La amenaza del ransomware sigue esparciéndose por el mundo a una velocidad pasmosa y las empresas tratan de ponerse al día para tratar de mitigar sus nocivas consecuencias.
El asunto es que, a pesar de las medidas de seguridad que se tomen en cualquier compañía, la probabilidad de que, en algún momento, la organización se vea victima de un ataque de ransomware tiende a incrementarse, pues nadie esta a salvo completamente en esta época de hiperconectividad.
Cuando llega el temido momento, las empresas enfrentan el dilema de pagar o no pagar. El sentido común, y en algunos países, el marco legal establecido para este tipo de eventos, sugieren no efectuar pago alguno.
Pero ¿será ésta la opción mas adecuada? Una cosa es lo que dice el papel y otra muy distinta son las circunstancias de la vida real.
Desprevenidos, las víctimas preferidas
Parece mentira, pero a estas alturas todavía existe un numero considerable de organizaciones que se encuentran fuera de las condiciones básicas necesarias para protegerse de este tipo de amenazas.
Generalmente, por no contar con un presupuesto para ello, muchas se encuentran lejos del diseño, implementación y mantenimiento de un plan de recuperación de desastres confiable, y en los tiempos que corren, es un error que pueden terminar pagando demasiado caro.
El propósito del ransomware es tomar el control de los datos vitales para que las operaciones de la compañía u organización se vean severamente afectadas y no les quede otra alternativa que pagar. Si las copias de respaldo tampoco estuvieron adecuadamente protegidas antes del ataque, es probable que su utilidad sea nula para poner de nuevo a la empresa en marcha.
El verdadero costo del ransomware
Calcular el costo real de un ataque de ransomware es algo que debe hacerse con bastante anticipación, pues una vez que los hackers toman el control de los datos ya es demasiado tarde.
En ese momento ellos llevan la ventaja, a menos que la compañía tenga a la mano un robusto programa de continuidad del negocio que les permita reestablecer las operaciones en breve y evitar ceder a sus demandas.
Los perpetradores de ransomware suelen solicitar cantidades de entre cuatro y cinco cifras en promedio, pero en algunos casos se han llevado a sus cuentas sumas bastante significativas.
Así fue el caso la ciudad de Riviera Beach, en Florida, Estados Unidos. A mediados de este año, la ciudad se vio forzada a efectuar el pago de USD 592.000, que los hackers pidieron en bitcoin, para recuperar el control de las redes informáticas de sus dependencias públicas.
Negarse a pagar en un caso de ransomware puede traer consecuencias nefastas desde el punto de vista financiero, como le sucedió a la ciudad de Atlanta, en el estado de Georgia en 2018.
En esa oportunidad, los hackers mantuvieron el control de algunos servicios del gobierno por varias semanas y solicitaban un poco más de USD 50.000 en bitcoin para desencriptar los datos secuestrados, una cifra modesta, si quiere, comparada con lo que vendría después.
Las autoridades decidieron ignorar las demandas de los piratas informáticos y tratar de resolver el asunto por su cuenta, ,lo que terminó por costarles cerca de USD 17 millones en pérdidas. A todas luces, una mala jugada.
Azul Eterno: cuando la ciberseguridad se vuelve en tu contra
En mayo del 2019, la ciudad de Baltimore, Maryland, se despertó con la sorpresa de que sus redes de servicios públicos estaban siendo atacadas por ransomware.
La variante de este software malicioso fue identificada como “RobbinHood”, el mismo tipo de ransomware que fue utilizado para ejecutar los ataques en la ciudad de Greenville, en Carolina del Norte, durante el mes de abril.
En el ataque de Baltimore casi 800 equipos de computación pertenecientes a las dependencias del gobierno local lograron ser infectadas por el mencionado malware.
Pero el detalle que hace interesante el episodio de Baltimore se relaciona directamente, según expertos, con la NSA, la Agencia Nacional de Seguridad de los Estados Unidos.
