La decisión sobre pagar o no cuando los cibercriminales retienen datos como rehenes depende de las elecciones que tomaron los líderes empresariales mucho antes del ataque.
El negocio del ransomware está en auge: en los Estados Unidos solamente, la frecuencia de esta forma de ciberataque aumentó un 200 por ciento entre 2019 y 2021.
Es una amenaza urgente, sin embargo varios líderes de organizaciones quedan petrificados cuando le sucede a su empresa. A todo esto, ¿qué es el ransomware?
Este es un tipo de malware que utiliza el cifrado para evitar el acceso a los datos en la máquina infectada, paralizando el sistema informático. Los culpables del ataque luego exigen el pago a cambio de descifrar los archivos y restaurar el acceso a los sistemas infectados.
Guacamaya Leaks: Los 10 secretos que quedaron al descubierto tras el hackeo más grande en México
Esta técnica nació en la década de 1980, pero se convirtió en una amenaza importante para las empresas después de 2010, debido al auge de las criptomonedas (el modo de pago preferido por los delincuentes).
Este tipo de amenaza es una de las más crueles para las empresas porque está cargada de incertidumbre, lo que hace difícil planear una respuesta acertada.
Muchas organizaciones, con el ánimo de salir victoriosas y de forma rápida de este ciberataque deciden pagar los “rescates”, aunque esta decisión pueda significar una carga financiera importante y los resultados positivos no están asegurados.
En un estudio reciente hecho a 300 empresas, el 64% reveló que habían experimentado un ataque de ransomware en los últimos 12 meses anteriores, y un asombroso 83 por ciento pagó el rescate.
A pesar de que la cifra de negocios que pagaron fue exorbitante, solamente el 5 por ciento de ellas recuperaron sus datos, mientras que el 63 por ciento solamente rescataron la mitad.
Otras empresas que fueron víctimas de estos ataques incluso recibieron una demanda para hacer un segundo pago de rescate (a pesar de haber pagado el primero en tiempo y forma), lo peor de estos últimos casos en cuando la mesa directiva de las compañías acceden a pagar nuevamente y nunca reciben la clave para recuperar sus datos o les es entregada alguna que no funciona.1
Las organizaciones que deciden no pagar también asumen costos en términos de tiempo de inactividad comercial y pérdida de ingresos. Y las organizaciones que no están preparadas, sin un sistema de respaldo confiable o un plan de respuesta a incidentes, terminan sufriendo más, no solo financieramente sino también en términos de reputación.
Si tu organización es afectada por un malware similar, debes de tomar en cuenta que el primer paso que deberás tomar será notificar a las autoridades policiales, y si corresponde, a aquellas instituciones encargadas de la protección de datos digitales.
Pero el escenario que le espere a tu empresa después de avisar a las autoridades, corresponde enteramente a qué tan bien preparada esté tu organización para manejar este tipo de ataques.
Este artículo tiene como objetivo ayudar a los equipos de alta dirección a decidir qué hacer a través de seis preguntas aclaratorias. Considerar estas preguntas mucho antes de un ataque podría impulsarlo a tomar algunas medidas críticas que podrían desarmar la amenaza o permitir que su organización responda mejor y se recupere más rápidamente si ocurre un ataque.
Los ataques de Ransomware van en aumento ¿Las empresas deben pagar?
Cuando el grupo criminal especializado en ataques randomware, REvil atacó la compañía de software Kaseya en julio del 2021, los atacantes tardaron solamente dos horas en encontrar los puntos vulnerables de los servidores de Kaseya e instalar el software malicioso en organizaciones dependientes de la empresa.
El tiempo que tardó REvil en atacar fue minúsculo, pero en general el tiempo que toman las compañías en reaccionar a este tipo de emboscadas es tardado; por lo tanto, adoptar una mentalidad de “asumir los riesgos” brinda a las empresas con un enfoque de cero confianza en sus sistemas y prioriza sus procesos de detección de amenazas y recuperación de datos.
Este tipo de enfoque también brinda a las compañías un pensamiento más proactivo y de prevención.
Para el ransomware en particular, tener una comprensión profunda del estado de las copias de seguridad en la organización es el primer paso crítico en la preparación. Tener una copia de seguridad limpia y actualizada, así como la capacidad de evitar que el ransomware la cifre, brinda a las organizaciones su primera ventaja estratégica.
Sin embargo, tener copias de seguridad no es suficiente en sí mismo: las organizaciones también deben confirmar o mejorar su capacidad de recuperación utilizando estas copias de seguridad en caso de emergencia, con pérdidas o contratiempos mínimos.
Esta capacidad todavía está subdesarrollada en muchas organizaciones: el 58% de las copias de seguridad de datos falla durante un intento de restauración.
