El ransomware es una peligrosa amenaza cibernética que ha causado sensación y muchos problemas en los últimos años. Según PurpleSec, al menos 121 incidentes de ransomware han sido notificados en la primera mitad de 2021, lo que representa un aumento del 64 % en comparación con años anteriores, el informe además indicó que el pago promedio de ransomware tuvo un aumento de casi 82% anual, con un costo promedio de $570,000.
Saber detectar los ataques ransomware ya no es opcional, en el presente es algo vital para las pequeñas y grandes empresas por igual.
El ransomware es un tipo de malware que bloquea datos, archivos o sistemas confidenciales a los que tú como usuario legítimo ya no puedes acceder.
Cuando el daño ya está hecho, el atacante puede exigir rescate a cambio la restauración de acceso a la data secuestrada; llegado a ese punto, los ejecutivos de la empresa y sus inversionistas deben decidir si acceden o no las demanda.
Esta es una descripción muy general de cómo funciona el ransomware, por lo que cabe preguntarse, ¿vale la pena para las empresas pagar los rescates de ransomware? Sigue leyendo para conocer los riesgos, el punto de vista ético y la legalidad que circundan este dilema.
Los riesgos
Siempre hay riesgos involucrados en el ransomware, ya sea que decidas pagar el rescate o no; representa una decisión difícil y cubierta de múltiples matices para las organizaciones, por lo que es necesario considerar todos los aspectos; la mejor manera de evitar riesgos es saber cómo prevenir el ransomware en primer lugar.
Pero esa no es una solución infalible siempre y tampoco ayuda si tu empresa está justo en medio de un ataque. Es cierto que saber cómo detener el ransomware en acción puede ayudar a mitigar el daño, sin embargo, puedes conseguirte una situación donde no tengas muchas opciones y debas sopesar el riesgo de pagar el rescate o no.
Qué sucede cuando pagas
Primero debes saber que pagar el rescate no necesariamente implica que tu empresa u organización recuperará el acceso a los datos encriptados instantáneamente; ya que incluso si el atacante libera la data, existe la posibilidad de que recibas archivos corruptos o con otro malware inserto para futuros ataques.
Un ejemplo de esta situación sucedió con el ransomware ProLock en mayo del año 2020. Bleeping Computer informó que el FBI descubrió la probabilidad que el sistema de encriptado ProLock pueda corromper cualquier archivo que pese más de 64 MB; también informaron que las víctimas podrían sufrir una pérdida de integridad en sus sistemas de 1 byte por cada KB en archivos de más de 100 KB de peso.
¿Qué pasa con las estadísticas de pago de ransomware?
En un libro reciente titulado Ransomware: “The True Cost to Business”, (o “El verdadero costo de hacer negocios”) el 46% de los encuestados que pagaron el rescate obtuvieron acceso a sus datos, pero algunos de los datos estaban dañados y en ocasiones todos eran inservibles; el 51 % afirmó que recuperó con éxito todos sus datos encriptados después de pagar, mientras que el 3 % afirmó que el atacante jamás restableció acceso a la data bloqueada después de pagar.
Qué sucede cuando no pagas
Hacer pago de rescate por ransomware alienta a los piratas informáticos a seguir usando este modo de ataques porque lo ven como un ejercicio rentable; es por eso que el FBI insiste en que nunca debe pagarse el rescate a estos delincuentes.
¿Qué sucede si no pagas la demanda de ransomware? El curso de acción está en tus manos, ya que puedes enfrentarte a diversos escenarios: primero, los atacantes pueden amenazar con filtrar tu información confidencial al público o venderla en la dark web, lo cual puede dañar tu reputación, la de tu empresa y arruinar la relación de confianza con tus clientes y socios comerciales.
Por otro lado, si los datos encriptados son fundamentales para sus operaciones, es posible que sufras un severo revés hasta que restablezcas el acceso; sin embargo, esto solo sucede si tienes un plan de recuperación de datos con una copia de seguridad actualizada. En los casos más extremos, puedes enfrentarte a un cese de operaciones e incluso a la ruina de tu negocio.
