El ransomware ha sido, y sigue siendo, uno de las ataques más rentables para los ciberdelincuentes, por lo que no hay indicio alguno de que su sofisticación y el volumen de incidentes vayan a descender próximamente, todo lo contrario. Y, es que, una vez cifrados los archivos corporativos, las peticiones de rescate son cada vez más cuantiosas: han pasado de decenas de miles de dólares a millones. Y, es que, los ‘malos’ ya saben que son muchas las compañías que están dispuestas a pagar.
Son varios los factores y divisiones que están involucrados en las decisiones de pago de un rescate, desde el CIO y otros ejecutivos hasta asesores externos y firmas de seguros.
La necesidad de negociar ha hecho florecer un negocio adyacente de consultoría y especialistas que se ofrecen a mediar en las conversaciones y a facilitar los pagos en criptomonedas.
En negocios seguros, concienciados y formados, un ataque de ransomware simplemente debería desencadenar un plan de recuperación ante desastres bien ensayado, pero la realidad no suele ser así; si bien las grandes cuentas suelen tener un equipo de respuesta ante incidentes, los procedimientos para lidiar con varios aspectos específicos a una amenaza de estas características, la posible fuga de datos, la comunicación con clientes y legisladores y tomar la decisión de negociar con los ciberdelincuentes, suelen fallar.
“Incluso las corporaciones que cotizan en bolsa, y que tienen planes sofisticados de ciberseguridad, suelen fallar a la hora de gestionar un ataque de ransomware”, asegura Kurtis Minder, director ejecutivo de GroupSense, una de las firmas especializadas en inteligencia de amenazas y negociación de rescates. “Una vez que llegamos al proceso de negociación de descifrado, y de tomar decisiones comerciales, los agentes a participar no suelen estar documentados y formados”.
Asimismo, las compañías se están encontrando últimamente con una doble amenaza, no solo el cifrado de sus datos y la parálisis de sus sistemas, sino la posibilidad de que los ‘malos’ vendan esta información en el mercado negro, con los problemas regulatorios, además, que puede conllevar esta situación.
Cómo actuar en caso de ransomware
Por todas estas características, los expertos recomiendan tomar dos acciones si se sufre un ataque de ransomware: por una parte, identificar cómo entraron los ciberdelincuentes a los sistemas y cómo consiguieron robar y cifrar los datos; y, tratar de comprender el escenario completo, lo que significa determinar la variante del ransomware, atribuirla a un actor de amenazas y establecer su credibilidad.
Para esto, es necesario contar con un equipo de inteligencia de amenazas, ya sea externo o interno, que realice cosas como notificar el incidente a las autoridades pertinentes, involucrar al equipo forense, y ayudar a la organización a ponerse en contacto con compañías de seguros, etc.
Por otra parte, y a la hora de decidir si se paga o no el rescate, las empresas suelen tomar esa decisión por su cuenta, y luego se comunican con su aseguradora para ver si lo aprueban. En algunos casos, la víctima decide pagar independientemente de si su seguro cubre un pago por ransomware porque el impacto del ataque en su negocio es tan malo que no puede permitirse lo contrario. Este proceso generalmente involucra al departamento legal, al CIO y al COO.
El CIO está a cargo de los procesos de respaldo y continuidad de negocio. El COO toma decisiones en función de cómo los datos afectados afectan a las operaciones y, el CEO, interviene, en último lugar, para dar la aprobación final al pago del rescate
En cualquier caso, pagar un rescate no está del todo bien contemplado. En octubre del año pasado la Oficina de Control de Activos Extranjeros del Departamento del Tesoro de Estados Unidos (OFAC, de su voz inglesa) emitió un aviso recordando que puede haber sanciones civiles en caso de pagar un rescate de ransomware.
Fuente: cio.com.mx