Enfrentarse a un ataque de ransomware es la peor pesadilla de cualquier empresa. El dilema que se plantea tras el cifrado de los datos y la petición del rescate es angustioso: ¿debería ceder a las exigencias de los atacantes y pagar, con la esperanza de recuperar el acceso a sus datos críticos? ¿o por el contrario debería negarse y enfrentarse a una pérdida de datos permanente, a un tiempo de inactividad indefinido y a pérdidas económicas potencialmente devastadoras?

Ambas opciones implican caminar por la cuerda floja y plantean retos éticos, jurídicos y prácticos. La cuestión de si pagar o no un rescate no es sencilla, ya que conlleva sopesar la necesidad inmediata de restablecer la actividad frente al riesgo de ser blanco de nuevas actividades delictivas. Aunque sucumbir a la extorsión es como rendirse, las consecuencias del incumplimiento normativo pueden ser igualmente devastadoras.

¿Existe una mejor forma de actuar en esta situación de riesgo en la que siempre se pierde? 

Pagar: Una decisión compleja en un contexto normativo cambiante

Antes de 2020, el pago de rescates era una respuesta habitual, aunque controvertida, a los ataques de ransomware. La esperanza de una rápida recuperación de los datos a menudo tenía más peso que las preocupaciones éticas sobre la financiación de actividades delictivas. Sin embargo, en 2020, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro impuso sanciones a muchos grupos de ransomware. Aunque no supuso la prohibición total del pago de rescates, sí que se ilegalizaron las transacciones con cualquier persona o entidad incluida en la lista de la OFAC, con el objetivo de desbaratar los incentivos económicos que impulsaban los ataques de ransomware y disuadir a las víctimas de financiar actividades delictivas.

La Unión Europea ha adoptado un enfoque diferente, haciendo hincapié en denunciar los ataques, cooperar con las fuerzas de seguridad y compartir información entre los Estados miembros. Sin embargo, no prohíbe explícitamente el pago de rescates, dejando que cada organización decida. A pesar de los cambios normativos y las posturas firmes, la presión sobre las empresas sigue siendo enorme, dejando a muchas de ellas atrapadas entre el cumplimiento normativo y la supervivencia, especialmente cuando la insolvencia se cierne en el horizonte.

El ransomware aumentó durante la COVID-19 pero sigue avanzando con fuerza

La pandemia de COVID-19 supuso una oportunidad de oro para los ciberdelincuentes. En un momento en que las empresas se apresuraban para adaptarse a entornos de trabajo remotos, las vulnerabilidades de seguridad aumentaron y las medidas de seguridad se debilitaron. Los ataques de ransomware se dispararon hasta los 304,64 millones en 2020, un aumento del 62 % en comparación con 2019.

Los esfuerzos de las autoridades para frustrar el éxito del ransomware se han topado con tácticas innovadoras por parte de los ciberdelincuentes, lo que ha dado lugar a un fenómeno conocido como “doble extorsión”, en el que los datos se cifran y se exfiltran, obligando a las víctimas a pagar dos rescates: uno para descifrar los datos y otro para evitar que se filtren o se vendan en la Dark Web.

Otro factor que contribuye al aumento de los ataques es que los actores de amenazas han convertido la ciberdelincuencia en una industria mediante la introducción de modelos de ransomware como servicio (RaaS), que ofrecen a los hackers inexpertos la capacidad de lanzar ataques utilizando herramientas avanzadas listas para usar. En 2022, es indudable que RaaS contribuyó a los 493,33 millones de intentos de ransomware detectados en todo el mundo. 

El 73% de las organizaciones que sufrieron ataques de ransomware el año pasado se enfrentaron a una presión casi insoportable. Más allá de la interrupción de su actividad, la amenaza de la filtración de datos confidenciales puede acarrear daños irreparables a su reputación, cuantiosos gastos legales, la divulgación de información confidencial y muchas otras consecuencias. Pagar el rescate puede parecer una solución rápida para recuperar el acceso a los datos y reanudar la actividad, pero un informe de Veeam descubrió que, a pesar de pagar el rescate, una cuarta parte de las organizaciones ni siquiera pudieron recuperar sus datos.

Los pros y los contras de pagar un rescate de ransomware

Para el año 2031, se producirán ataques de ransomware cada dos segundos, y solo el ransomware costará a las víctimas 265.000 millones de dólares. Todas las empresas se encontrarán en la temida circunstancia de decidir si pagan o no un rescate. Como todo en la vida y en los negocios, ambas opciones tienen pros y contras. 

He aquí una visión general pero equilibrada de las posibles ventajas e inconvenientes de cada opción:

Los pros de pagar:

• Recuperación de los datos potencialmente más rápida: Esta es la principal motivación para muchas empresas, especialmente las que tienen opciones de copia de seguridad limitadas.
• Reducción del tiempo de inactividad: Reanudar la actividad rápidamente puede mitigar las pérdidas económicas.

Los contras de pagar:

• No hay garantía de recuperar los datos: Incluso después de pagar, es posible que los atacantes no descifren los datos, que sólo proporcionen un descifrado parcial o que exijan más dinero.
• Fomenta los futuros ataques: Pagar refuerza el modelo de negocio del atacante y convierte a su organización en objetivo de futuros ataques.
• Implicaciones legales: El incumplimiento de las sanciones de la OFAC o de otras normativas puede acarrear cuantiosas multas y repercusiones legales.
• Carga financiera: Las peticiones de rescate pueden ser exorbitantes, lo que supone una importante carga económica.

Los pros de no pagar:

• Evita problemas legales y éticos: Cumplirá la normativa y evitará apoyar actividades delictivas.
• Reduce el riesgo futuro: Resistirse a la extorsión disuade de futuros ataques y envía el mensaje de que no se dejará intimidar.

Los contras de no pagar:

• Pérdida de los datos: Se arriesga a perder permanentemente el acceso a los datos críticos.
• Tiempo de inactividad: Las interrupciones de la actividad empresarial pueden acarrear importantes pérdidas económicas.
• Daños reputacionales: Un ataque de ransomware puede dañar la imagen de su marca y la confianza de sus clientes.

Aunque en última instancia la decisión corresponde a cada organización, los contras de pagar superan a los beneficios a corto plazo. Sin embargo, la verdadera ganancia está en otra parte.

La prevención es la clave del éxito de la defensa

En lugar de lidiar con el dilema de “pagar o no pagar”, la mejor estrategia de defensa es dar prioridad a la prevención. La aplicación de medidas de ciberseguridad, como la protección de los puntos finales, la segmentación de la red, la aplicación de parches de seguridad y la formación de los empleados, puede reforzar las defensas y mitigar el riesgo de sufrir un ataque. Una sólida estrategia de copias de seguridad que siga la regla 3-2-1-1-0 garantiza la rápida recuperación de los datos y la continuidad de la actividad en caso de ataque.

Sin embargo, la combinación del poder de las herramientas de prevención con una solución de detección como un MDR de supervisión y detección 24/7 mejora la visibilidad de las amenazas potenciales, permitiendo una respuesta y una contención proactivas. La detección temprana es esencial para frustrar los ataques de ransomware, ya que una respuesta rápida permite evitar el cifrado de sistemas críticos y minimizar el impacto en las actividades de la empresa. Para una empresa dedicada a la fabricación, resultó ser un salvavidas. Cuando el equipo de inteligencia sobre amenazas de CYREBRO investigó una alerta, identificó a un actor de amenazas conocido por lanzar ataques de ransomware. Junto con el equipo DFIR, se pusieron manos a la obra, localizaron el ransomware y evitaron que se activara.

Navegar por el panorama normativo

Los organismos reguladores están avanzando hacia la disuasión o la prohibición del pago de rescates. Las recientes actualizaciones de la Comisión de Bolsa y Valores (SEC) subrayan la creciente importancia de la gobernanza y la transparencia en materia de ciberseguridad. El cumplimiento de las normas reguladoras ya no es opcional, sino esencial para las empresas que tratan de navegar por el complejo panorama de la ciberseguridad y mantener sus responsabilidades fiduciarias con los accionistas y las partes interesadas.

La decisión de pagar un rescate está plagada de riesgos y consecuencias que van mucho más allá de las secuelas inmediatas de un ataque. Aunque la tentación de ceder a las exigencias de los ciberdelincuentes puede parecer irresistible, las repercusiones a largo plazo superan cualquier beneficio a corto plazo. Al priorizar la prevención y la integridad de los datos, las empresas pueden fortalecer sus defensas y mitigar el riesgo de ser víctimas de la extorsión del ransomware desde un principio. En un panorama repleto de incertidumbre y amenazas cambiantes, la resistencia proactiva es la clave para evitar acabar en una situación de pérdida inevitable y salvaguardar el futuro de la ciberseguridad empresarial.