¿Pagar o no pagar después de un ataque de ransomware?
Sin duda, uno de los principales planteamientos que tienen que hacerse los líderes de las organizaciones, tras ser víctimas de un ataque de ransomware, es si deberían pagar o no por recuperar su información. Al tratarse de una extorsión con el único fin de generar presión suficiente en la organización para que pague, no existe una respuesta inmediata.
Una recomendación frecuente es no pagar, ya que no hay garantía de que se recibirá un descifrador que efectivamente permita recuperar los datos. Una encuesta recientemente publicada por Cybereason señala que cerca de la mitad de las empresas que pagaron rescates, no lograron recuperar la información crítica cifrada.
Por otro lado, existen varios ejemplos de incidentes públicos que muestran que el costo de la reconstrucción es significativamente mayor al costo del pago del rescate, y pueden ser complementados con situaciones de impacto laboral, en los que, al no recuperar la información a tiempo, generan fuertes impactos sociales al perder fuentes de ingresos en la comunidad. Es así como este dilema de pagar se convierte en un tema no solo ético y moral, sino también económico en algunas circunstancias, para continuar con los negocios.
Una consideración al evaluar el eventual pago, es la forma en que el negocio del ransomware ha evolucionado y se ha sofisticado desde ambos lados: los atacantes ahora hacen uso de modelos como el Ransomware-as-a-Service (RaaS) y utilizan técnicas como la doble extorsión para ejercer presión adicional sobre las víctimas, con la amenaza de exfiltrar su información confidencial; del lado de las víctimas, han surgido figuras de intermediarios contratados para negociar con los atacantes para rescatar la información, siempre y cuando no exceda el valor de la misma, así como seguros contra incidentes informáticos, con cobertura para este tipo de escenarios, lo cual permite a empresas y particulares lucrar de manera legal al reconocer esta amenaza como parte inherente de los negocios basados en tecnologías de la información.
Otro catalizador de la industria del ransomware es el uso de las criptomonedas, que cuentan con características como la falta de regulación, alto nivel de anonimato y, recientemente, una constante variación en el tipo de cambio, que hace que sean el vehículo perfecto para el pago de este tipo de extorsiones. Además de que, al existir más víctimas de extorsión, se genera mayor demanda de estas monedas, cuyo valor es establecido por el mercado y puede ofrecer altas ganancias.
Al pagar un rescate de ransomware se está contribuyendo al financiamiento y continuidad del ciberdelito, lo cual ha promovido iniciativas para prohibir el pago de este tipo de extorsiones con recursos públicos en Estados Unidos, e inclusive se ha convertido en un tema de seguridad nacional que los recursos terminen en manos de grupos criminales financiados por otros estados.
Evitar el pago cuando resulte viable en la organización, sigue siendo la mejor opción, dejando claro que continuar protegiéndonos se convierte en la respuesta más clara a este tipo de amenazas.
Referencias:
https://www.executivegov.com/2021/07/biden-administration-mulls-ransomware-attack-response-press-secretary-jen-psaki-quoted/
https://www.welivesecurity.com/la-es/2021/07/08/ransomware-pagar-o-no-pagar-es-legal-o-ilegal/
https://www.cybereason.com/hubfs/dam/collateral/ebooks/Cybereason_Ransomware_Research_2021.pdf
https://www.vozdeamerica.com/tecnologia-ciencia/ataques-ransomware-pagar-o-no-pagar
https://news.sophos.com/es-es/2020/01/28/nueva-york-quiere-prohibir-los-pagos-de-ransomware-financiados-por-los-contribuyentes/
https://www.upguard.com/blog/what-is-ransomware-as-a-service