bienvenido a t-cert
La gran cantidad de casos de víctimas que decidieron pagar el rescate luego de sufrir el impacto del ransomware no reflejan la mejor forma de utilizar los presupuestos asignados para el área de ciberseguridad o el capital de los accionistas, ni tampoco la mejor forma de usar los fondos que brinda la industria de seguros. Entonces, ¿por qué tantas compañías han decidido pagar y qué se necesita para evitar que esto siga ocurriendo?
En términos simples, puede ser, o al menos parecer inicialmente, que resulte más rentable pagar que no pagar. El comportamiento actual de pagar los rescates probablemente tiene como origen lo que ocurrió con el brote del ransomware WannaCryptor (también conocido como WannaCry) en 2017, cuando varias organizaciones éticamente valientes sentaron un precedente al negarse a pagar. Una de ellas fue el Servicio Nacional de Salud del Reino Unido, que sufrió un impacto significativo en su infraestructura. Las razones por las que se vio tan afectado están bien documentadas, al igual que los costos de reconstrucción: se estima que cerca de US$ 120 millones. Esto sin considerar los costos en términos humanos debido a las más de 19,000 citas canceladas, incluidas las consultas oncológicas.
Luego, en 2018, la ciudad de Atlanta sufrió un ataque del ransomware SamSam que afectó la infraestructura de servidores de su ciudad inteligente y los cibercriminales exigieron lo que en ese entonces parecía una suma enorme por el rescate: 51.000 dólares. Varios años después, y según los informes, sabemos que los costos reportados para la reconstrucción de los sistemas se ubican entre los US$ 11 millones y US$ 17 millones. Esta diferencia tiene en cuenta que parte de la reconstrucción incluyó mejoras. Estoy seguro de que muchos contribuyentes de la ciudad de Atlanta hubieran preferido que la ciudad pagara el rescate.
Con varios ejemplos existentes de incidentes públicos que muestran que el costo de la reconstrucción es significativamente mayor que el costo del pago del rescate, entonces el dilema de pagar o no puede tener que ver más con lo económico que con lo ético. Como los dos ejemplos anteriores son de gobiernos locales, la brújula moral de estas víctimas probablemente influyó en la decisión de intentar no financiar el próximo incidente de los cibercriminales. Por desgracia, solo un año después, los municipios de Lake City y Riviera Beach en Florida, Estados Unidos, desembolsaron US$ 500.000 y US$ 600.000, respectivamente, para pagar las demandas tras un ataque de ransomware.
No hay garantía de que se recibirá un descifrador o de que efectivamente funcionará. De hecho, una encuesta reciente de Cybereason encontró que cerca de la mitad de las empresas que pagaron rescates no lograron recuperar el acceso a todos sus datos críticos después de recibir las claves para descifrar la información. Entonces, ¿por qué pagar el rescate? Bueno, el negocio del ransomware se volvió más comercial y sofisticado tanto del lado de las víctimas como de los atacantes. Por un lado, los cibercriminales entendieron el valor que tienen los datos comprometidos en un ataque al hacerse público los costos de reconstrucción que tienen que enfrentar las víctimas para recuperarse. Y por otro lado, a raíz del surgimiento de nuevos segmentos en la industria, como es el caso de los intermediarios contratados para negociar y los seguros ante incidentes informáticos. De esta manera nació un nuevo segmento empresarial conformado por empresas y particulares que empezaron a lucrar facilitando el pago de las demandas extorsivas.
También es importante recordar los efectos devastadores que puede tener el ransomware en una empresa más pequeña que tiene menos probabilidades de tener acceso a estos recursos. Pagar el rescate puede ser lo que defina que el negocio sobreviva para seguir luchando o cerrar las puertas para siempre, como le pasó a The Heritage Company, que tuvo que cerrar y por esta razón perdieron sus puestos de trabajo 300 personas. En países en los que existen regulaciones entorno a la privacidad, el pago también puede eliminar la necesidad de informar al regulador; sin embargo, sospecho que siempre se debe informar al regulador de la infracción, independientemente de si el pago se realizó con la condición de eliminar los datos exfiltrados.
En octubre de 2020, la Oficina de Control de Activos Extranjeros (OFAC, por sus siglas en inglés) del Departamento del Tesoro de los Estados Unidos, declaró en algunos casos ilegal el pago a los atacantes. Para dejar en claro, es ilegal facilitar el pago a personas, organizaciones, regímenes y, en algunos casos, países enteros que están en la lista de sanciones. Vale la pena aclarar que algunos grupos cibercriminales están en la lista de sanciones. Entonces, ¿no era ya ilegal enviar o facilitar el envío de fondos a alguien en la lista de sanciones? Creo que probablemente lo fue. Entonces, ¿qué hay de nuevo en este anuncio? La respuesta es la política: los votantes deben pensar que sus gobiernos están haciendo algo para detener la ola de pagos a los ciberdelincuentes. La Unión Europea sigue un sistema similar con un régimen de sanciones que prohíbe poner fondos a disposición de quienes integran la lista oficial de sanciones.
Aparte del fallo de la OFAC, en los Estados Unidos todavía no hay una guía clara acerca de los pagos por ransomware y, según los expertos, el pago incluso puede ser deducible de impuestos. Esto puede influir en el proceso de toma de decisiones sobre si una empresa permite o no ser extorsionada.
La atribución de la ubicación o de las personas detrás de un ciberataque es compleja de probar y la tecnología generalmente ayuda que muchos de estos grupos logren permanecer anónimos y nómadas, o al menos en parte. Sin embargo, saber a quién se está pagando podría ser fundamental al momento de decidir si pagar o no, ya que pagar inadvertidamente a una persona o grupo que integra una lista de sanciones podría hacer que el beneficiario caiga en el lado equivocado de la ley. Recuerde que algunas personas en la lista pueden aprovechar la oportunidad para esconderse dentro de un grupo, y aun así compartir las ganancias, posiblemente haciendo que el pago sea ilegal.
.jpg){kind=small}