Ransomware: ¿Pagar o no pagar?

Recientemente, varias revistas han cubierto repetidamente cómo protegerse y recuperarse de los ataques de ransomware. Sin embargo, muchas empresas e individuos se quedan con la pregunta de si pagarían en caso de un posible ataque futuro de ransomware.

¿Qué pasaría si consideraran pagar? ¿Es una opción viable? ¿Cuáles son los riesgos? ¿Deberían revelar esto a los reguladores, accionistas o al público? ¿Cómo debe prepararse para esta decisión? Si bien no estoy sugiriendo en absoluto que las organizaciones deban pagar rescates, reconozco que esta opción existe. Pero la pregunta es: ¿es una buena idea pagar?

Recordatorio rápido sobre ransomware

Creo que todos sabemos lo que es el ransomware a estas alturas. Pero en caso de que haya estado viviendo bajo una roca proverbial durante al menos los últimos 10 años, aquí está lo más bajo: ransomware es una forma de malware que los ciberdelincuentes utilizan para negar el acceso o la disponibilidad de sistemas o datos. Los delincuentes mantienen los sistemas o los datos como rehenes hasta que se pague el rescate. Después de obtener acceso a una red, implementan ransomware en unidades de almacenamiento compartido y otros sistemas accesibles. Si no se cumplen las demandas, el sistema o los datos cifrados no están disponibles o los datos se eliminan. Una táctica frecuentemente emergente de estos ciberdelincuentes es robar datos confidenciales y amenazar con hacerlos públicos si no se paga el rescate, extorsionando aún más a las empresas afectadas. Esto también se conoce como «doble extorsión». Sin embargo, el problema de más de 31 años llamado «ransomware» continúa persiguiéndonos. Y las posibilidades de que la amenaza desaparezca o de que las personas cesen para realizar pagos en el corto plazo son muy escasas.

Los Riesgos

Aunque parece que la mayoría de las personas o empresas que pagan reciben una clave de descifrado o una herramienta de descifrado, pagar un rescate no garantiza que una organización recupere el acceso a sus datos, ya sea porque nunca reciben una herramienta o clave de descifrado o debido a una programación descuidada por parte de los delincuentes. Esto último también hace que sea imposible descifrar datos, incluso con una clave de descifrado válida. Otra razón para desalentar los pagos de rescate por parte de la compañía o aseguradora afectada plantea preguntas sobre si el pago podría equivaler a financiar grupos criminales, terrorismo, estados deshonestos y / o violar las leyes contra el lavado de dinero. Un problema que se planteó recientemente en EE.UU. Además de esto, viene el hecho de que pagar un rescate alienta a los delincuentes a atacar a otras organizaciones o empresas. Por supuesto, es comprensible que cuando las empresas ya no pueden funcionar, los ejecutivos consideren todas las opciones para proteger a sus accionistas, empleados y clientes.

Las autoridades encargadas de hacer cumplir la ley no están en absoluto a favor de pagar rescates por estas razones exactas.La decisión de pagar una reclamación de ransomware debe tomarse con cuidado, con reconocimiento y aceptación de los riesgos y en consulta con varias partes interesadas, incluidos, por ejemplo, asesores legales, fuerzas del orden, su aseguradora cibernética y expertos en seguridad. También hay quienes argumentan que el pago de un rescate debe evaluarse como cualquier otra decisión comercial.

El ataque de ransomware promedio también puede tomar semanas y, por supuesto, hay costos reales asociados con mantener una empresa fuera de línea durante días. La pérdida de productividad puede convertirse rápidamente (y en algunos casos se ha convertido) en el elemento más importante de la factura. Por supuesto, debe sopesar todos los costos, desde la restauración de la red hasta el costo de los consultores y si cubrirán el rescate. Otros factores a considerar incluyen la pérdida de reputación de la marca, la satisfacción del cliente y la posible responsabilidad legal.

A veces resulta que pagar un rescate es la opción menos costosa que probablemente influirá en los votos de la mayoría de las empresas hacia el menor de los dos males, es decir, pagar el rescate.

Pagar

La pregunta, ¿qué porcentaje de empresas pagan rescate? siempre es difícil de responder, especialmente porque muchas víctimas de ransomware no informan ni divulgan el incidente de ransomware a pesar del GDPR y otras reglas de informes obligatorios en varios países. Varias encuestas de algunas empresas de la industria de la seguridad indican que este porcentaje estaría entre el 30% y el 55%. Mi sentimiento personal y mi conocimiento del mundo de los negocios globales indican que será más bien alrededor del 55%, si no más. La reciente publicación de G DATA parece respaldar este hecho, afirmando que muchos casos no se denuncian porque las organizaciones afectadas no ven ningún sentido en ello. La razón más a menudo declarada es que la policía nunca atrapará a los perpetradores de todos modos.

Y ese es precisamente el problema. Ahora veamos el tema desde la perspectiva de un criminal: ¿No invertiría usted como empresa también en una «idea» en la que está más del 50% seguro de que valdrá la pena? En el lado positivo, los costos iniciales para los ciberdelincuentes son bajos. Sí, hay costos: crear el malware, garantía de calidad (sí, esto es una cosa, incluso para malware), el algoritmo de cifrado, configurar la posible botnet para difundir el correo electrónico de phishing a través del cual se instalará el malware o buscar los servidores sin parches en Internet. Gran parte de los gastos generales antes mencionados incluso están disponibles «como servicio». Y luego está el tiempo que lleva explorar la red y obtener los datos de ella. Para empeorar las cosas, los delincuentes alquilarán partes del código para que puedan cubrir sus propios costos. Parece un modelo de negocio sólido, ¿eh?