Según información obtenida por el diario The New York Times por boca de tres ex-empleados de la agencia, analistas de la NSA estuvieron trabajando durante casi un año para descubrir una vulnerabilidad aprovechable en el código de Microsoft, hasta que finalmente lo consiguieron, creando también el software para explotarla.
Inicialmente denominaron al programa como “EternalBluescreen” (pantalla azul eterna), pues su uso a menudo dejaba a los equipos atacados con la conocida pantalla azul de la muerte (BSOD) que solía suceder en los equipos con sistema operativo Windows, sobre todo cuando la versión Windows Xp fue la cepa dominante de los SO fabricados por Microsoft.
Luego la herramienta se sofisticó tanto que se hizo la favorita en operaciones de contrainteligencia y antiterrorismo llevadas a cabo por la NSA, para finalmente quedar bautizada como EternalBlue, azul eterno, el principal actor malicioso empleado en el ataque de ransomware presenciado en Baltimore.
Un infierno digital azul, como el cielo
A la NSA le fue tan bien con EternalBlue que mantuvo para sí el descubrimiento de las vulnerabilidades halladas en el software de Microsoft durante cinco años, hasta que perdieron su dominio sobre el programa, debido a que “se coló” en los callejones de la red profunda. Hasta estos días, en la NSA no tienen idea de cómo algo así pudo suceder.
Microsoft emitiría luego los parches de seguridad respectivos, pero todavía existen miles de equipos en los que no se ha aplicado dicha actualización y que son susceptibles a EternalBlue.
El jefe de investigaciones de seguridad en Cybereason, Amit Serper, revela que su firma ha detectado equipos de servidor vulnerables a EternalBlue en importantes compañías de Los Angeles, Nueva York y Dallas.
También dejó saber que Cybereason a hecho frente a episodios de EternalBlue en tres universidades norteamericanas.
Aunque la Agencia Nacional de Seguridad guarda silencio, los expertos han podido establecer que EternalBlue sigue siendo utilizado por los gobiernos de Corea del Norte, Rusia, Irán y China, y que ha estado involucrado en ataques de ransomware ocurridos de costa a costa en los Estados Unidos.
Principales efectos del ransomware
Tiempo muerto
Ninguna empresa que se ve forzada a detener sus operaciones gana dinero con ello, al contrario. Dependiendo del tipo de compañía, las pérdidas por inactividad pueden llegar a ser considerables.
El tiempo muerto producido por un episodio de ransomware hace que las empresas afectadas dejen de percibir alrededor de USD 47.000 en promedio, de acuerdo a un estudio efectuado por la firma Datto.
Efecto sicológico
La capacidad de trabajo del personal puede quedar impactada por el incidente de ransomware, de modo que los empleados se sientan ahora más aprehensivos en el desempeño de sus tareas habituales, por temor a que el ataque suceda de nuevo.
Algunos cargos, como los relacionados al departamento de TI, quizá sientan que sus puestos están en peligro si la gerencia los responsabiliza de la vulnerabilidad de la red.
Intervención de terceros
Si la organización afectada se ve imposibilitada de recuperarse por sí misma, deberá acudir a servicios, nada económicos por cierto, de recuperación de datos.
Los honorarios profesionales de este tipo de consultoría informática suelen ser directamente proporcionales a la cantidad y complejidad de las estructuras de datos a ser recuperadas, por lo que el costo del ataque de ransomware se incrementa de acuerdo a dicho parámetro.
El rescate
Se refiere a la cantidad de efectivo que la empresa u organización víctima debe entregar a los hackers para recuperar el control sobre sus datos nuevamente.
De acuerdo a un informe de la firma Coveware acerca del ransomware en el primer trimestre de este año , el pago promedio efectuado por los afectados se ubicó en aproximadamente USD 12.800.
Comparado con lo que tuvieron que desembolsar las autoridades de Riviera Beach, este monto es realmente una oferta de temporada.
Indemnizaciones y gastos legales
Según la jurisdicción en la que haya tenido lugar el ataque de ransomware, el evento puede llegar a considerarse como violación de datos tipificada.
En caso de que la empresa afectada sea encontrada culpable de actuar negligentemente respecto a su defensas de ciberseguridad, o de operar fuera de los niveles mínimos de cumplimiento en este sentido, pudiera enfrentarse al pago de multas cuantiosas y honorarios por representación legal.
Un reporte de Radware indica que casi un 42% de compañías donde ha ocurrido una violación de datos han recibido demandas judiciales por parte de los clientes.
Las organizaciones deben también permanecer vigilantes respecto a regulaciones legales, como las contempladas por la HIPAA o GDPR, a fin de satisfacer sus lineamientos en todo momento.
Daño a la reputación
No es común el que las empresas atacadas por ransomware hagan público el hecho de inmediato.
Por lo general el asunto lo maneja un comité donde se decide cuándo y de qué manera exponer el tema. Esto con la finalidad de tratar de minimizar el efecto negativo que la violación de datos pueda tener entre los clientes y relacionados.
La firma Gemalto entrevistó a 10.000 personas, preguntando cómo reaccionarían si la empresa con la que hacen negocios habitualmente sufriera una violación de datos.
Los resultados deben preocupar a cualquier organización, pues el 70 por ciento quienes respondieron dijeron que no continuarían sus relaciones comerciales en ese caso.
Seguros más caros
Con el aumento de los incidentes de ransomware y de otros tipos de amenazas digitales durante los años recientes, no es de extrañar que el segmento de los seguros informáticos se encuentre en pleno florecimiento.
Si su compañía fue víctima de una ataque cibernético y reclama la cobertura del seguro, tome como cosa cierta que el pago de primas se incrementará.
Más dinero para el departamento de TI
Aunque, afortunadamente, la mentalidad de las empresas en cuanto a ciberseguridad está cambiando, la postura fue durante muchos años reactiva en vez de proactiva.
La infraestructura de TI solía actualizarse luego de registrarse algún incidente negativo. Después de un episodio de ransomware, una mayor inversión en defensas por parte del personal de TI queda justificada.
En el dilema de pagar, o no pagar
Para las organizaciones, sobre todo para aquellas con fines de lucro, lo primordial es poder seguir operando conforme a la planificación.
Cumplir o sobrepasar las metas de producción, optimizar la reducción de costos, etc. Los eventos que alteran el desenvolvimiento normal de las actividades no son deseados.
En el caso de un ataque de ransomware, unos cálculos rápidos podrían hacer caer a una compañía en la tentación de pagar el rescate por los datos para recuperarse del incidente lo antes posible. Antes de ceder a las peticiones de los piratas informáticos, es bueno analizar con detenimiento varios aspectos.
A favor del pago
Continuidad del negocio
Cualquiera que sea el tipo de organización, un ataque de ransomware puede parar por completo las actividades normales diarias, perjudicando la productividad y ,con ello, afectando de forma negativa el desempeño financiero de la empresa, o en todo caso, el alcance de sus metas y objetivos.
Con tal de recuperar cuanto antes el ritmo regular, muchas firmas podrían considerar hacer el pago del rescate y dar por terminado el asunto.
Reducción de las pérdidas
Si tomamos por cierto el lema imperante en los negocios que dice “el tiempo es dinero”, entonces, nos queda claro que este factor es el más apreciado por el mundo industrial o empresarial.
Un día sin poder producir significa para la compañía un gran número rojo en el libro de contabilidad.
Según reporta la compañía Datto, el promedio de lo que pierde una empresa por el tiempo muerto asociado a un ataque de ransomware supera en más de 10 veces la cantidad promedio que los hackers solicitan para devolver el control de los datos a la empresa.
Esto deja en evidencia que efectuar el pago podría ser la opción correcta que evitaría una merma en los resultados económicos de la firma.
Costos compartidos con el seguro
Contar con un buen seguro contra amenazas digitales es una de las mejores protecciones desde el punto de vista financiero para las empresas.
