Contenido Exclusivo

Ransomware: ¿pagar o no pagar el rescate?

El ransomware ha sido, y sigue siendo, uno de las ataques más rentables para los ciberdelincuentes, por lo que no hay indicio alguno de que su sofisticación y el volumen de incidentes vayan a descender próximamente, todo lo contrario. Y, es que, una vez cifrados los archivos corporativos, las peticiones de rescate son cada vez más cuantiosas: han pasado de decenas de miles de dólares a millones. Y, es que, los ‘malos’ ya saben que son muchas las compañías que están dispuestas a pagar.

Son varios los factores y divisiones que están involucrados en las decisiones de pago de un rescate, desde el CIO y otros ejecutivos hasta asesores externos y firmas de seguros.

La necesidad de negociar ha hecho florecer un negocio adyacente de consultoría y especialistas que se ofrecen a mediar en las conversaciones y a facilitar los pagos en criptomonedas.

En negocios seguros, concienciados y formados, un ataque de ransomware simplemente debería desencadenar un plan de recuperación ante desastres bien ensayado, pero la realidad no suele ser así; si bien las grandes cuentas suelen tener un equipo de respuesta ante incidentes, los procedimientos para lidiar con varios aspectos específicos a una amenaza de estas características, la posible fuga de datos, la comunicación con clientes y legisladores y tomar la decisión de negociar con los ciberdelincuentes, suelen fallar.

“Incluso las corporaciones que cotizan en bolsa, y que tienen planes sofisticados de ciberseguridad, suelen fallar a la hora de gestionar un ataque de ransomware”, asegura Kurtis Minder, director ejecutivo de GroupSense, una de las firmas especializadas en inteligencia de amenazas y negociación de rescates. “Una vez que llegamos al proceso de negociación de descifrado, y de tomar decisiones comerciales, los agentes a participar no suelen estar documentados y formados”.

Asimismo, las compañías se están encontrando últimamente con una doble amenaza, no solo el cifrado de sus datos y la parálisis de sus sistemas, sino la posibilidad de que los ‘malos’ vendan esta información en el mercado negro, con los problemas regulatorios, además, que puede conllevar esta situación.

Cómo actuar en caso de ransomware

Por todas estas características, los expertos recomiendan tomar dos acciones si se sufre un ataque de ransomware: por una parte, identificar cómo entraron los ciberdelincuentes a los sistemas y cómo consiguieron robar y cifrar los datos; y, tratar de comprender el escenario completo, lo que significa determinar la variante del ransomware, atribuirla a un actor de amenazas y establecer su credibilidad.

Para esto, es necesario contar con un equipo de inteligencia de amenazas, ya sea externo o interno, que realice cosas como notificar el incidente a las autoridades pertinentes, involucrar al equipo forense, y ayudar a la organización a ponerse en contacto con compañías de seguros, etc.

Por otra parte, y a la hora de decidir si se paga o no el rescate, las empresas suelen tomar esa decisión por su cuenta, y luego se comunican con su aseguradora para ver si lo aprueban. En algunos casos, la víctima decide pagar independientemente de si su seguro cubre un pago por ransomware porque el impacto del ataque en su negocio es tan malo que no puede permitirse lo contrario.  Este proceso generalmente involucra al departamento legal, al CIO y al COO.

El CIO está a cargo de los procesos de respaldo y continuidad de negocio. El COO toma decisiones en función de cómo los datos afectados afectan a las operaciones y, el CEO, interviene, en último lugar, para dar la aprobación final al pago del rescate.

En cualquier caso, pagar un rescate no está del todo bien contemplado. En octubre del año pasado la Oficina de Control de Activos Extranjeros del Departamento del Tesoro de Estados Unidos (OFAC, de su voz inglesa) emitió un aviso recordando que puede haber sanciones civiles en caso de pagar un rescate de ransomware.

Lo Más Reciente

Tenable descubre nuevas técnicas de ataque en software de código abierto

El equipo de investigación de seguridad en la nube...

Shopperbot: robot mexicano que ayuda a tomar mejores decisiones de compra

Como parte de las soluciones para impulsar la hiperpersonalización...

Los ‘Scam-Yourself Attacks’ aumentan 614% en el tercer trimestre del año: informe

Los 'Scam-Yourself Attacks' o "ataques de estafa”, en los...

Newsletter

Recibe lo último en noticias e información exclusiva.

José Luis Becerra Pozas
José Luis Becerra Pozashttps://iworld.com.mx
Es Editor de CIO Ediworld México. Contáctalo en jbecerra@ediworld.com.mx o en el twitter @CIOMexico.

Tenable descubre nuevas técnicas de ataque en software de código abierto

El equipo de investigación de seguridad en la nube de Tenable descubrió nuevas técnicas de ataque en los Lenguajes Específicos de Dominio (DSLs, por...

“Mejorar la visibilidad en el ecosistema tecnológico, interno y de cara al cliente” : José Armando López Flores, CISO de Crediclub

“Queremos ser esa institución financiera que cubra con las expectativas de los clientes a través de garantizarles que su patrimonio estará seguro”. Con el objetivo...

Shopperbot: robot mexicano que ayuda a tomar mejores decisiones de compra

Como parte de las soluciones para impulsar la hiperpersonalización en la atención al cliente por medio de la tecnología, PepsiCo México desarrolló a Shopperbot....