Los ataques de ransomware no paran de crecer en número y complejidad. Por desgracia, el secuestro de datos se ha convertido en una herramienta muy lucrativa y efectiva entre los cibercriminales.
Sin embargo, una serie de medidas elementales de seguridad pueden reducir su tasa de éxito. Las copias de seguridad, cifradas y offline, son el recurso básico más extendido, aunque no el único. También entran en juego la actualización periódica del software, o el correcto inventario de los sistemas; incluso el control y bloqueo selectivo de servicios y usuarios.
Dudas y más dudas
En anteriores artículos explicábamos cómo prevenir este tipo de ataques y qué hacer cuando somos víctima de un ransomware.
A veces las organizaciones nos encontramos en posiciones en las que a pesar de todas las precauciones y medidas para proteger nuestros activos no somos capaces evitar su robo y el posterior intento de extorsión. Es en ese momento cuando a algunos les entrarán las dudas y tendrán que responder a una pregunta: ¿deberían pagar el rescate?
Los principio éticos y legales dicen que nunca se debe caer en la trampa de pagar por un ransomware. Sin embargo, la presión puede hacernos dudar, más aún si las circunstancias de la empresa son especialmente delicadas.
En general, no es lo mismo robar la base de datos de los gastos de empleados que tener secuestrados los datos confidenciales de los pacientes de un hospital o la información bancaría de los clientes. En definitiva, a mayor criticidad de datos mayores serán las dudas que surgirán en los decisores.
Si le sirve de consuelo, el pago de rescates no es un tema exclusivo del ransomware. ¿Cuántos países habrán pagado por liberar a sus ciudadanos en determinados casos de secuestros? ¿Qué ocurre cuando las consecuencias no pagar el chantaje cuestan vidas? ¿Qué haríamos cualquiera de nosotros individualmente?
Recomendación: No pagar
La decisión final no está exenta de debates y controversias. No en vano, en los ataques de ransomware además se unen otras consideraciones. El hecho de que no existan garantías de recuperar lo secuestrado hace que el peso de la decisión se incline aún más en una dirección.
Por esta y otras razones desde All4Sec nos inclinamos por una única propuesta: nunca se debe pagar por un ransomware.
Justificación
Y para sostenerlo, a continuación, enumeramos algunas razones:
- En primer lugar, pagar este tipo de rescates puede resultar ilegal —como ya se están planteando desde hace tiempo en EEUU—, lo mismo que no informar de que se ha sufrido un ataque de ransomware, sobre todo cuando afecta a datos personales.
Esta no es una cuestión baladí porque, llegado el caso, podríamos estar “resolviendo un delito cometiendo otro delito”.
- Cuando se decide pagar un rescate ante un ataque de ransomware los métodos utilizados para completar la transacción se suelen basar procedimientos anónimos con bitcoins, lo que en ningún caso garantiza la trazabilidad del pago o su posible recuperación.
Todo pago realizado en bitcoins se perderá para siempre si el proceso no se completa con éxito.
- Otra cuestión importante es que el pago no garantizará la recuperación y control de los datos robados.
El proceso de descifrado de información en ocasiones resulta fallido como ha ocurrido en numerosas ocasiones en el pasado, debido a errores en el propio software empleado por los delincuentes. Pero no es lo único que puede ocurrir.
- Al tratarse de activos digitales, es evidente que nada impide que los extorsionadores puedan duplicar los datos una vez han sido exfiltrados y que puedan reutilizarlos en ventas fraudulentas a terceras partes interesadas.
- Por último, y no menos importante, si se paga un rescate se estará contribuyendo al crecimiento de una actividad ilícita.
Gran parte del dinero obtenido por este procedimiento a menudo se reinvierte en crear aplicaciones de ransomware más eficaces que sirven para para cometer nuevos delitos o extorsionar a otras personas u organizaciones.
Otras preguntas con difíciles respuestas
En definitiva, hay que tener en cuenta que el pago de un ransomware tiene implicaciones más allá de las económicas o reputacionales; implicaciones que giran en torno a las tres dimensiones de la seguridad de los datos: su confidencialidad, su integridad y su disponibilidad.
Por eso, si una empresa se decide a pagar, debería hacerse además las siguientes preguntas:
- ¿Podría la víctima garantizar que nadie más tendría acceso a sus datos en el futuro?
- ¿Podrían los ciberdelincuentes atentar contra la integridad de los datos a través del software y las claves de descifrado?
- Incluso pensando en la disponibilidad, ¿no será que pagando un rescate se pone en evidencia que no disponen de un mecanismo para recuperar la información y que por tanto el proceso de gestión de la seguridad de la compañía era manifiestamente mejorable?
Todas son cuestiones que en conciencia resultan difíciles de plantear —y más difícil aún de responder si se tratan con ciertos criterios éticos—, aunque si quieren un consejo, mejor no paguen.