Posiblemente la compañía no corra con la suerte de recibir cobertura completa por el ataque de ransomware, pero, en todo caso, su seguro se encargará de resarcir parte de las pérdidas ocasionadas por el malware.
En contra de pagar
Los atacantes podrían no entregar el descifrador
Llegar a creer en la palabra de unas personas que, en primer lugar, están rompiendo la ley y causando un daño tremendo a la compañía es algo difícil de hacer. ¿Cómo estar convencidos de que cumplirán su promesa de entregar un descifrador para recuperar los datos?
Hay que recordar en todo momento que se está tratando con ciberdelincuentes. Aunque es posible que cumplan con lo que dicen que hará si les pagan, la verdad es que no existe garantía alguna para que esto suceda.
La entidad afectada terminaría sin los datos y sin el dinero, es decir, en el peor de los escenarios.
Recibe un desencriptador que no funciona
En caso de recibir el software que ayudaría a desencriptar los datos, existe la alta probabilidad de que el desencriptador no sirva en realidad para tal fin.
El Grupo CyberEdge reporta que la cantidad de organizaciones que efectivamente logran recuperar sus datos mediante el uso de la herramienta proporcionada por los hackers es sumamente baja.
Las investigaciones de CyberEdge indican que los que pagan el rescate logran desencriptar los datos de esta forma en menos del 20 por ciento de los casos.
Ser víctima de nuevo
Si la entidad atacada se apresura a realizar el pago, los piratas informáticos tomarán esto en cuenta para realizar futuros ataques. Los delincuentes siempre prefieren a la víctima más fácil, y al pagar de antemano la organización se convierte en eso precisamente.
Aspectos éticos
El pago de un rescate de ransomware implica también consideraciones éticas. Al efectuar el pago, la empresa está contribuyendo inadvertidamente a reforzar la imagen lucrativa de la delincuencia digital.
Es por ello, entre otras cosas, que las agencias de aplicación de la ley recomiendan no acceder a las demandas económicas de los hackers.
Por otro lado, en muchos casos quienes realizan los ataques están conectados con otro tipo de actividad ilegal, puede ser el tráfico de personas, o la elaboración distribución de sustancias controladas. De ser así, el dinero del rescate estaría financiando también tales operaciones.
Intermediarios del rescate
Como para todo, o casi todo, hay remedio en este mundo, desde hace algún tiempo existen firmas dedicadas a la recuperación de datos para casos de ransomware.
Contrariamente a lo que diría la lógica, estas compañías no llegan a descifrar los datos secuestrados por sí mismas, sino que más bien actúan como intermediarios que se encargan de que cada parte en un incidente de ransomware quede satisfecha: los hackers reciben el pago y la víctima retoma el control de sus datos.
El problema asociado a este tipo de empresas es el de la transparencia, pues llegan a promocionarse como “una alternativa al pago de rescate”, lo que da a entender que usan su propio software para desencriptar el botín secuestrado por los hackers, sin negociar con los piratas.
Sin embargo, la realidad es otra.
El pago está servido, señor secuestrador
Ese ha sido el caso con dos compañías que se promocionaban como tal en los Estados Unidos. Según un reporte de ProPublica, en realidad se encargaban de gestionar el pago del ransomware para obtener a cambio la herramienta de desencriptación.
Una de ellas es Proven Data, establecida en el estado de Nueva York, a quienes se encontró involucrados en un pago por este tipo de delito a los hackers iraníes relacionados con el desarrollo del malware SamSam.
Víctor Congioti, el CEO de Proven Data, declaró posteriormente que, en dicha ocasión, la firma realizó el pago del rescate por indicación de sus clientes, y que al momento de efectuarse el mismo ignoraba la nacionalidad de los piratas informáticos.
No fue hasta que las autoridades norteamericanas dieron con los hackers que se enteró de ello, dijo.
La otra compañía se denomina MonsterCloud, y está basada en la localidad de Hollywood, Florida. Entre los clientes de MonsterCloud se encuentran agencias del gobierno estadounidense.
