejorando el edge y otros productos de próxima generación, e ir discontinuando los más legacy, y hacia esa tendencia se dirigirán las próximas inversiones. Estamos muy satisfechos que ya más de dos tercios de los ingresos provengan de los productos Next Gen”, explica Ricardo Maté.

Sophos asegura que es el único fabricante del mercado capaz de ofrecer la gestión completa de un portfolio tan amplio en soluciones y servicios de seguridad de una forma unificada, a través de su plataforma en la nube Sophos Central, tema crucial tanto para empresas con recursos limitados como para el canal que puede integrar y sumar la oferta de Sophos a su portfolio a través de una gestión de MSP/MSSP.

“En Sophos nos comprometemos a ofrecer las mejores soluciones de seguridad de nivel empresarial para proteger a las personas del cibercrimen mediante servicios que sean muy potentes, muy intuitivos y que sean los más eficaces del mercado. Diseñamos nuestras tecnologías de última generación para que sean accesibles y fáciles de utilizar para cualquier empresa y, con estos lanzamientos tan importantes, puedo afirmar que no existe ningún otro fabricante del mercado que esté cerca de lo que hemos creado”, apunta Carlos Galdón, nuevo director de canal de Sophos Iberia.

En España, el 98% de las pymes no tienen oportunidad de tener recursos expertos para controlar la ciberseguridad de la empresa, ni pueden pagar un SOC propio, por lo que la mejor opción es recurrir a trabajar con partners. Pero no todos lo partners tienen grandes recursos ni tienen su SOC 24×7, por eso Sophos pone a disposición del canal su SOC accesible y en precio al tamaño del cliente. “Y para los que ya llegan tarde y han sufrido un ataque, Sophos Rapid Response promete recuperar sus sistemas en 24-48 horas y saber qué ha ocurrido”, aclara. “El equipo del SOC está ubicado en EEUU, pero eso no es tan importante ya que son nuestros partners locales los que hacen de interfaz con sus clientes si hace falta algún tipo de traducción del inglés. Lo cierto es que tenemos previsto seguir creciendo en MTR y RR, lo que implicará abrir equipos en Europa con sus idiomas”.

En el asunto de la ciberseguridad, la concienciación es fundamental. “Las compañías en general no están concienciadas sobre la importancia de la ciberseguridad. Todavía hay falta de conocimientos, profesionalización del sector y mayor implicación de los gestores. Pero cuando la realidad prioritaria es subsistir, no se puede pedir ver con los ojos normales de una economía normalizada”, apunta Maté. “Sin embargo sí estamos en un camino hacia un modelo más digital, donde cada vez se aprenden más a la fuerza, bien cuando son atacados bien cuando les ha pasado a su vecino, es una manera triste de aprender, pero efectiva. A ver qué sucede con los fondos de España 2025. Se habla que va a haber dinero para las pymes y para la seguridad digital, a ver cuando se sepa más en concreto”.

Ninguna tecnología es efectiva si no se sabe aplicar, de ahí la importancia de la formación, y la necesidad de que las empresas vayan un paso más allá. “Muchos partners son revendedores de producto, de un antivirus o de un cortafuegos. Pero se lo tiran al cliente y se espera que el cliente se lo instale y lo cuide y esto ya no funciona. Tienen que dar un servicio de seguridad gestionada y este cambio es el que se espera y hacia ahí va todo nuestro go-to-market. Es fundamental dedicar una inversión previa a formarse más, a tener más expertos. En España hay un déficit de profesionales, y se están requiriendo 30.000 expertos en seguridad (3 millones en todo el mundo) y no se encuentran. Es para pensárselo, hay una alta demanda, con salarios atractivos, no hay paro y no necesariamente hay que ser joven para empezar”, cuenta Galdón.

Sobre el apoyo de Sophos a la formación del canal, comenta: “Hay un gran interés. Estamos teniendo eventos digitales con 300 partners registrados, como en el próximo Threat Hunting Academy, que ya va por la tercera sesión, donde explicamos la estrategia que pueden adoptar para llegar a las pymes con un buen plan. A lo largo del año pasado hemos tenido más de 1.500 asistentes a los webminars, y entre Sophos Academy y estos webminars más de 3.000 técnicos han sido formados durante 2020, eso supone un salto bestial. El canal está haciendo un gran esfuerzo, sobre todo los niveles Platinum y Gold”.

Pero hay más niveles, cada cual se adapta según sus recursos. “Todos nuestros productos y servicios se comercializan siempre a través de canal, en general hay dos tipos de partners: los que no tienen capacidad y revenden nuestros servicios a compañías más pequeñas, y los que tienen capacidad de hacer el threat hunting y trabajan sobre nuestras plataformas y herramientas sumando sus servicios. No somos competencia sino oportunidad”.

Obviamente, tienen un valor superior a vender una simple caja de antivirus. “Por eso el espectro de nuevos clientes es tan amplio. En 2020 más orientado en el endpoint por el teletrabajo y una adaptación muy fuerte de EDR, pero en firewall también hemos crecido y muchos otros clientes que usan todo. Se están incorporando MTR (en los servidores) que canibaliza algo al RR (servidores solo de correos), y XDR en la red y el perímetro”.

Por resumir, ¿cómo actuar para prevenir un ataque ransomware?: Primero de todo, tener una solución de detección; segundo, disponer de un servicio gestionado de la ciberseguridad; tercero, un plan de recuperación y bakcup; y cuarto, educar a los usuarios en lo básico con campañas de clic”.

«En general hay dos tipos de partners: los que no tienen capacidad y revenden nuestros servicios, y los que tienen capacidad de hacer el threat hunting y trabajan sobre nuestras plataformas y herramientas sumando sus servicios. No somos competencia sino oportunidad» (C. Galdón, Sophos)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: