Noticias
Ransomware: pagar no soluciona el problema
Es común, al hablar de ransomware, entrar en el debate sobre si se debe o no se debe pagar a los ciberdelincuentes por recuperar el control de los datos y sistemas comprometidos en el ataque. Y aunque la recomendación universal en estos casos es no pagar, y luego recordaremos las razones para ello, basta con ponerse por unos segundos en la situación de la otra parte para entender que, en bastantes casos, pagar sea (o al menos lo parezca) la solución más sencilla, en una situación en la que en realidad nada es sencillo.
Desde que era adolescente, la canción Pacto entre caballeros de Sabina me ha generado una profunda disonancia cognitiva. Entiendo que Sabina utiliza el término caballeros como sinónimo sarcástico de crápulas, pero precisamente por eso, me cuesta conceder valor de ley a la palabra que, en un momento dado, te pueda dar alguien poco confiable. En el caso de la canción la jugada salió bien, pero si hablamos de ransomware y ciberdelincuentes, las probabilidades de que algo salga mal están, desgraciadamente, muy presentes.
Hay dos razones muy sencillas y contundentes por las que pagar no es la solución. La primera puede sonar utópica, pero en realidad es una ley básica de mercado: si nadie paga, al final nadie «venderá», mientras que cada rescate satisfecho es un incentivo para que los ciberdelincuentes sigan confiando en el ransomware para extorsionar a sus víctimas.
La segunda razón es a la que aludía con mi referencia a la canción de Sabina, y es a que pagar no nos garantiza nada, ni que recuperaremos nuestros datos, ni que estos no acabaran filtrados en la darkweb, ni que el problema haya quedado solucionado, ni que a partir de ese momento formaremos parte de una lista de personas o empresas que ya han sido víctimas del ransomware y, por lo tanto, ya estamos a salvo de nuevos ataques. Muy al contrario, haber pagado en el pasado es un indicador claro de que podríamos volver a pagar en el futuro.
El NCSC (National Cyber Security Centre) británico ha publicado un interesante análisis sobre el presente del ransomware. Merece la pena leerlo por completo, pero hay un párrafo en concreto que me ha llamado la atención:
«We’ve heard of one organisation that paid a ransom (a little under £6.5million with today’s exchange rates) and recovered their files (using the supplied decryptor), without any effort to identify the root cause and secure their network. Less than two weeks later, the same attacker attacked the victim’s network again, using the same mechanism as before, and re-deployed their ransomware. The victim felt they had no other option but to pay the ransom again«.
Efectivamente, has leído bien, dos ataques por parte del mismo ciberdelincuente en menos de dos semanas. El primer rescate fue de alrededor de 7,4 millones de euros, no sabemos el importe del segundo. La víctima, tras el primer ataque, simplemente recuperó sus archivos con las claves de descifrado, pero ni realizó un análisis forense para intentar determinar las causas del ataque, ni adoptó medidas para evitar que algo así se pudiera repetir en el futuro. Y se repitió.
El ransomware no aparece por arte de magia en los sistemas, lo hace explotando fallos de seguridad o mediante el engaño, y una de las primeras cosas que hacen los atacantes es consolidar su acceso a dichos sistemas. Por lo tanto, si hay al menos una razón para protegerse frente a un ataque de ransomware antes de que haya ocurrido, debemos sumar una razón más en caso de que ya hayamos pasado por tan traumática experiencia.
Confiar en un ciberatacante nunca es una buena opción. Y entiendo que hay casos en los que las circunstancias pueden hacer que pagar sea la opción menos mala. Pero, en tal caso, el siguiente paso debe ser ponerse manos a la obra, de inmediato, para detectar cómo se produjo el ataque, qué puertas han podido quedar abiertas y, en consecuencia, actuar de manera inmediata para que no se pueda producir un ataque similar en el futuro. Lo contrario es confiar en pactos entre caballeros en los que, en realidad, una de las dos partes está muy lejos de serlo. Y confiar en esa parte, puede salir muy caro.