Liderazgo Capital Humano Actualidad

Los ataques de Ransomware van en aumento ¿Las empresas deben pagar?

La semana pasada, antes del feriado de Acción de Gracias en los Estados Unidos, el FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitieron un aviso instando a las organizaciones a tomar precauciones y prepararse para posibles ataques de ransomware. Como dijo la directora de CISA, Jen Easterly , “sabemos que los actores de amenazas no se toman vacaciones”.

MIT SMR México 10 Jun 2022

Los fines de semana y las vacaciones son los principales objetivos de los ciberdelincuentes. Durante el fin de semana del 4 de julio de 2021, Kaseya, una empresa de software con sede en EE. UU., Sufrió un ataque de ransomware en la cadena de suministro que afectó hasta a 1.500 empresas.

Los ataques de ransomware, un tipo de ciberataque en el que los piratas informáticos utilizan software malintencionado para incautar y bloquear el acceso a los sistemas informáticos y los datos hasta que se paga un rescate, han aumentado drásticamente desde el comienzo de la pandemia. De manera alarmante, la cantidad pagada por las víctimas aumentó más del 300% en 2020, totalizando aproximadamente $ 350 millones. El aumento de los ataques puede estar vinculado a varios factores: un uso más generalizado de redes remotas durante la pandemia de COVID-19, los piratas informáticos que se vuelven más sofisticados en sus enfoques y el crecimiento de las criptomonedas, lo que permite que los pagos de rescate se realicen más fácilmente.

Publicidad
Publicidad

Kaseya no pagó los 70 millones de dólares exigidos por el operador de ransomware REvil el verano pasado pero muchas otras empresas han sopesado la decisión y se han mostrado del lado opuesto, pagando para que sus sistemas vuelvan a estar en línea. Cuando Colonial Pipeline, uno de los operadores de oleoductos más grandes de los Estados Unidos, pagó 4,4 millones de dólares en bitcoins al grupo de ciberdelincuencia DarkSide en mayo de 2021, el director ejecutivo Joseph Blount comentó que la decisión era difícil pero que en última instancia, era “lo correcto para el país.”

En el panorama de amenazas actual, prepararse para los ciberataques y desarrollar la capacidad de recuperación contra los piratas informáticos debe convertirse en parte de la infraestructura de una empresa. Pero, ¿qué debería hacer una organización en el caso de un ataque cuando sus propios sistemas y datos están en juego?

En el Foro de estrategia de revisión de gestión de MIT Sloan de este mes , planteamos el tema a nuestro panel de expertos en estrategia y les pedimos que respondan a la siguiente declaración: Cuando los piratas informáticos toman datos como rehenes, las empresas deben pagar el rescate.

Discrepar

El resultado: casi las tres cuartas partes de los encuestados (73%) no están de acuerdo o muy en desacuerdo con que las empresas deban pagar. Pero la mayoría se apresura a notar que no es una pregunta sencilla. Como señala Ivan Png, “los hacks de datos presentan un problema de acción colectiva. Cada víctima individual preferiría pagar y recuperar sus datos. Pero cada rescate alimenta a los piratas informáticos y agrava el problema para todos “.

Richard Holden y Monika Schnitzer plantean la cuestión de la coordinación: ¿cómo pueden las empresas comprometerse y coordinarse de forma creíble entre ellas para no pagar y así desincentivar a los piratas informáticos? Schnitzer apunta a una solución prometedora: “Condicione la multa en la cantidad de rescate solicitado y cobrado, y asegúrese de que atrapen a los piratas informáticos”.

Como era de esperar, muchos de los que no están de acuerdo con el pago señalan la necesidad de disuadir a los delincuentes de llevar a cabo más ataques. Otros que no están de acuerdo también señalan que las empresas deberían centrarse más en prevenir ataques e invertir dinero en fortalecer las medidas de seguridad.

Ni de acuerdo ni en desacuerdo

En el medio, el 15% de los encuestados citan varios factores que dificultan estar de acuerdo o en desacuerdo de manera decisiva sobre el tema. Como escribe Anita McGahan, “Las circunstancias son críticas para discernir el mejor enfoque, que depende de la naturaleza de los datos, la naturaleza de la violación, los riesgos de divulgación, el nivel de redundancia y un trillón de otros factores”.

Al examinar ambos lados del problema, Nicolai Foss señala que “desde una perspectiva ética, no deberían pagar; sin embargo, no pagar puede amenazar la supervivencia de la empresa “. En lugar de prohibir la práctica de pagar rescates después de los ataques (algo que no se ha formalizado en la ley, aunque otros dos panelistas señalan una ley italiana única que prohíbe a las familias de las víctimas de secuestro pagar un rescate), Foss sugiere que un La solución es imponer mayores costos a los perpetradores, no a las víctimas: castigo más severo, más disuasión y prevención ”.

Estar de acuerdo

El doce por ciento de los panelistas está de acuerdo o muy de acuerdo en que las empresas deben pagar el rescate, señalando las razones del riesgo moral, superando la crisis inmediata y la creciente importancia de los datos como una ventaja competitiva como factores contribuyentes.

Como señala Tobias Kretschmer, “asumiendo que se trata de datos de consumidores (o de terceros), las empresas tienen el deber de cuidar de sus socios. Los piratas informáticos representan un riesgo de seguridad como cualquier otro, que en última instancia es responsabilidad de las empresas “. Joshua Gans señala la probabilidad de que otros sean pirateados si las empresas individuales pagan, pero también señala que esto habla de una cuestión política más amplia en contraposición al objetivo estratégico de la empresa de resolver el problema y pasar a invertir en prevención.

En resumen: el ransomware es una realidad desafortunada de la era digital moderna, y todas las empresas deben tomar medidas para identificar, mitigar y prevenir estos ataques. Se necesita una inversión inicial y un enfoque proactivo, pero podría evitarle tener que tomar una decisión terrible y desembolsar mucho dinero en el futuro.

ACERCA DEL FORO DE ESTRATEGIA SMR DEL MIT

Cada mes, el Foro de estrategia SMR del MIT plantea una sola pregunta a nuestro panel de expertos en los campos de los negocios, la economía y la administración. Se pide a los panelistas que estén de acuerdo o en desacuerdo con una predicción y brinden una breve explicación de su respuesta.

Esta página permite a los lectores interactuar con los resultados de cada encuesta. Puede ver la proporción de panelistas que están de acuerdo o en desacuerdo con cada predicción, qué tan seguros se sienten acerca de sus respuestas y el pensamiento detrás de sus respuestas. Para explorar los procesos de pensamiento de los panelistas individuales sobre cada pregunta, haga clic en la página de su historial de votaciones. Los lectores también pueden enviar sus propias sugerencias para temas futuros a smr-strategy@mit.edu .

SILLAS DEL FORO

Raffaella Sadun ( @raffasadun ) es profesora de administración de empresas en la Unidad de Estrategia de Harvard Business School. La investigación del profesor Sadun se centra en la economía de la productividad, la gestión y el cambio organizativo.

Timothy Simcoe es profesor asociado de estrategia e innovación en Questrom School of Business de la Universidad de Boston.

Annamaria Conti es profesora asociada de estrategia en la Facultad de Negocios y Economía de la Universidad de Lausana y se desempeña como coeditora del Journal of Economics & Management Strategy .

Fecha original de publicación : Nov. 30 2021