¿Se debe o no pagar el rescate por un ataque de ransomware?

por Víctor Ruiz, fundador de SILIKN, instructor certificado en ciberseguridad — CSCT™ y mentor del Centro de Ciberseguridad 05000.

De acuerdo con un nuevo análisis elaborado por la unidad de investigación de SILIKN, los ataques de ransomware se están volviendo más comunes y eficientes, lo cual ha reducido el tiempo que los atacantes pasan dentro de los sistemas de sus víctimas.

De acuerdo con el análisis, a los atacantes ahora les bastan alrededor de 20 días para lograr sus objetivos, contra los 480 días de tiempo de permanencia promedio que necesitaban (en 2011) o 65 días (en 2020) para poder lograr un impacto dentro de las organizaciones. A medida que el tiempo de permanencia disminuyó, la cantidad de casos de ransomware aumentó.

Esta efectividad del ransomware se debe a que en primer lugar, los atacantes cada vez están mejor preparados y continuamente desarrollan innovaciones, adelantándose a muchas empresas sobre todo en investigación, ejercicios y entrenamiento. Segundo, la falta de una mejora continua en las capacidades de detección de amenazas, nuevas políticas y presupuestos de seguridad más altos.

A medida que se presentan más ataques de ransomware, la unidad de investigación de SILIKN señala que también se espera que el tiempo de permanencia continúe reduciéndose, pues los atacantes que implementan, distribuyen y ejecutan ransomware no quieren permanecer ocultos por mucho tiempo.

Anteriormente, los operadores de ransomware intentaban entrar en un los sistemas de una organización y normalmente pasaban más tiempo tratando de entenderla antes de implementar ransomware. Ahora sus ciclos de ataque son más rápidos. Muchos han adoptado la técnica de la doble extorsión, en la que también amenazan con publicar datos robados si el rescate no se paga a tiempo.

De acuerdo con la unidad de investigación de SILIKN, los atacantes se sienten más cómodos con el ransomware en comparación con otras formas de monetización. Esto, combinado con pagos cada vez más altos, es todo un reto para los defensores, pues los operadores de ransomware de hoy se sienten más cómodos negociando sumas más altas y, a medida que aprenden más y más sobre cómo hacer eso con ransomware, se sienten más cómodos con este tipo de actividades delictivas.

Además, el estudio de la unidad de investigación de SILIKN arrojó otros datos interesantes, tales como que los atacantes hacen uso del phishing (39.8%), de los exploits (33.1%), credenciales robadas (19.5%) y ataques de fuerza bruta (7.6%), para poder diseminar el ransomware dentro de las organizaciones.

De igual forma, la proliferación del ransomware también se debe a que grupos de ciberdelincuentes han creado paquetes de código malicioso — totalmente funcionales — que venden a otros atacantes menos experimentados, o con menos habilidades, para que puedan ejecutarlos. Muchas de estas herramientas son fáciles de usar, reduciendo el costo de entrada y empoderando a los atacantes.

Si bien las organizaciones enfrentan nuevas amenazas, el proceso de preparación para este tipo de ataques no ha cambiado. Las empresas deben estar preparadas para enfrentar una posible intrusión y con ello poder tomar decisiones inteligentes basadas en las amenazas reales y actuales.

¿Se debe o no pagar el rescate?

En este sentido, el pago del rescate en un ataque de ransomware es una decisión que deben tomar los directivos de la empresas en conjunto y, si es posible, integrar un comité de gestión de incidentes mediante el cual se puedan analizar el tipo de acciones que deberá seguir la organización.

Un análisis de la unidad de investigación de SILIKN señala que, en principio, los directivos de las empresas consideran pagar los rescates debido a que hacen lo que consideran que deben hacer para que su negocio regrese a sus operaciones cotidianas.

El ransomware es un crimen casi perfecto. Cifrar los datos de una empresa y mantenerlos como rehenes ha sido una estratagema criminal asombrosamente efectiva con un bajo riesgo y una gran recompensa. Gobiernos como el de Estados Unidos, Australia y Reino Unido han desarrollado planes para combatir a los grupos cibercriminales transnacionales de ransomware, pero sus acciones han llevado tiempo — y, desafortunadamente, así se mantendrá por el momento — en sus diferentes actividades para reducir el ransomware.

Cabe mencionar que hasta un tercio de las organizaciones afectadas por un ataque de ransomware pagan el rescate, aunque siempre se recomienda tratar de evitar el pago si es posible.

También es importante señalar que aún pagando el rescate, la víctima no siempre obtiene los datos completos: a menudo hay datos que están dañados irrevocablemente, y restaurar sistemas a partir de material clave puede ser más lento que la buena práctica de hacer copias de seguridad.

Por ejemplo, Colonial Pipeline, la empresa de energía atacada por la banda de ransomware DarkSide en mayo de 2021, pagó rápidamente un rescate de 4,4 millones de dólares, pero concluyó que restaurar desde sus propias copias de seguridad era más rápido que usar el material clave proporcionado por sus atacantes.

Otro punto a considerar es que pagar un ransomware pone a las víctimas en mayor riesgo, ya que el mismo grupo u otro puede realizar nuevos ataques mientras la respuesta al incidente aún está en curso. Al pagar, casi en un 80% de las ocasiones, esa empresa es nuevamente atacada, por el mismo grupo que golpeó la primera vez o por otro grupo que se enteró del ataque exitoso en la Dark Web.

Después de un ataque, la empresa pregunta a los profesionales de la seguridad qué se puede hacer y si deben pagar el rescate. La política recomendable es no pagar. Pero la realidad es que es una decisión de los directivos de la empresa, quienes deben considerar cuál es la interrupción máxima tolerable, así como otros impactos de las decisiones que deben tomar.

Para más información, visite: https://www.silikn.com/

--

--

Founder of SILIKN

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store