Es fundamental que las organizaciones prueben periódicamente su capacidad de recuperación para que no se enfrenten a una sorpresa desagradable cuando se presente una crisis.
También se debe tener en cuenta que las pandillas de ransomware intentan localizar y cifrar las copias de seguridad. Mantener las copias de seguridad en una ubicación externa y no conectada al resto de la red hace que sea extremadamente difícil encontrarlas.
Al considerar los preparativos, los líderes de la organización también deben confirmar que sus equipos de TI hayan planificado acciones detalladas en un manual de respuesta a incidentes y que esté actualizado, que los miembros del personal pertinentes lo entiendan bien y que lo practiquen con frecuencia.
Esto es esencial para evitar que el malware se propague, acelerar la recuperación y preservar la evidencia para la aplicación de la ley.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha proporcionado una guía de ransomware que detalla las mejores prácticas para prevenir y responder a un ataque de ransomware, y el Instituto Nacional de Estándares y Tecnología brinda una buena guía para proteger los datos del ransomware.2
Punto decisivo: Si tienes una copia de seguridad limpia y actualizada y una capacidad de recuperación confirmada, no es necesario pagar el rescate; los delincuentes no tendrán influencia.
¿Qué es el grooming y cómo puedes cuidar a tu familia de este delito cibernético?
Los tipos de amenazas de ransomware se han multiplicado desde la aparición de las mismas, sin embargo también lo han hecho las defensas en su contra.
Los investigadores que se dedican a la investigación de las diversas “cepas” que se han desarrollado de estos malwares ahora publican recursos de acceso abierto en línea con varias claves de descifrado.
Al evaluar sus opciones después de un ataque, las organizaciones deben verificar estos recursos, y consultar con las autoridades policiales federales, para ver si ya existe una solución a su problema.
También deben revisar los informes de inteligencia de amenazas ofrecidos por las organizaciones de investigación de seguridad cibernética y los proveedores para obtener información sobre la empresa criminal en particular que los ataca.
Es de gran valor comprender exactamente con quién está tratando, ya que entender el origen de la pandilla que lo ataca es de suma importancia para saber cuál es el destino que puede sufrir su compañía o si es o no viable pagar el rescate.
Desde la llegada del modelo comercial de “ransomware como servicio”, cualquiera puede participar en esta forma de extorsión afiliándose a una pandilla de ransomware. Mientras que algunas pandillas son extremadamente selectivas, otras ofrecen puestos de afiliados a cualquiera que esté dispuesto a pagar una tarifa de suscripción única o mensual.
Estos afiliados pueden lanzar ataques de ransomware utilizando el nombre de la pandilla y recibir un porcentaje de los rescates pagados. Muchos solo están interesados en aumentar el volumen de infecciones y no se molestan en enviar una clave de descifrado una vez que se ha pagado el rescate.
Como se ha mencionado anteriormente, si se sabe que la pandilla de ransomware que lo ataca envía una clave de cifrado que funciona, puede ser una información crítica que informa su elección.
Punto decisivo: Si tienes acceso a las claves de descifrado, es probable que puedas restaurar los datos sin pagar; sin embargo, tener información de la banda criminal responsable del ataque también es útil, ya que con eso se puede deducir la probabilidad de que el pago produzca el resultado deseado.
Jackpotting, el cibercrimen que afecta a los cajeros porque regala billetes
Un sinnúmero de compañías de seguro comenzaron a ofertar coberturas ante ataques cibernéticos a inicios del año 2000, desde esa fecha, ese mercado se ha desarrollado.
La emergencia que surgió ante las amenazas de este tipo de malwares incrementaron radicalmente: los ataques de ransomware actualmente representan el 75% de todas las reclamaciones de seguros cibernéticos.
Como resultado, varias aseguradoras importantes, como AXA, ya no cubrirán los pagos de rescate, solo el costo del negocio perdido. Y con los ataques de ransomware sospechosos de ser financiados por el estado, como el ataque NotPetya en 2017, una aseguradora puede optar por clasificar el ataque como un acto de guerra que la libera de su responsabilidad de pagar las reclamaciones.
Los líderes deben comprender los términos y condiciones de su póliza de seguro cibernético y si brinda cobertura de ransomware antes de experimentar un incidente de este tipo.
Punto decisivo: Si su seguro cibernético cubre rescates, pagarlo podría tener sentido si no tiene otra forma de recuperar sus datos.
Controla los costos de recuperación: calcula cuánto le costarían a tu organización las posibles consecuencias comerciales y la recuperación de datos perdidos.
Hacerlo no solo le dará una buena comprensión de las ventajas y desventajas de no invertir en seguridad de la información, sino que también te ayudará a evaluar si pagar el rescate es una opción económicamente razonable en caso de que no tenga otra.
