No pagar un ransomware
Los ataques de ransomware no paran de crecer en número y complejidad. Desgraciadamente, el secuestro de datos se ha convertido en la herramienta más lucrativa y efectiva de los cibercriminales.
En anteriores artículos All4Sec, empresa de ciberseguridad española, explicó cómo prevenir este tipo de ataques y qué hacer cuando se es víctima de uno de ellos. Sin embargo, a veces las organizaciones se encuentran en posiciones en las que a pesar de todas las precauciones y medidas tomadas para protegerse sus opciones de recuperar los datos robados se diluyen. En ese caso, a algunos les entrarán las dudas y deberán responder a una pregunta: ¿deberían pagar el rescate?
Los principio éticos y legales dicen que nunca se debe caer en la trampa de pagar por un ransomware. Sin embargo, la tentación puede hacernos dudar, más aún si las circunstancias de la empresa son especialmente delicadas. Cada compañía es libre de sondear en sus propias razones. En general, no es lo mismo robar la base de datos de gastos de los empleados que tener secuestrados los datos privados de los pacientes de un hospital o la información bancaría de los clientes. En definitiva, a mayor criticidad de datos mayores serán las dudas que surgirán en los decisores.
El pago de rescates no es un tema exclusivo del ransomware. ¿Cuántos países habrán pagado por liberar a sus ciudadanos en determinados casos de secuestros? ¿Qué ocurre cuando las consecuencias no pagar el chantaje cuestan vidas? ¿Qué haríamos cualquiera de nosotros individualmente?
La decisión no está exenta de debates y controversias. En los ataques de ransomware además se unen otras consideraciones como que el hecho de que las garantías de recuperar lo secuestrado son incluso menores que en las situaciones antes mencionadas. Por eso, desde All4Sec nos inclinamos por una única respuesta: nunca se debe pagar por un ransomware. Aquí van algunas de las razones que creemos que lo justifican:
• En primer lugar, pagar este tipo de rescates puede resultar ilegal —como ya se están planteando desde hace tiempo en EE. UU.—, lo mismo que no informar de que se ha sufrido un ataque de ransomware, sobre todo cuando afecta a datos personales. Esta no es una cuestión baladí porque, llegado el caso, podría llegarse a estar “resolviendo un delito cometiendo otro delito”.
• Cuando se decide pagar un rescate ante un ataque de ransomware los métodos utilizados para completar la transacción se suelen basar procedimientos anónimos con bitcoins, lo que en ningún caso garantiza la trazabilidad del pago o su posible recuperación. Todo pago realizado en bitcoins se perderá para siempre si el proceso no se completa con éxito.
• Una cuestión importante es que el pago no garantizará la recuperación y control de los datos robados. El proceso de descifrado de información en ocasiones resulta fallido como ha ocurrido en numerosas ocasiones en el pasado, debido a errores en el propio software empleado por los delincuentes. Pero no es lo único que puede ocurrir.
• Al tratarse de activos digitales, es evidente que nada impide que los extorsionadores puedan duplicar los datos una vez han sido exfiltrados y que puedan reutilizarlos en ventas fraudulentas a terceras partes interesadas.
• Por último, y no menos importante, si se paga un rescate se estará contribuyendo al crecimiento de una actividad ilícita. Gran parte del dinero obtenido por este procedimiento a menudo se reinvierte en crear aplicaciones de ransomware más eficaces que sirven para cometer nuevos delitos o extorsionar a otras personas u organizaciones.
En definitiva, hay que tener en cuenta que el pago de un ransomware tiene implicaciones más allá de las económicas o reputacionales; implicaciones que giran en torno a las tres dimensiones de la seguridad de los datos: su confidencialidad, su integridad y su disponibilidad.
Por eso, si una empresa se decide a pagar, debería hacerse las siguientes preguntas: ¿podría la víctima garantizar que nadie más tendría acceso a sus datos en el futuro? ¿Podrían los ciberdelincuentes atentar contra la integridad de los datos a través del software y las claves de descifrado? O incluso pensando en la disponibilidad, ¿no será que pagando un rescate se pone en evidencia que no disponen de un mecanismo para recuperar la información y que por tanto el proceso de gestión de la seguridad de la compañía era manifiestamente mejorable?
Todas son cuestiones que en conciencia resultan difíciles de plantear —y más difícil aún de responder si se tratan con ciertos criterios éticos—, aunque si quieren un consejo, mejor no paguen.