Ransomware: nunca pagar, ¿verdad o no?

Desde la llegada del ransomware, expertos de todo el mundo han recomendado no pagar un rescate por sus datos para disuadir a los imitadores. Sin embargo, como con tantos problemas de seguridad de TI, hay una zona gris incómoda en la que queremos aventurarnos.

Hasta ahora, cuando se trata del tema del “ransomware” y la pregunta “¿pagar o no?”, Siempre se ha aplicado el principio “nunca pagar”. La razón de esto: si las víctimas de ataques de ransomware pagan las demandas de rescate, el modelo de negocio recibe un impulso. Para muchos también es una pregunta fundamental, que se ha discutido repetidamente recientemente. 

Prevenir siempre es mejor que curar:

Por supuesto, pagar un rescate por datos cifrados nunca debería ser lo primero que se piensa una vez que aparece la nota de rescate en la pantalla. Quien haya tomado las precauciones adecuadas está en el lado seguro. Simplemente reproducir la copia de seguridad y, en el peor de los casos, perder algunas horas de trabajo es básicamente el método de elección. Pero la experiencia también ha demostrado que no todas las empresas o personas privadas se han preparado para una emergencia. Las copias de seguridad no existen, están desactualizadas o no se pueden restaurar. O ha ocurrido el peor de los casos: las copias de seguridad también están encriptadas. En este caso, un buen consejo puede ser muy costoso. 

La buena noticia es que muchos tipos de ransomware ahora tienen herramientas de descifrado confiables que pueden guardar al menos parte de los datos. Esperar una herramienta gratuita tampoco es una solución. Si una empresa se enfrenta a este escenario, se trata de la existencia continua de la empresa. Si todos los datos están realmente encriptados, la única esperanza es que esté tratando con un chantajista “honesto” que en realidad descifra los datos nuevamente cuando paga. Los afectados están a merced del perpetrador (o del grupo de perpetradores) a merced de ambos. Para decirlo más: se trata de si la administración muerde la bala y paga el rescate, o si la empresa se cae. 

Nadie realmente quiere enfrentar esta elección. Sin embargo, si se trata de esto, la compañía debe tomar una decisión, con el apoyo de la policía y los expertos. Si está claro qué ransomware es y si el pago realmente lleva a descifrado, entonces pagar el rescate puede ser el mal menor aquí, y posiblemente la última esperanza para la compañía en cuestión. 

Números sobrios:

Las consideraciones puramente económicas también pueden desempeñar un papel en la respuesta a la pregunta “¿cifras o no?”. Si un chantajista solo cobra a la empresa unos pocos cientos de euros, pero esto se compensa con gastos de varias decenas de miles de euros, vale la pena considerar la idea de un pago de rescate. El hecho es: de cualquier manera, los afectados tienen que invertir dinero para tomar medidas de seguridad frente a situaciones similares en el futuro. Además de estos gastos, también hay costos para un examen forense complejo, al final del cual no está claro si los datos pueden recuperarse y si los autores pueden ser capturados, el pesaje es en última instancia puramente económico. Aquí, los tomadores de decisiones también pueden tener que informar a una junta de supervisión, por qué eligieron una u otra solución. Si cada hora de inactividad cuesta miles de euros y un trabajo forense lleva días, entonces surgen rápidamente costos vertiginosos. La compañía naviera Möller-Maersk ha experimentado esto de primera mano: cuando NotPetya llegó a la red de la compañía de logística en 2017, cientos de camiones, trenes y portacontenedores se paralizaron en unas pocas horas. La cantidad de bienes transportados disminuyó en un 20 por ciento de una sola vez. En general, el daño se estimó en aproximadamente $ 300 millones. Otras compañías, como la compañía farmacéutica Merck, sufrieron pérdidas igualmente altas en esta ola de ataques. entonces los costos vertiginosos se unen rápidamente. La compañía naviera Möller-Maersk ha experimentado esto de primera mano: cuando NotPetya llegó a la red de la compañía de logística en 2017, cientos de camiones, trenes y portacontenedores se paralizaron en unas pocas horas. La cantidad de bienes transportados disminuyó en un 20 por ciento de una sola vez. En general, el daño se estimó en aproximadamente $ 300 millones. Otras compañías, como la compañía farmacéutica Merck, sufrieron pérdidas igualmente altas en esta ola de ataques. entonces los costos vertiginosos se unen rápidamente. La compañía naviera Möller-Maersk ha experimentado esto de primera mano: cuando NotPetya llegó a la red de la compañía de logística en 2017, cientos de camiones, trenes y portacontenedores se paralizaron en unas pocas horas. La cantidad de bienes transportados disminuyó en un 20 por ciento de una sola vez. En general, el daño se estimó en aproximadamente $ 300 millones. Otras compañías, como la compañía farmacéutica Merck, sufrieron pérdidas igualmente altas en esta ola de ataques. En general, el daño se estimó en aproximadamente $ 300 millones. Otras compañías, como la compañía farmacéutica Merck, sufrieron pérdidas igualmente altas en esta ola de ataques. En general, el daño se estimó en aproximadamente $ 300 millones. Otras compañías, como la compañía farmacéutica Merck, sufrieron pérdidas igualmente altas en esta ola de ataques. 

Una cuestión de equilibrio.

Sin embargo, antes de que una empresa en cuestión considere pagar un rescate, los responsables deben considerarlo cuidadosamente. Porque el pago a veces envía una señal a otras compañías. 

  1. ¿Han asegurado los expertos que los descifradores proporcionados por los perpetradores en el pasado realmente hicieron lo que prometieron?
  2. ¿El uso del desencriptador elimina de forma segura todos los rastros del ransomware (si aún existen)?
  3. ¿Cuál es la relación entre la suma del rescate y los costos predeterminados en caso de falta de pago? 
  4. ¿Dentro de qué período de tiempo puede reiniciarse el trabajo regular después de un pago?

Sin embargo, en principio, se supone que las empresas no necesariamente recuperan sus datos después de un pago de rescate. Desafortunadamente, no existe una regla general: cada caso es diferente y debe evaluarse en consecuencia. Porque, como en el caso de NotPetya, también hay programas maliciosos que parecen ransomware, pero están diseñados exclusivamente para la destrucción de datos. No es posible restaurar datos aquí en absoluto. 

Descargas de medios

 OTon_Ransomware_WannZahlen.wav

Entrevista con Tim Berghoff sobre “Ransomware: ¿números o no?” 44.1 kHz * .wav archivo, duración: 3 minutos

Comentarios

comments

Powered by Facebook Comments