La Ética
No existe método seguro para deshacerse del ransomware sin pagar. Además de los riesgos, también es necesario considerar diversas cuestiones éticas antes de decidir si pagas rescate o no.
Qué sucede cuando pagas
Un problema ético surge cuando pagas un rescate de ransomware: alientas a los delincuentes informáticos, les dejas saber que tu organización está dispuesta a pagar rescates cibernéticos si estos llegasen a ocurrir ataques futuros.
La decisión de pagar puede restaurar las operaciones, como sucedió en el caso del director ejecutivo de Colonial Pipeline, Joseph Blount; quien pagó un rescate de $4,4 millones de dólares por una clave de encriptación que le permitía restaurar las operaciones de su compañía petrolera.
En este caso particular entra a colación el efecto paralizante en el país que impulsaron su decisión y si bien esto fue un caso de excepción a lo que es la norma usual, el pago de ransomware también puede incitar a los atacantes a chantajear a sus víctimas exigiendo un segundo pago.
Según ZDNet, el 80% de las organizaciones que aceptan pagar el rescate sufren nuevos ataques, y el 46% de esto se lleva a cabo por el mismo atacante.
Qué sucede cuando no pagas
Antes de decidir no pagar un rescate, es necesario considerar las consecuencias para ti, para tu empresa u organización o, como en el caso de Colonial Pipeline, la forma en la que afecta a todo el país.
Tener un plan de respaldo sólido es fundamental cuando se lidia con ransomware; además de que te permite implementar un enfoque de seguridad basado en confianza cero en la que asumes que tu red está comprometida y actúa en base a lineamientos dictados para su salvaguardo.
La legalidad
¿Es legal pagar a los atacantes de ransomware? Los pagos de ransomware pueden violar regulaciones gubernamentales, además de poner en riesgo la privacidad de tus clientes, e infringir acuerdos comerciales, o incluso tener otras implicaciones de tipo legales.
El pago de ransomware también puede ser ilegal, como podemos ver en las implicaciones legales descritas a continuación:
Qué sucede cuando pagas
El FBI desaprueba el pago de rescates porque este no garantiza la eliminación o el acceso a los datos robados. Las empresas u organizaciones deben tomar nota del aviso reciente de la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los Estados Unidos antes de involucrarse en un intercambio financiero con cualquier criminal.
La OFAC afirma que pagar un rescate significa financiar el terrorismo cibernético o fortalecer la destreza financiera de los atacantes para atacar a otras organizaciones o países. Es importante tener en cuenta que tu como parte afectada puedes ser procesado incluso si ignoras tu participación en estas actividades con el pago de ransomware.
Como explica la OFAC, las agencias federales pueden imponer sanciones civiles por infracciones de sanciones basadas en el cumplimiento de estrictas responsabilidades, lo que significa que una persona u organización bajo la jurisdicción de los EE.UU. podría ser considerada civilmente responsable incluso si ignora o no tiene motivos para saber que está relacionado con una persona u organización marcada por las leyes y regulaciones de sanciones de la OFAC.
Qué sucede cuando no pagas
Negarse a pagar el rescate puede resultar en problemas de producción o entrega, es decir el incumplimiento de acuerdos comerciales, cubrir órdenes de compra o entrega, y demás obligaciones contractuales; por lo que, en este caso, tus clientes o socios pueden decidir demandar a la empresa.
Pensamientos finales
Cuando un ataque de ransomware bloquea data crítica, las personas y las empresas tienen que decidir si pagan el rescate o no. La realidad es que los ataques de ransomware siempre son una posibilidad que podemos enfrentar cuando menos esperamos, por lo que la preparación es crucial.
Puedes implementar medidas para detectar, prevenir y lidiar con ataques de ransomware, igual aún puedes enfrentar la decisión de pagar o no pagar el rescate. Te toca considerar cuidadosamente los riesgos, la ética y la legalidad de ambos escenarios antes de decidir.
Además del ransomware, existen otros ataques cibernéticos que toda empresa debe conocer, por lo que te invitamos a consultar nuestro artículo Ransomware vs. Malware vs. Phishing para obtener más información.