Puedo entender por qué Ciaran Martin ha adoptado la posición de abogar por controles legales sobre los pagos de ransomware, y la lógica detrás de esta propuesta es simple: las bandas criminales son un negocio que utilizan ataques de ransomware para generar ingresos. Como cualquier negocio, operan según el principio de retorno de la inversión (RoI). Por lo tanto, si los ataques de ransomware no arrojan beneficios consistentemente, entonces no es rentable y quienes participan en ellos pasarán a otra cosa.
Sin mencionar que las bandas de ransomware son cada vez más codiciosas. No hace mucho tiempo que parecía haber casi un sentido del honor entre ellos. Varias bandas destacadas se comprometieron públicamente a no atacar a las organizaciones sanitarias durante la pandemia de Covid-19, por ejemplo. Sin embargo, un aviso emitido por el FBI en febrero para los hospitales de EE. UU. destaca que, en el mejor de los casos, se trató de una tregua temporal, advirtiendo que las bandas de ransomware están apuntando específicamente a los hospitales de EE. UU.
También es probable que las organizaciones que paguen el rescate vuelvan a ser atacadas. Las estimaciones del NCSC sugieren que alrededor de un tercio de todas las organizaciones afectadas por ransomware son atacadas nuevamente, y algunas experimentan múltiples ataques en un año.
Y, por último, no hay garantía de que pagar el rescate le permita recuperar sus archivos. En primer lugar, es posible que los delincuentes no jueguen limpio. En segundo lugar, podrían optar por duplicar o incluso triplicar el rescate: es posible que tengas que pagar para descifrar tus archivos, pagar para que tus archivos no se divulguen en la web oscura e incluso pagar para que los delincuentes no se lo digan a tu regulador o a la Oficina del Comisionado de Información (ICO) sobre su incumplimiento.
Esos son algunos de los argumentos para no pagar. Sin embargo, la cuestión no es tan sencilla. Imagine un escenario en el que su empresa se encuentra bajo un ataque de ransomware y se enfrenta a una amenaza existencial. El dilema es si pagar o rechazar el pago, con el riesgo de cerrar el negocio y perder puestos de trabajo. Incluso si el ataque no acabara directamente con su organización, el tiempo que llevaría recuperarse podría hacerlo. Mire el ejemplo de la Biblioteca Británica: fueron atacadas con éxito en octubre de 2023 y, en marzo de 2024, todavía no han vuelto a tener un servicio completo; el acceso a muchos de sus servicios en línea es limitado y estiman que podría tomar Hasta 12 meses para recuperarse por completo.
También hay aspectos prácticos a considerar. Si se criminalizaran los pagos de rescate, se podría disuadir a las organizaciones de denunciar estos incidentes, lo que haría que la práctica ilegal se hiciera más clandestina y haría más difícil para las fuerzas del orden rastrear y abordar. Así como se anima a las personas a denunciar los ataques de ingeniería social que encuentran; Las empresas también deben sentirse seguras a la hora de denunciar incidentes de ransomware sin temor a ser penalizadas.
Tanto el NCSC como el ICO piden actualmente que, incluso si va a pagar el rescate, los mantenga informados, especialmente compartiendo información sobre indicadores de compromiso (IoC) o cómo tuvo éxito el ataque. Una de las pocas cosas buenas que surgió del ataque a la Biblioteca Británica es un informe en profundidad sobre cómo fueron atacadas, que sólo puede ayudar a las organizaciones en el futuro.
¿Cómo podemos reducir eficazmente la cantidad de ataques de ransomware? La verdad es que, como seres humanos, somos propensos a cometer errores que pueden ser aprovechados por los ciberdelincuentes. Si bien la capacitación en seguridad puede minimizar estos errores al alentar a las personas a ser más cautelosas, los errores humanos nunca podrán eliminarse.
Un enfoque más sostenible es centrarse en una defensa de varios niveles, haciendo hincapié en la seguridad en el diseño y las prácticas de higiene. Esto implica integrar medidas de seguridad en todos los niveles de las operaciones de una organización, lo que dificulta que los ciberdelincuentes aprovechen las vulnerabilidades.
Deben incorporarse principios de diseño de red, como la confianza cero, para permitir un aislamiento rápido de las máquinas infectadas y limitar y contener la propagación de ransomware y otro malware internamente. La inteligencia artificial (IA) también podría desempeñar un papel en el refuerzo de la ciberseguridad. Por ejemplo, la coincidencia de patrones de comportamiento anómalos permitiría a los sistemas identificar y aislar rápidamente patrones de comportamiento inusuales. Por ejemplo, el informe X-Force de IBM de 2023 sugirió que los algoritmos de aprendizaje automático tenían una tasa de éxito de hasta el 85 % en la identificación de ataques de ransomware mediante el análisis de patrones de tráfico de red. Al identificar y responder rápidamente a actividades inusuales, como el cifrado repentino de grandes cantidades de datos, el impacto de un ataque de ransomware se puede mitigar de manera más efectiva.
En esencia, la clave para hacer frente a los ataques de ransomware podría no residir únicamente en prohibir los pagos. En cambio, una combinación de estrategias, que incluyan medidas de seguridad sólidas, transparencia, educación continua y aprovechamiento de la tecnología de inteligencia artificial, podría ser una forma más eficaz de avanzar.
John Scott es investigador principal de seguridad cibernética en CultureAI