El equipo de investigación de ESET, compañía de seguridad informática, analiza el caso de víctimas de ransomware que ceden ante las demandas de los atacantes y comenta qué se necesita para evitar esta práctica. El pasado fin de semana más de 1.000 compañías en el mundo, se vieron comprometidas por un ataque del ransomware REvil. Al menos 17 países fueron afectados, entre los que se encuentran Argentina, Colombia, México y España. Ante la gran cantidad de casos de víctimas que decidieron pagar por el rescate luego de sufrir el impacto de un ransomware. ESET, analiza por qué las compañías deciden utilizar los presupuestos asignados para el área de ciberseguridad, o sus fondos de esta manera y qué se necesita para evitar esta práctica.
El comportamiento actual de pagar los rescates probablemente tiene como origen lo que ocurrió con el brote del ransomware WannaCry en 2017, cuando varias organizaciones sentaron un precedente al negarse a pagar. Una de ellas fue el Servicio Nacional de Salud del Reino Unido, que sufrió un impacto significativo en su infraestructura. Se estima que los costos de reconstrucción rondaron cerca de U$S 120 millones. Esto sin considerar los costos en términos humanos debido a las más de 19.000 citas canceladas, incluidas las consultas oncológicas. Por otro lado, no hay garantía de que se recibirá un descifrador o de que efectivamente funcionará. Una encuesta de Cybereason encontró que cerca de la mitad de las empresas que pagaron rescates no lograron recuperar el acceso a todos sus datos críticos después de recibir las claves para descifrar la información.
¿Por qué pagar el rescate?
El negocio del ransomware se volvió más comercial y sofisticado tanto del lado de las víctimas como de los atacantes. Por un lado, los cibercriminales conocen el valor que tienen los datos comprometidos en un ataque al hacerse público y los costos de reconstrucción que tienen que enfrentar las víctimas para recuperarse. Y por otro lado, a raíz del surgimiento de nuevos segmentos en la industria, como es el caso de los intermediarios contratados para negociar y los seguros ante incidentes informáticos.
En términos de legalidad, la Oficina de Control de Activos Extranjeros (OFAC, por sus siglas en inglés) del Departamento del Tesoro de los Estados Unidos, declaró en algunos casos ilegal el pago a los atacantes. Por lo que es ilegal facilitar el pago a personas, organizaciones, regímenes y, en algunos casos, países enteros que están en la lista de sanciones. La atribución de la ubicación o de las personas detrás de un ciberataque es compleja de probar y la tecnología ayuda a que estos grupos logren permanecer anónimos y nómadas, al menos en parte. Saber a quién se está pagando podría ser fundamental al momento de decidir si pagar o no, ya que pagar inadvertidamente a una persona o grupo que integra una lista de sanciones podría hacer que el beneficiario caiga en el lado equivocado de la ley.
El riesgo de que se pueda divulgar o vender información personal o sensible en la dark web podría considerarse una forma más de extorsión, permitiendo a los atacantes obtener beneficios mediante la coerción, lo cual en la mayoría de las jurisdicciones es un delito penal. En Estados Unidos, donde se están registrando la mayor cantidad de ataques de ransomware en el último tiempo, la extorsión comprende tanto el secuestro de información privada, así como la intención de provocar temor amenazando a la víctima con que algo le puede suceder si no cumple con las demandas de los extorsionadores. El cifrado de datos y las limitaciones de acceso a sus sistemas ante un caso de ransomware es algo que ya le sucedió a la víctima, pero el temor de que los datos extraídos se vendan o se publiquen en la dark web es lo que provoca la instalación del miedo en la víctima.
“En cuanto al ransomware, los altos directivos deberían estar enfocados en cómo hacer que la organización sea lo más segura posible, tomando todas las precauciones. Con los seguros es probable que exista una suerte de complacencia, ya que cumpliendo con los requisitos mínimos establecidos por la aseguradora algunas organizaciones puede que continúen llevando adelante el “negocio como de costumbre”, sabiendo que, si ocurre un incidente desafortunado, la empresa puede recurrir al seguro.
Pago anónimo
En lo que refiere a los pagos, los niveles de anonimato que proporcionan las criptomonedas hacen que sea el método elegido por los atacantes para solicitar los rescates a las víctimas sin revelar quién lo está recibiendo. Algunas criptomonedas proporcionan cierta información sobre la billetera receptora, pero no quién está detrás de la billetera; mientras que otras monedas incluso ocultan la propia billetera. El Banco Mundial recientemente rechazó la solicitud de El Salvador para implementar este tipo de moneda, citando preocupaciones sobre la transparencia y los problemas ambientales. La minería de criptomonedas utiliza un consumo de energía significativo y, actualmente el consumo de energía por parte del Bitcoin es el mismo que el de toda la Argentina.
“Lo correcto es hacer que financiar a los ciberdelincuentes sea ilegal y los legisladores deberían tomar medidas y actuar para evitar que se realicen los pagos. Puede haber una ventaja para aquellos países que decidan aprobar leyes que prohíban los pagos. Si un país o región aprobó una legislación que prohíbe a cualquier empresa u organización pagar un rescate de ransomware, los ciberdelincuentes adaptarán su negocio y centrarán sus campañas en los países que aún deben actuar. Por otro lado, si considera que los ingresos generados a partir del pago de un rescate ransomware son ganancias ilícitas producto de la actividad delictiva, ¿podrían las criptomonedas en su totalidad ser responsables del lavado de dinero o estar proporcionando un puerto seguro para los fondos atribuidos al delito cibernético? A pesar de su popularidad, los gobiernos no reconocen las criptomonedas como una moneda”, comentó Tony Anscombe.