El precio final: La moralidad de pagar un rescate de ransomware
Qué hacer cuando los datos son robados y no hay otra salida que negociar con los ladrones.
Por David Simon, IT Evangelist en ManageEngine.
«¿Has hecho una copia de seguridad de tus archivos?»
Si te dieran un billete por cada vez que escuchas esto y actúas de inmediato, ya serías multimillonario.
Pero por desgracia, estamos aquí porque no actuaste con la diligencia debida y ahora tienes que pagar el
precio final: tus datos se han visto comprometidos y tendrás que decidir qué hacer al respecto. Pero no
te sientas tan mal; la copia de seguridad de datos a nivel corporativo es un lujo que no todo el mundo
puede disfrutar. A veces, lo mejor que uno puede hacer es proteger sus datos con las mejores soluciones
de ciberseguridad.
Es una píldora difícil de tragar, pero al igual que las cláusulas de exención de responsabilidad en la mayoría
de los envases de champú o tubos de pasta de dientes, incluso las mejores soluciones de ciberseguridad
del mundo no son 100% eficaces, información que los proveedores de soluciones nos mantienen al tanto
para que no decidamos seguir una ruta legal equivocada y en su mayoría inefectiva.
Lo peor es que, en la mayoría de los casos, pagar el rescate exigido por el atacante no será la mejor opción.
¿Dónde está la letra pequeña que garantiza que todos tus archivos serán recuperados una vez pagado el
rescate? Es imperativo tener en cuenta que, cuando se trata de una entidad ciberdelictiva (o incluso de
una organización terrorista), cualquier pago que se realice podría implicar la complicidad en un delito
cibernético o, peor aún… ¡Terrorismo! Cuando te enfrentas a este dilema moral, ¿es ético pagar?
No hay honor entre ladrones
Si un ataque de ransomware ha cifrado archivos de gran valor, a veces no queda más remedio que pagar
el rescate. Supongamos que un hospital sufre un ataque y los datos que han sido cifrados son
absolutamente críticos para el bienestar y la recuperación de los pacientes. Lo moralmente correcto es
pagar el rescate, casi como en una situación de rehenes, pero en este caso se trata de datos vitales que
están siendo retenidos.
Sea cual sea la desorbitada petición del secuestrador, casi siempre se cumple, normalmente, mediante la
transferencia de moneda digital. Una vez realizada la transferencia, el atacante debe proporcionar una
clave de descifrado para desbloquear los archivos. Pero, ¿cuál es la probabilidad de que el hospital
recupere sus datos? Recuerda que están tratando con un delincuente cuya principal preocupación es
ganar dinero, no el bienestar de los datos robados.
Existe una alta probabilidad de que el atacante proporcione una clave falsa, una clave incompatible o,
peor aún, que los archivos estén doblemente cifrados y la clave solo funcione para una capa de cifrado.
En estos casos, negociar con el atacante o intentar obtener ayuda adicional de él podría resultar inútil. La
siguiente mejor opción sería buscar la ayuda de un servicio de recuperación de ransomware. En este caso,
un responsable de cumplimiento de normativas guiará a la organización a través de la logística de
evaluación de la situación, informando a las autoridades si es necesario, y también proporcionará apoyo
técnico para trabajar en el descifrado.
Negociar con delincuentes no es una posición en la que alguien quiera estar. En una situación con rehenes,
una vez que se produce la entrega, nunca es seguro que el rehén salga ileso. Por eso hay un equipo de
refuerzo para asegurarse de que las cosas van según lo previsto. En una situación de recuperación de
ransomware, buscar la ayuda de un servicio de recuperación y un equipo legal es como tener un
escuadrón de francotiradores que vigile «a tus seis».
Las consecuencias de tomar las decisiones «correctas”
Tomar decisiones difíciles, cuyas consecuencias pueden afectar directamente al negocio, es una
responsabilidad enorme. Hemos analizado un caso en el que pagar al atacante podría significar la vida o
la muerte, pero ¿y si el impacto de perder los datos no es tan grave? ¿Y si el impacto es financiero?
Has adoptado una postura moral firme que refleja tu política de tolerancia cero frente a la
ciberdelincuencia. Has descartado cualquier posibilidad de negociar con los atacantes y pagar un rescate.
Has solicitado la ayuda de servicios de recuperación de ransomware de todo el mundo y, a pesar de sus
esfuerzos por convencerte de que pagues, te has mantenido fiel a tus convicciones y te has negado
rotundamente. Has perdido toda esperanza de recuperar tus datos, pero crees que tu empresa podrá
levantarse, sacudirse el polvo y seguir adelante. Pero en realidad no todo es blanco o negro.
En 2019, la ciudad estadounidense de Baltimore (Maryland) sufrió un ataque de ransomware. Su alcalde
en ese momento se negó a pagar el rescate de 76.000 dólares, y en su lugar optó por reemplazar y
reinstalar sus redes perdidas desde cero, lo que terminó costándole a la ciudad 18,2 millones de dólares.
La moral y la ética jugaron un papel muy importante en la toma de decisiones del alcalde. Puede que le
costara millones a la ciudad, pero según su conciencia tomó la decisión correcta.
Las decisiones correctas no siempre son las mejores. No pagar un rescate significa que no estás
fomentando la ciberdelincuencia ni sucumbiendo a la intimidación, pero podría perjudicar en gran medida
tus resultados. Por otra parte, pagar el rescate al atacante puede ayudarte a recuperar tus archivos, pero
seguirás siendo propenso a nuevos ataques a menos que refuerces tu ciberseguridad y elimines la
vulnerabilidad por completo. Una ciberseguridad sólida unida al buen comportamiento de los empleados
te ayudará a asegurarte de que nunca tendrás que tomar decisiones tan difíciles en tu carrera.
Con la popularización de los espacios de trabajo híbridos, se está dando mucha importancia a la seguridad
de los puntos finales, ya que los usuarios tienden a utilizar no solo los dispositivos de la empresa, sino
también sus propios dispositivos para trabajar. Esto da lugar a una variedad de problemas que algunos
equipos de TI pueden no estar equipados para manejar. Contar con una sólida seguridad de los puestos
finales ayuda a detener preventivamente los ciberataques. Y no solo eso, la formación periódica sobre las
mejores prácticas de ciberseguridad e higiene ayudará a reforzar la mentalidad de que la seguridad es lo
primero entre una plantilla en constante evolución, aliviando así la carga de trabajo de los departamentos
de TI.
Los responsables experimentados desempeñan un papel crucial en el progreso de sus empresas. Para
ellos, tomar decisiones que repercuten en el negocio se ha convertido en un proceso tan mundano e
intrascendente; o en palabras del gran BB King, «the thrill is gone» (la emoción ha desaparecido).
La realidad es la siguiente: la probabilidad de que una empresa sufra un ataque de ransomware, por no
hablar de un ciberataque, es muy alta, y llegará un momento en que te pondrán en un aprieto. El precio
final no serán tus archivos perdidos o cifrados, ni la cantidad que tendrás que pagar como rescate. El
precio final será ponerte en la tesitura de tener que elegir entre tu integridad y tus responsabilidades
empresariales, todo por no haber sido precavido. Entonces, ¿qué va a ser? ¿Una ciberseguridad sólida o
pagar el precio final?
La decisión es tuya.
