La creencia general de que una infracción cibernética es una cuestión de “si” y no “cuándo” significa que todas las organizaciones enfrentan potencialmente la perspectiva muy desagradable de ser infectadas por ransomware, con datos críticos y capacidades operativas que solo se liberan después del pago al atacante.
Manejar un ataque de ransomware requiere que la empresa sopese el valor de los activos incautados y determine el curso de acción más viable para limitar los costos y ayudar a una recuperación rápida.
Antes de analizar si los pagos de ransomware deberían prohibirse, es útil reconocer por qué una organización podría pagar el rescate en primer lugar. A menudo, el pago puede parecer la forma más rápida de resolver el incidente; los datos se recuperan más rápido para que las operaciones normales puedan reanudarse con la menor interrupción posible. Además, el costo total de pagar a los piratas informáticos puede ser menor que el de otros pasos necesarios para la recuperación; Largos períodos de tiempo de inactividad esperando a que se restablezcan las copias de seguridad podrían, en última instancia, agotar aún más los fondos, por ejemplo, mientras que para aquellos que no mantienen copias de seguridad, la perspectiva de tener que reconstruir desde cero simplemente podría no ser viable.
Teniendo en cuenta esas razones prácticas, ¿por qué podría tener sentido prohibir los pagos de ransomware?
El caso a favor de prohibir los pagos de ransomware
Incluso cuando una organización ha pagado la demanda, no hay garantía de que los atacantes cumplan su parte del trato, lo que significa que es posible que las víctimas no recuperen el acceso a sus datos en absoluto (en marzo de este año, por ejemplo, el grupo de cibercrimen ALPHV/BlackCat desapareció después de haber recaudado 22 millones de dólares de una empresa de atención sanitaria estadounidense). Otra posibilidad es que los datos se devuelvan a la empresa, pero los atacantes se queden con una copia que puedan vender al mejor postor, dejando así en riesgo la información de identificación personal (PII) y la propiedad intelectual.
Además, la evidencia sugiere que pagar un rescate no protege a las organizaciones de ser atacadas nuevamente; en todo caso, lo hace más probable. Un estudio global reciente informó que el 78% de las organizaciones que habían pagado un rescate sufrieron un nuevo ataque, y al 63% de ellas se les pidió que pagaran más en la segunda ocasión.
El ajustado plazo necesario para pagar el rescate y volver a la normalidad puede reducir la probabilidad de que las víctimas involucren a las fuerzas del orden, lo que hace que las investigaciones policiales y la presentación de cargos contra los delincuentes sean poco comunes. La amenaza de daño a la reputación también puede disuadir a las empresas de revelar un incidente, lo que tiene el impacto más amplio de obstaculizar la capacidad del sector cibernético para aprender y contrarrestar futuros ataques. Esto perpetúa el ciclo actual de comportamientos de ransomware; Las organizaciones que dejan pasar la oportunidad de apoyar esfuerzos más amplios contra el cibercrimen las exponen a ellas (y a otros) a mayores riesgos en el futuro.
Sin duda, el pago de rescates añade más leña al fuego; Cuanto más se someten las empresas a las demandas de los atacantes, más crece el mercado de ransomware, lo que aumenta el incentivo para que los actores maliciosos sigan esta ruta. Prohibir los pagos por completo podría eliminar el incentivo financiero para que los ciberdelincuentes realicen ataques de ransomware, mientras que varios países que instiguen una prohibición podrían fomentar la cooperación internacional para abordar lo que es un problema global.
También cabe señalar que, una vez pagado, el dinero del rescate puede utilizarse para financiar organizaciones criminales involucradas en diversas actividades ilícitas más allá del ransomware; prohibir los pagos podría perturbar estos flujos de financiación y obstaculizar sus operaciones, protegiendo a su vez a las empresas de la asociación con actividades ilegales y delincuentes conocidos.
Por qué una prohibición podría no ser efectiva
Como se señaló anteriormente, la falta de pago de los rescates puede aumentar los costos de una empresa, aumentando el tiempo de inactividad y retrasando el retorno a la viabilidad operativa. Ambos factores clave constituyen argumentos sólidos (desde una perspectiva empresarial) en contra de la implementación de una prohibición.
Si bien suele ser el elemento financiero el que aparece en los titulares, hay atacantes cuyo objetivo clave es causar la máxima perturbación en la organización o en el entorno más amplio (por ejemplo, dañar la infraestructura crítica o participar en el “hacktivismo”). El dinero es un beneficio secundario, lo que significa que prohibir los pagos puede proporcionar un apalancamiento limitado en términos de detener ataques.