Punto decisivo: Si te das cuenta que el pago es factible y menor a los gastos de recuperación, conserva esa salida por sobre todas para salir del aprieto.
En ausencia de copias de seguridad completas y actualizadas y un plan de recuperación bien ensayado, o un seguro integral, algunas organizaciones decidirán que su única opción es pagar un rescate.
Pero incluso esta ruta puede estar bloqueada en algunos casos para organizaciones que operan bajo la jurisdicción de los Estados Unidos (o cuando la persona responsable de ejecutar el pago es un ciudadano norteamericano).
En septiembre de 2021, el Departamento del Tesoro de los Estados Unidos emitió un recordatorio de que realizar o facilitar pagos de rescate a ciberdelincuentes a los que ha impuesto sanciones es ilegal y puede dar lugar a un proceso penal.
Aunque las autoridades europeas también están discutiendo la posibilidad de imponer restricciones legales a los pagos de ransomware, actualmente no hay ninguna vigente. Pagar el rescate puede parecer una salida razonable, pero podría crear nuevos desafíos legales.
El conocimiento preciso del marco jurisdiccional es esencial.
Punto decisivo: Si pagar el rescate no pone en riesgo legal a la organización ni a ningún miembro del personal, sigue siendo una opción viable para resolver la situación.
Me hackearon el WhatsApp, ¿cómo recupero mi cuenta?
Incluso si las organizaciones deciden que pagar el rescate es la ruta menos dañina, deberían considerar traer negociadores profesionales si han establecido contacto directo con el extorsionador.
Hemos visto casos, como el caso del proveedor de alojamiento web de Corea del Sur, Nayana, donde las víctimas pudieron reducir significativamente el rescate solicitado con la ayuda de negociadores.
En algunos casos, el rescate pagado fue menos de la mitad y, a veces, incluso sólo una décima parte de lo que se solicitó originalmente.
Pero es importante tener en cuenta que algunas pandillas de ransomware amenazan con eliminar la clave de descifrado, destruyendo toda esperanza de recuperación del sistema junto con ella.
Si las víctimas contratan negociadores profesionales, aquí, el análisis sobre las amenazas que discutimos anteriormente puede ser útil para evaluar el riesgo.
Punto decisivo: Si no hay posibilidad de ponerse en contacto con las personas que lo chantajean, pagar el monto total o aceptar las consecuencias de la recuperación podría ser la única opción.
Vale la pena repetirlo: si tu organización es el objetivo de los ciberdelincuentes, infórmalo a las autoridades (antes) y comparte tu experiencia (después). Independientemente de lo que decidas hacer para pagar el rescate, te alentamos a que denuncies cualquier incidente de ransomware a las autoridades.
Una nueva ley de Estados Unidos requerirá que las empresas en sectores considerados “infraestructura crítica”, informen los ataques de ransomware de inmediato a CISA. En Europa, el Reglamento General de Protección de Datos también incluye obligaciones de notificación de incidentes cibernéticos.
Los ataques cibernéticos se pueden investigar de manera más efectiva si los expertos tienen acceso a información sobre incidentes similares y la cooperación de las partes afectadas.
Además, en un entorno en rápida evolución, las mejores oportunidades para aprender pueden ser las experiencias de otros, y eso requiere divulgación. Ya hay varias iniciativas para promover el intercambio de inteligencia entre una red confiable de pares.
En un mundo ideal, la solución definitiva a la epidemia de ransomware sería no pagar a los ciberdelincuentes. Pero para muchas organizaciones que lidian con las implicaciones económicas de la COVID-19 o que priorizan los presupuestos en torno a las iniciativas de transformación digital, las inversiones en seguridad cibernética aún no están presupuestadas.
La mayor parte del gasto actual de algunas empresas se destina a capacidades de prevención, como antivirus/antimalware o autenticación multifactor y, por lo tanto, se pasan por alto los procesos de detección, respuesta y recuperación.
Hasta que todas las organizaciones inviertan para llevar su nivel de “higiene cibernética” a un estándar mínimo, los ejecutivos tendrán que vivir con la realidad de las amenazas de ransomware y aceptar que pagar un rescate a veces es una opción válida.
Las sugerencias de este artículo pueden no ser suficientes para mitigar por completo los efectos de un ataque de ransomware en una empresa, pero esperamos que reflexionar sobre ellas ayude a los ejecutivos a sentirse preparados y a mantener la calma durante el crítico proceso de toma de decisiones.
Philipp Leo es socio de Leo & Muhly Cyber Advisory y teniente coronel en el Comando Cibernético de las Fuerzas Armadas de Suiza. Öykü Işik es profesor de estrategia digital y ciberseguridad en IMD Business School. Fabian Muhly es socio de Leo & Muhly e investigador de criminología en la Universidad de Lausana.