Índice
Pagar un rescate de ransomware es una decisión desesperada que no ofrece garantías de éxito y contribuye a financiar a los ciberdelincuentes
Los thrillers de Hollywood nos han enseñado que pagar un rescate no suele ser la mejor idea para poner fin a un secuestro porque rara vez la operación sale a la perfección. Si saltamos de la ficción a la realidad, actualmente muchas empresas se encuentran ante una situación peliaguda tras ser víctimas de un ciberataque: ¿es buena idea pagar un rescate de ransomware para recuperar los datos secuestrados por los delincuentes?
En los últimos años, los ataques de ransomware se han convertido en una plaga que afecta a todo el tejido productivo, no solo a las grandes compañías. Además, esta amenaza se ha agudizado con la consolidación del modelo de Ransomware-as-a-Service, que permite a pequeños delincuentes sin recursos ni formación específica, contratar kits para lanzar ciberataques contra empresas.
¿Por qué es tan peligroso el ransomware? Apunta hacia la materia prima más importante de los negocios en la era digital: sus datos. Los delincuentes usan esta clase de malware para acceder a los datos de clientes, trabajadores y proveedores, así como a información empresarial estratégica.
¿Cómo funcionan los ataques de ransomware?
El ransomware es un programa malicioso que no solo permite conseguir la información, sino que también es capaz de robarla y encriptarla para que la empresa no pueda acceder a ella. Se diferencia, así, de otros malware como los infoestealers que roban contraseñas de dispositivos, pero sin bloquear el acceso de los negocios a ellas. La operativa que siguen los delincuentes que usan ransomware es la siguiente:
- Emplean técnicas de ingeniería social para conseguir que un miembro de la empresa descargue el programa malicioso en su equipo, como el phishing o el smishing.
- Llevan a cabo tácticas de ofuscación para ocultar su presencia en los sistemas corporativos mientras logran acceder al mayor volumen de información posible.
- El ransomware encripta la información, de tal manera que resulte inaccesible para la empresa.
- Los delincuentes solicitan un rescate a cambio de facilitar la desencriptación de la información y amenazando con exfiltrarla si la empresa decide no pagar el rescate.
¿Por qué es mala idea pagar un rescate de ransomware?
Llegados a ese punto, las empresas deben decidir si optan por pagar un rescate de ransomware o no.
Las autoridades policiales son claras a este respecto: no se debe pagar un rescate de ransomware. Además, los especialistas de ciberseguridad, que están acostumbrados a lidiar con estas crisis, dan tres argumentos de peso para decidir no pagar un rescate de ransomware:
- No hay garantías de cumplimiento. Es decir, no existe ninguna certeza de que los delincuentes vayan a cumplir con su palabra y vayan a permitir que la empresa recupere sus datos y, además, tenga la certeza de que los delincuentes no los van a hacer públicos, los van a vender al mejor postor o los van a usar para lanzar futuros ataques.
- Los delincuentes pueden exfiltrar la información igualmente. Incluso aunque, efectivamente, los delincuentes faciliten la clave para recuperar la información, han tenido acceso a ella, de tal manera que pueden disponer de copias y publicarla igualmente. Lo que resulta especialmente crítico en lo relativo a los datos financieros y personales de los clientes de una empresa.
- Se contribuye a financiar futuros ataques. Pagar un rescate de ransomware es una forma de dotar de más recursos económicos a los delincuentes. De tal forma que puedan invertir más dinero en perfeccionar sus técnicas y tácticas y poner en marcha ataques más complejos, ambiciosos y peligrosos.
¿Por qué son tan peligrosos los ataques de ransomware?
Más allá de la importancia de decidir si se debe pagar un rescate de ransomware o no, las empresas tienen que hacer frente a las graves consecuencias que puede desencadenar un ataque de ransomware:
- La imposibilidad de acceder a los datos puede provocar la parálisis de la actividad de una empresa o una organización. Un histórico ciberataque provocó que el Hospital Clínic de Barcelona, una de las mayores instituciones médicas de nuestro país, tuviera que volver al mundo analógico, cancelar operaciones y derivar a pacientes graves.
- Las pérdidas económicas pueden llevarse por delante la salud financiera de una empresa. A finales de 2023, MGM Resorts, una gran corporación de casinos y hoteles sufrió un ataque de ransomware que generó pérdidas directas de más de 100 millones de dólares.
- Los daños reputacionales son incalculables. La reputación e imagen de marca de una empresa que sufre un incidente de seguridad grave se ve dañada de manera irremediable ante clientes, potenciales y socios comerciales.
- Multas y conflictos judiciales, como consecuencia de que los delincuentes hayan exfiltrado información privada de clientes, trabajadores y proveedores. Pensemos, por ejemplo, que un ataque de ransomware provoca que se hagan públicos los datos financieros de los clientes de una empresa y que esta información pueda usarse para cometer fraudes contra ellos.
- Los efectos de un ataque de ransomware se pueden alargar durante meses hasta que se consigue recuperar la normalidad al 100%. De tal manera que la posición en el mercado de una empresa y su viabilidad a medio plazo pueden verse amenazadas.
¿Qué pueden hacer las empresas para prevenir los ataques de ransomware?
La mejor forma de evitar encontrarse ante la diatriba de pagar un rescate de ransomware o no hacerlo es que la empresa no llegue a ser víctima de un ataque con este tipo de malware.
En este sentido, existen una serie de recomendaciones básicas que debe seguir toda organización:
- Actuar con precaución a la hora de descargar archivos y programas en los equipos corporativos.
- Limitar el uso de dispositivos personales con fines profesionales.
- Disponer de antivirus y sistemas EDR para hacer frente al malware.
- Protocolizar cómo se debe actuar en caso de incidente de seguridad para responder al ataque en el menor tiempo posible y minimizar su impacto.
- Realizar copias de seguridad periódicas y almacenarlas de forma segura y en diversos lugares para asegurarse de que pueden recuperar la información de forma autónoma. En este sentido, resulta fundamental que las empresas usen software y plataformas que automaticen la realización de copias de seguridad. Por ejemplo, un software de gestión en el que se almacenan los datos más importantes de un negocio: bases de clientes, facturación, contabilidad…
Más allá de estas buenas prácticas de seguridad, las empresas pueden contratar diversos servicios de ciberseguridad para protegerse frente a los ataques y descartar totalmente pagar un rescate de ransomware:
- Test de intrusión para detectar debilidades que puedan ser explotadas por los delincuentes.
- Servicios de Red Team para que diseñen y ejecuten escenarios de ataque específicos de ransomware.
- Servicios de respuesta a incidentes para actuar en cuestión de minutos, determinar la incidencia del ataque, expulsar a los delincuentes de los sistemas corporativos y recuperar la normalidad en el menor tiempo posible.
Habida cuenta de todo lo que hemos abordado en esta guía, parece evidente que pagar un rescate de ransomware no es nunca una buena idea, no solo por el altísimo coste de los rescates que solicitan los delincuentes, sino, sobre todo, porque las consecuencias de esta acción son impredecibles.
En cambio, las empresas sí pueden tomar decisiones para mejorar la prevención, detección y respuesta ante ataques de ransomware y, así, proteger sus modelos de negocio frente a incidentes que se llevan año tras año a muchas empresas por delante.