Otra consideración es si una prohibición realmente impediría que las personas realicen pagos. Un riesgo es que todo el proceso se lleve a cabo de forma clandestina, con fondos transferidos de forma encubierta y las víctimas tengan miedo de denunciar los ataques, mientras que los piratas informáticos atacan a las instituciones que menos pueden permitirse el tiempo de inactividad, como hospitales, escuelas y pymes.
Además de todos estos puntos, la realidad es que sería difícil imponer una prohibición de los pagos de ransomware, especialmente teniendo en cuenta el uso de criptomonedas que pueden facilitar los pagos anónimos.
Además, cualquier período de transición antes de que una prohibición entre en vigor requeriría un marco nacional de apoyo riguroso para las víctimas de ransomware para evitar que las empresas de repente se vean incapaces de rectificar rápidamente su situación. Hasta que se presente una ruta de respuesta “oficial” viable y clara que funcione lo suficientemente rápido para las empresas, es posible que muchas simplemente sigan tomando el asunto en sus propias manos.
¿Cuáles son las alternativas?
Independientemente de que los pagos de ransomware estén prohibidos o no, las organizaciones deben saber cómo protegerse y gestionar el riesgo. En primer lugar, desarrollar estrategias para la prevención de infracciones debería ser un pilar central en las operaciones de toda organización, y éstas deben reforzarse con planes de mitigación y respuesta, en caso de que ocurriera lo peor.
La educación y la formación de los empleados también son fundamentales aquí. Se debe reconocer el phishing en todas sus formas, pero también es necesario que haya una apreciación más amplia de los elementos de riesgo humano, como la cultura organizacional, y cómo combatirlos mediante capacitación personalizada y controles de procedimientos.
El elemento humano se ve reforzado por la tecnología. Por ejemplo, la tendencia actual hacia el trabajo remoto e híbrido hace que los empleados dependan en gran medida de las computadoras portátiles y dispositivos móviles, donde pueden almacenar información crítica localmente. Combinar la formación adecuada con controles técnicos pertinentes puede evitar incidentes importantes, en este caso mediante elementos como la autenticación multifactor (MFA) o un sistema de gestión de dispositivos móviles (MDM).
El compromiso de realizar copias de seguridad de los datos también es clave para la resiliencia ante un ataque. Un informe de 2023 sitúa los ahorros en tarifas de recuperación en $1 millón para las empresas que utilizaron copias de seguridad en comparación con aquellas que no habían dado este paso necesario, lo que lo convierte en una consideración importante durante la planificación de la continuidad del negocio y la recuperación ante desastres.
Otras defensas tecnológicas incluyen la IA, que tiene un enorme potencial para detectar y detener ataques de ransomware antes de que ocurran. Las máquinas pueden analizar datos rápidamente y encontrar patrones que los humanos podrían pasar por alto. Por ejemplo, los clientes de correo electrónico podrían incluir la capacidad de realizar análisis iniciales de direcciones de correo electrónico y enlaces integrados para identificar aquellos que parezcan sospechosos.
Alejándose de la tecnología, la colaboración entre agencias gubernamentales, organismos encargados de hacer cumplir la ley, expertos en ciberseguridad y empresas afectadas también podría producir un marco más integrado para combatir el ransomware. La cultura actual de miedo y autoconservación a menudo impide que las empresas hablen abiertamente sobre sus violaciones y “debilidades”, pero esta comunicación es la clave para desbloquear una mayor resiliencia y comprensión en todo el sector. Este enfoque fue adoptado por la Biblioteca Británica, que ha proporcionado amplios detalles del hackeo al que fue sometida en otoño de 2023; La transparencia total tiene como objetivo proporcionar a otras organizaciones información que les ayude a evitar el mismo destino.
Se requieren múltiples herramientas
Hay argumentos válidos en ambos lados de la discusión sobre si se deben prohibir los pagos de ransomware. Para impedir el crecimiento del sector del cibercrimen es necesario detener el ciclo de ataques y pagos mediante una combinación de refuerzo de las ciberdefensas organizacionales y eliminación de los incentivos financieros para los atacantes. Éste no es en modo alguno el camino fácil para ninguna empresa; El verdadero éxito en esta área requerirá una visión a largo plazo para triunfar sobre los problemas a corto plazo, lo que requerirá un enfoque combinado que incorpore aportaciones legales, educación, tecnología y cooperación industrial.