El catalizador

Y luego el catalizador de toda la industria del ransomware entra en escena y eso es … criptomonedas, con Bitcoin habiéndose convertido en un término general para cualquier moneda criptográfica. El efectivo del siglo 21 … y luego todos queremos deshacernos del efectivo, ¿no? Las criptomonedas digitales son solo efectivo digital en un buen paquete llamado blockchain. Pero las monedas criptográficas, como el efectivo, desafortunadamente proporcionan el elemento imposible de rastrear, el aspecto anónimo del destinatario, a menos que, por supuesto, pueda vigilar quién está detrás de ciertas billeteras.

Si las monedas criptográficas (y la facilidad de pagar con ellas) no existieran, creo que no veríamos ningún ransomware. Transferir dinero a otras cuentas es muy fácil de rastrear a través de la antigua usanza. Nos libraríamos de ella, pero me temo que no podemos revertirla.

¿Tienes que pagar entonces? Personalmente, yo diría «nunca». Porque realmente estás apoyando la economía equivocada (léase criminal). ¿Pagas millones de euros a quienes te atacaron? Puede proporcionarle una clave de descifrado para ayudarlo a recuperar sus sistemas … pero también anima a otros a llevar a cabo ataques de ransomware en el futuro, no solo contra su propia empresa, sino también contra otras organizaciones o empresas de todo el mundo.

Por supuesto, siempre puede negociar con los delincuentes para obtener un precio más barato. ¿Realmente? También hay empresas de ‘seguridad’ que pueden ayudarte con esto proporcionando negociadores profesionales que te ayuden con el pago y la negociación con los ciberdelincuentes. El truco: estos servicios de negociación a menudo están vinculados a la compra de un determinado producto. Aquí es donde tengo un problema masivo porque creo que esto es algo poco ético. Un servicio de negociación en sí mismo es muy útil, pero usar esto para aprovechar la venta de un producto es… digamos «cuestionable». También un buen modelo de negocio, claro, pero deontológicamente en (o incluso por encima) del borde, creo.

Prevención y solución

La mayoría de los ataques de ransomware en realidad pueden ser derrotados y prevenidos. Es una combinación de una buena política de seguridad, copias de seguridad, parches, varias soluciones de seguridad en capas y también no olvide abordar el factor humano (el típico eslabón más débil) en la historia a través de la capacitación en conciencia de seguridad.

Pero, ¿cómo resolvemos finalmente el problema del ransomware? Hay algunas opciones allí.

  1. Abolir o restringir las criptomonedas. Sin embargo, me temo que esto es una utopía.
  2. Hacer que los pagos de ransomware sean ilegales en todo el mundo. Esto significaría que las empresas afectadas están atrapadas entre la espada y la pared: arriesgarse a que la empresa se insague o violar la ley.
  3. No mire un ataque de ransomware como un ataque cibernético o de malware, sino que lo mire como un ataque, en algunos casos un ataque terrorista (por ejemplo, si la infraestructura o un hospital están involucrados).

Esto último es en lo que la gente en los Estados Unidos está pensando después de que la compañía Colonial Pipeline, que opera el oleoducto más grande de los Estados Unidos, tuvo que cerrar durante una semana (mayo de 2021) después de un ataque de ransomware. Y creo que lo mismo se reconsiderará después del gran ataque de ransomware de la cadena de suministro en Kaseya. Un gran ataque como este debe ser considerado como terrorismo cibernético y manejado legalmente de esa manera. El objetivo principal del terrorismo de cualquier tipo, independientemente de su motivación, es desestabilizar a los gobiernos y socavar la confianza de la población en las autoridades y las fuerzas del orden, y no tanto los efectos inmediatos de un ataque. Si las personas sienten que nadie puede protegerlas, especialmente en estos tiempos, amenazas como esta deben ser enfrentadas con acciones decisivas y específicas. El compromiso abierto es bueno, pero las acciones deben seguir. En este contexto, podría ser interesante saber que en una reunión de expertos en ransomware de 30 países, no se invitó a representantes de Rusia. Esto puede interpretarse como consecuencia de las repetidas acusaciones de que las autoridades rusas, aunque no están apoyando activamente a los grupos de ransomware, al menos les dan lo que la agencia de noticias Reuters llama «aprobación tácita». Sin embargo, los funcionarios también señalan que «se están llevando a cabo discusiones activas con los rusos».

Todos los puntos son problemas para los gobiernos que pueden no ser tan fáciles de abordar, y mucho menos de aplicar a nivel mundial. Quién sabe, tal vez algo para la UE. ¿Poco realista dices? Volvamos a tener la discusión en 7 años. ¿Resolverá la tecnología este enigma? Si piensas «Sí», entonces has subestimado el factor humano.

‘NUNCA’ pague el rescate … bueno, tal vez si la vida de las personas depende de ello. ¿O deberíamos ver más series de Netflix donde esto se desaconseja?

Enlace:Ransomware: ¿Debería pagar un rescate por sus datos? | G DATOS (gdatasoftware.com) Blog de G DATA  Eddy Willems