Claudicar ante una extorsión cometida por un grupo de ciberdelincuentes o negarse. Esta es una de las preguntas a las que, de forma cada vez más recurrente, se enfrentan los dirigentes después de sufrir un ciberataque. Dentro de este complejo escenario, el ransomware se erige como uno de los principales riesgos a los que las […]
Dirigentes Digital
| 25 ene 2022
Claudicar ante una extorsión cometida por un grupo de ciberdelincuentes o negarse. Esta es una de las preguntas a las que, de forma cada vez más recurrente, se enfrentan los dirigentes después de sufrir un ciberataque. Dentro de este complejo escenario, el ransomware se erige como uno de los principales riesgos a los que las compañías deben hacer frente y, a lo largo de los últimos meses, estas acciones no han parado de aumentar tanto en número como en tecnificación. Su crecimiento es exponencial y durante 2021 los ataques se doblaron respecto a los números de 2020, mientras que su complejidad está directamente asociada a su capacidad de propagación dentro de una organización, a la automatización de su ejecución y a su comercialización en la dark web.
Unido a esto, es importante tener en cuenta que los ataques de ransomware “ya no se limitan a inutilizar servicios a través del cifrado, sino que, como medida de garantía adicional, roban los datos”, lo que genera una doble amenaza de chantaje para sus víctimas, explican a DIRIGENTES desde All4Sec. Para entender esta evolución, la compañía especializada en ciberseguridad comenta a este medio que, en la actualidad, “algunos de los malwares más activos del mercado como REvil o Conti ofrecen servicios que llegan a ser contratados por verdaderos profanos en tecnología”. Es decir, “ponen a disposición de sus clientes mecanismos casi automáticos para elegir vectores de ataque, gestionar el lanzamiento del malware, administrar el proceso del chantaje e, incluso, seleccionar la forma en que se realizan los pagos”. Un procedimiento que se puede definir como “una cadena de valor perfectamente engranada”.
En España, el 64% de las organizaciones recibió un ataque relacionado con ransomware en el último año. De estas, un cuarto de las afectadas pagó el rescate, según datos extraídos del informe anual sobre la seguridad global de CrowdStrikeo. En este contexto, uno de los objetivos de este reportaje es analizar los motivos que llevan a los dirigentes a plantearse o, incluso, animarse a pagar una extorsión. Tal y como detallan desde All4Sec, de forma general sus argumentos giran en torno a tres supuestos. En primer lugar, las razones “se centran en la recuperación inmediata del control”. Por ello, “la dirección de una compañía tiende a valorar el impacto que puede tener para su negocio la indisponibilidad de unos servicios o unos datos que pueden resultarles esenciales”.
Asimismo, en una circunstancia como la expuesta, también se unen otras consideraciones como “el riesgo de divulgación pública de información confidencial o el impacto en la imagen que podría tener para la empresa el hecho de haber sido atacado”. Y, por último, se suma igualmente “la presión temporal que imponen los extorsionadores que hace de la decisión de pagar una cuestión crítica para la supervivencia del negocio”. En este escenario, la compañía resalta que es importante tener presente que las coacciones de los ciberdelincuentes “van dirigidas a forzar a las víctimas a que el pago se realice lo más rápido posible” y, para lograrlo, amenazan con subastar los datos robados, divulgar el ataque, llamar a sus clientes o presionar a los empleados con amenazas personales.
A pesar de que, en ocasiones, un escenario como el descrito pueda bastar como justificación para aceptar una extorsión, en All4Sec alertan de los peligros que puede conllevar. En primer lugar, consentir este tipo de rescates puede resultar ilegal en la medida en que supone una vulneración de la legislación española en varios aspectos, tales como la “comisión de delitos de colaboración con bandas u organizaciones criminales, blanqueo de capitales o administración desleal en el caso de los gestores de empresas”, señalan. En esta línea, también destacan que quien realiza un pago a un grupo de ciberdelincuentes normalmente suele ocultar que sus datos han sido robados, por lo que estaría cometiendo un nuevo delito recogido en el RGPD que conlleva importantes sanciones.
Por otra parte, en este tipo de extorsiones lo más habitual es que el pago se produzca a través de transacciones anónimas, utilizando bitcoins u otro tipo de criptomonedas. Ante esto, fuentes de la compañía explican que, “en este tipo de procesos no se garantiza la trazabilidad del pago o su posible recuperación”, por lo que “todo pago realizado en bitcoins se perderá para siempre si el proceso no se completa con éxito”. Además, recuerdan que la recuperación de los datos se convierte en una cuestión de confianza en el ciberdelincuente. Al tratarse de información en forma de datos digitales, nada impide que los infractores puedan realizar un duplicado de los mismos y reutilizarlos en ventas fraudulentas a terceras partes interesadas.
Llegados a este punto, también es posible preguntarse en qué medida aquellas instituciones que aceptan un chantaje es probable que se vuelvan a ver envueltas en una situación similar. All4Sec lo tiene claro, la probabilidad es “muy alta”. Y apuntan: “No lo decimos nosotros, lo dicen los datos”. Según estudios realizados en el sector, el 80% de las empresas que pagaron un rescate de ransomware se vieron afectadas por un segundo intento de extorsión y cerca de la mitad fueron chantajeadas por los mismos atacantes.
Ciberseguridad: ¿a qué retos se enfrentarán las empresas en 2022?