En abril de este año se detectó que una tercera firma, esta vez en Reino Unido, suele aplicar un enfoque similar, pagando a los hackers sin demora.
La compañía Red Mosquito Data Recovery, de Escocia, fue “pinchada” por uno de los mejores expertos mundiales en ransomware, actual director de investigación en Emsisoft, Fabian Wosar.
No te metas con Wosar
Wosar desarrolló su propio ransomware, al que bautizó “Gotcha”, infectó equipos propios y escribió a la gente de Red Mosquito solicitando sus servicios, haciéndose pasar por víctima.
Siendo al mismo tiempo el hacker que realizó el supuesto ataque, forjó un dirección de correo electrónico por donde tramitar el rescate. Red Mosquito mordió rápidamente el anzuelo, comunicándose, sin saber, con Wosar tan pronto éste pidió ayuda, para ofrecer el pago solicitado.
“Pagar a los secuestradores es lo que mantiene vivo al ransomware”, declaró Wosar a ProPublica.
Aclaró además que el costo para la víctima se incrementa, pues generalmente prefieren entregar una cifra mayor a una supuesta firma recuperadora de datos que darle a los autores del secuestro lo que piden.
Pero no todas son opacidades en el mundo de la recuperación de datos.
También hay compañías como Coveware que sí se encargan de responder a los incidente de ransomware de manera transparente, dejando en claro que la negociación en el caso de secuestro de datos puede ser conveniente para minimizar el tiempo muerto y las pérdidas económicas de las organizaciones.
Coveware cuenta con el apoyo del laboratorio de investigaciones de Emsisoft para el desarrollo de soluciones a la medida en casos de ransomware, presentando una alta tasa de efectividad en recuperación de archivos secuestrados.
Aquí son bienvenidas las criptomonedas
Hasta que comenzaron a aparecer las verdaderas monedas digitales centradas en la privacidad, fue Bitcoin la primera de ellas en ser utilizada masivamente para el pago de ransomware, así como moneda de pago corriente en la Dark Web.
Basta con recordar el famoso caso de Silk Road, por el cual su creador y administrador, Ross Ulbritch, fue condenado a cadena perpetua por una corte de Nueva York en el 2015.
En sitios como Pandora Open Market, Black Market Reloaded y SheepMarket, pertenecientes todos a la red oscura, también se utilizaban las criptos como cosa normal.
Luego vimos el surgimiento de Monero, una criptomoneda que no se puede rastrear, convirtiéndose por ello en la preferida de los hackers para solicitar los rescates de ransomware y, también de quienes comercian productos ilegales en línea.
Entre las criptomonedas centradas en la privacidad, Verge y Dash son otras dos que suelen estar entre las solicitadas por los piratas informáticos que secuestran datos.
¿Entonces, qué deben hacer las víctimas de ransomware?
Considerando los factores analizados hasta ahora, decidirse por pagar o abstenerse de hacerlo es algo que debe hacerse según cada caso particular.
Según las agencias de aplicación de la ley, el pago de rescate no debe ser considerado sino como último recurso, después de que todas las demás opciones hayan sido agotadas.
El FBI, en particular, enfatiza la negativa del gobierno federal de los Estados Unidos a colaborar con los ciberdelicuentes, desalentando siempre el pago de rescate de ransomware.
Sin embargo, cuando no queda más remedio que ceder, la agencia sugiere que la decisión de pagar sea evaluada con toda la seriedad que el evento amerita.
Si bien el gobierno norteamericano recomienda no pagar rescate, entienden que puede ser la única alternativa viable, si los actores del lado de los afectados han actuado con diligencia en la evaluación de los costos y beneficios de proceder con el pago.
Pagar el rescate quedaría justificado cuando no es posible para la organización recuperar sus sistemas a partir de las copias de respaldo, los datos secuestrados son imprescindibles para el funcionamiento de la compañía o el tiempo muerto que cause el ransomware implique pérdidas considerables no sólo para la empresa, sino que también tenga un efecto colateral adverso importante para sus clientes y asociados.
