¿Pagar cuando te infectas por ransomware? Demasiados grises

Sergio De Los Santos    13 octubre, 2020
¿Pagar cuando te infectas por ransomware? Demasiados grises.

Internet está lleno de artículos explicando por qué no debe pagarse el ransomware. Y probablemente llevan razón, pero si no se diferencia entre el tipo de ransomware y quién es el afectado, las razones expuestas pueden no tener tanto sentido. Por tanto, es necesario explicar bien las circunstancias del afectado para entender por qué no debe pagarse y sobre todo, entender bien la situación para tomar las decisiones adecuadas.

Dos tipos de ransowmare

Lo primero es tener claro que existen dos tipos de ransomware. El primero apareció de forma masiva sobre el 2012, como evolución natural del malware del “virus de la policía” y afectaba al usuario medio. Desde 2017, no ha desaparecido pero su incidencia ha bajado considerablemente. Eran ataques a víctimas aleatorias desprevenidas que pedían cantidades elevadas pero abordables por un individuo. Este tipo de ataque “doméstico” tiene una respuesta quizás más directa: no debe pagarse a no ser que haya una buena razón para ello. Nadie garantiza que se devuelvan los archivos (un ejemplo divertido es esta anécdota  en la que, a pesar de no haber infectado nada realmente, el atacante seguía insistiendo en que debía pagarle). Tampoco que se vuelva a extorsionar a la víctima. Y la mayoría de las veces, es más que probable que el usuario pueda seguir viviendo sin sus muchos de sus ficheros, datos, etc. Pero… ¿y si su negocio, sustento, clientes y futuro depende de recuperar esos datos? Entonces, la respuesta se complica.

Cuando el ataque es profesional

Porque no es el momento de culpabilizar a la víctima (bastante tiene ya) porque su backup también haya sido cifrado, no funcionase, o simplemente no dispusiera de ninguno. En un ataque de ransomware profesional todo es más complejo, estamos hablando de campañas que han podido suponer meses de trabajo y estudio para el atacante, con el único objetivo de entrar hasta las entrañas de la red (a veces, enorme) y, en el momento exacto, tomar el control y cifrarlo todo. En esos momentos ya es muy tarde. Todo el sistema queda cifrado y a veces se necesitan meses para comprobar no solo que se ha recuperado el sistema si no que los atacantes no pueden volver a entrar. Aquí, cada día se pierden miles y miles de euros por no poder operar, ante la frustrante imposibilidad de llevar adelante el negocio. La situación es mucho más crítica y seria, y por eso los atacantes piden del orden de millones de euros por el rescate. En ese momento comienza una negociación, porque cuando hay tanto en juego, no pagar no es algo que se descarte enseguida. Igual que en la vida real con secuestros de personas en los que el pago es una opción que siempre se baraja.

Pero es siempre la última opción. De hecho, es una opción que puede que termine siendo oficialmente ilegal. En julio de 2019, la confederación de alcaldes de Estados Unidos en su encuentro anual, recomendó no pagar. Si se paga, se les incentiva para seguir atacando, decían. En ese caso, el estamento no iba más allá del puro posicionamiento “moral”, pues no resultaba vinculante. Luego se fue más allá, dos propuestas de dos senadores (uno demócrata y uno republicano) contemplaban en enero de 2020 que se prohibiese gastar dinero público en estos rescates. El senador republicano proponía, además, que se crease un fondo para ayudar a las organizaciones a mejorar su ciberseguridad.

Se sigue yendo más allá. Ahora la Oficina de Control de Activos Extranjeros de la Tesorería (OFAC) comunica que “las empresas que facilitan los pagos de ransomware a los ciberdelincuentes en nombre de las víctimas, incluidas instituciones financieras, empresas de seguros y empresas involucradas en análisis forense y respuesta a incidentes no solo fomentan las futuras demandas de pago de ransomware, sino que también corren el riesgo de violar las regulaciones de la OFAC”. El objetivo sería multar tanto a los que pagan, a los intermediarios y a los que reciben el dinero (si es que pudiesen ser identificados).

Más figuras de las que imaginas

En realidad, la recomendación se resume en que en vez de pagar, se debería colaborar con las fuerzas del orden y no involucrar a intermediarios “tapadera” bajo pena de cometer ya algo ilegal y tipificado. ¿La razón? Muchos más afectados de los que pensamos están pagando, hasta el punto de que el proceso de pago en sí, se ha convertido en un negocio.

El negocio del ransomware se ha industrializado tanto desde el punto de vista de los atacantes (técnicas muy elaboradas, un trato muy profesional…) como desde el punto de vista de las víctimas, que ya usan a intermediarios y otras figuras como aseguradoras para hacer frente a la crisis. Cuando la continuidad de negocio es crítica, las compañías afectadas ponen en marcha varias vías. Por supuesto el intento de recuperación técnica, la evaluación de daños, etc. Pero también se inician otras vías “diplomáticas”, que pueden incluir un contacto con los atacantes y con otras compañías.

Con los atacantes, se regatea y negocia, se establece una línea de diálogo como si de cualquier otro tipo de transacción se tratase. Incluso, puede que los extorsionadores ofrezcan unos útiles consejos después de que la víctima haya pasado por caja. Y como cualquier negociación, se puede delegar. A la luz de este turbio negocio de la extorsión, han surgido los intermediarios que ofrecen servicios de “consultoría” que impliquen abordar esa negociación y el pago del rescate. En este escenario industrializado, normalmente el pago sí garantiza la recuperación. Incluso yendo más allá, las aseguradoras pueden ejercer de intermediarios. Puede que a estos negocios les compense más pagar a los atacantes que al afectado por los daños sufridos en función de lo que cubra su seguro.

En resumen, un complejo entramado donde no todo está tan claro cuando hablamos de cifras y sobre todo muy distante del entorno doméstico donde las directrices suelen ser más claras. Las nuevas leyes en Estados Unidos buscan estrangular a los extorsionadores impidiendo que su negocio sea lucrativo… pero es posible que esta medida no sea suficiente porque muchas veces pesa más la continuidad de los negocios legítimos. La supervivencia… no a cualquier precio, si no al que (lamentablemente) imponen unos delincuentes.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *