Ciberseguros y cibercrimen ante “la devastadora epidemia global de ransomware”. Se eliminan coberturas

Sergio De Los Santos    10 mayo, 2021
Pagar o no pagar a los criminales que cifran los datos de una compañía

AXA Francia elimina de su cobertura de ciberseguro el pago de rescate por ransomware. Esta decisión se ha tomado en el contexto de una mesa redonda del senado en Francia que abordaba “la devastadora epidemia global de ranswomare”. La decisión de la aseguradora es de gran calado, por cómo puede repercutir en las víctimas, el resto de aseguradoras y el futuro en general del ecosistema del cibercrimen basado en ransomware todavía lejos de encontrarse controlado.

Internet está lleno de artículos explicando por qué no debe pagarse el ransomware. Y probablemente aporten datos interesantes, pero si no se diferencia entre el tipo de ransomware y quién es el afectado, las razones expuestas pueden no tener tanto sentido. Por tanto, es necesario explicar bien las circunstancias del afectado para entender por qué no debe pagarse y sobre todo, entender bien la situación para tomar las decisiones adecuadas.

Ransomware doméstico y profesional

Lo primero es tener claro que existen dos tipos de ransomware: doméstico y profesional. El primero apareció de forma masiva sobre el 2012, como evolución natural del malware del “virus de la policía” y afectaba al usuario medio. Desde 2017, no ha desaparecido pero su incidencia ha bajado considerablemente. Eran ataques a víctimas aleatorias desprevenidas que pedían cantidades elevadas pero abordables por un individuo. Este tipo de ataque “doméstico” tiene una respuesta quizás más directa: no debe pagarse a no ser que haya una buena razón para ello. Pero si hablamos de organizaciones, pymes o grandes empresas hay que tener en cuenta que su negocio, sustento, clientes y futuro depende de recuperar esos datos y por tanto la respuesta se complica.

En un ataque de ransomware profesional todo es más complejo, estamos hablando de campañas que han podido suponer meses de trabajo y estudio para el atacante, con el único objetivo de entrar hasta las entrañas de la red (a veces, enorme) y, en el momento exacto, tomar el control y cifrarlo todo. Desde ese momento, cada día se pierden miles y miles de euros por no poder operar, ante la frustrante imposibilidad de llevar adelante el negocio. La situación es mucho más crítica y seria, y por eso los atacantes piden del orden de millones de euros por el rescate, o incluso una parte proporcional de su facturación (que por supuesto conocen) que están seguros sus víctimas pueden permitirse. En ese momento comienza una negociación, porque cuando hay tanto en juego no pagar no es algo que se descarte enseguida. Igual que en la con ciertos secuestros de personas el pago es una opción que siempre se baraja.

Situación crítica

Desde hace un tiempo, además, la extorsión es doble. Las víctimas no solo se enfrentan a datos perdidos sino al filtrado público de la información si no pagan. La sensación de impotencia es generalizada. Que no se nos olvide la devastadora situación que vivimos. Tanto que AXA ha tomado una decisión en Francia: la cobertura del ciberseguro no devolverá el dinero del rescate a los clientes que paguen por la extorsión. Los ciberseguros como el de AXA, que podían llegar a cubrir el gasto por el pago del rescate, han concluido que esta cláusula normalizaba precisamente la menos traumática de las salidas: pagar y ceder a la extorsión. Y también suponemos que no les salía a cuenta con tanto incidente. Parece que normalizar el pago no solo ha hecho que el negocio del seguro no sea rentable sino que ha alimentado la propia industria del cibercrimen. Recordemos que una de las estrategias contra los atacantes es que si no se les paga, el negocio de la extorsión dejará de serles rentable.

Pero ¿qué alternativa tienen las organizaciones que de no pagar, se ven obligadas a cerrar? O ceden a la extorsión y alimentan el proceso que fortalece a los atacantes (y se perpetúa contra otras compañías que serán venideras víctimas) o se resisten al pago y lo pierden todo. Porque no es el momento de culpabilizar a la víctima (bastante tiene ya) porque su backup también haya sido cifrado, no funcionase, o simplemente no dispusiera de ninguno.

Soluciones fáciles de plantear, complejas de implementar.

El negocio del ransomware no solo debe estrangularse evitando financiar la extorsión, sino también mejorando la seguridad de las empresas y con unas leyes eficaces que persigan a los criminales con penas que desincentiven los ataques. La situación precisa de varias aproximaciones desde muchos ángulos. Asegurar las empresas a su vez requiere emplear las medidas adecuadas para cada compañía. Algunas necesitarán medidas más complejas, otras más sencillas y todas concienciación. Pero obviar el problema o pensar que le es ajeno es la peor estrategia.

Desde el punto de vista legal, existen también tantos ángulos como figuras conviven en este ecosistema. El negocio del cibercrimen se ha industrializado tanto desde el punto de vista de los atacantes como del de las víctimas que ya usan a las aseguradoras asiduamente para hacer frente a la crisis. Muchos más afectados de los que pensamos están pagando, hasta el punto de que el proceso de pago en sí, se ha convertido en un negocio.

Se usan a intermediarios y otras figuras como aseguradoras para hacer frente a la crisis. Cuando la continuidad de negocio es crítica, las compañías afectadas ponen en marcha varias vías. Por supuesto, el intento de recuperación técnica, la evaluación de daños, etc. Pero también se inician otras vías “diplomáticas”, que pueden incluir un contacto con los atacantes y con otras compañías.

Con los atacantes se regatea y se negocia, se establece una línea de diálogo como si de cualquier otro tipo de transacción se tratase. Incluso puede que los extorsionadores ofrezcan unos útiles consejos después de que la víctima haya pasado por caja. Y, como cualquier negociación, se puede delegar. A la luz de este turbio negocio de la extorsión, han surgido los intermediarios que ofrecen servicios de “consultoría” que impliquen abordar esa negociación y el pago del rescate. Puede que a las aseguradoras les compense más pagar a los atacantes que al afectado por los daños sufridos en función de lo que cubra su seguro.

En resumen, un complejo entramado donde no todo está tan claro cuando hablamos de cifras y sobre todo muy distante del entorno doméstico donde las directrices suelen ser más claras. Las nuevas leyes en general buscan estrangular a los extorsionadores impidiendo que su negocio sea lucrativo, pero es posible que esta medida no sea suficiente porque muchas veces pesa más la continuidad de los negocios legítimos. ¿Cuál será el futuro papel de las aseguradoras tras la decisión de AXA?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *