Ir directamente al contenido

All4Sec explica por qué no se debe pagar por un “ransomware”

21/04/2021

Los ataques de ransomware no paran de crecer en número y complejidad. Desgraciadamente, el secuestro de datos se ha convertido en la herramienta más lucrativa y efectiva de los cibercriminales. All4Sec, empresa de ciberseguridad española, explicaba recientemente cómo prevenir este tipo de ataques y qué hacer cuando se es víctima de uno de ellos. Sin embargo, a veces las organizaciones se encuentran en posiciones en las que, a pesar de todas las precauciones y medidas tomadas para protegerse, sus opciones de recuperar los datos robados se diluyen. En ese caso, a algunos les entrarán las dudas y deberán responder a una pregunta: ¿Deberían pagar el rescate?
Los principio éticos y legales dicen que nunca se debe caer en la trampa de pagar por un ransomware. Sin embargo, la tentación puede hacernos dudar, más aún si las circunstancias de la empresa son especialmente delicadas. Cada compañía es libre de sondear en sus propias razones. En general, no es lo mismo robar la base de datos de gastos de los empleados que tener secuestrados los datos privados de los pacientes de un hospital o la información bancaría de los clientes, según explica All4Sec. En definitiva, a mayor criticidad de datos, mayores serán las dudas que surgirán en los decisores.
El pago de rescates no es un tema exclusivo del ransomware. ¿Cuántos países habrán pagado por liberar a sus ciudadanos en determinados casos de secuestros? ¿Qué ocurre cuando las consecuencias de no pagar el chantaje cuestan vidas? ¿Qué haríamos cualquiera de nosotros individualmente?

Razones
La decisión no está exenta de debates y controversias. En los ataques de ransomware, además, se unen otras consideraciones, como que el hecho de que las garantías de recuperar lo secuestrado son incluso menores que en las situaciones antes mencionadas. Por eso, All4Sec se inclina por una única respuesta: nunca se debe pagar por un ransomware. Estas son algunas de las razones que cree que lo justificaría:

  • En primer lugar, pagar este tipo de rescates puede resultar ilegal -como ya se están planteando desde hace tiempo en EEUU-, lo mismo que no informar de que se ha sufrido un ataque de ransomware, sobre todo cuando afecta a datos personales. Esta no es una cuestión baladí, porque, llegado el caso, podría llegarse a estar “resolviendo un delito cometiendo otro delito”.
  • Cuando se decide pagar un rescate ante un ataque de ransomware, los métodos utilizados para completar la transacción se suelen basar en procedimientos anónimos con bitcoins, lo que en ningún caso garantiza la trazabilidad del pago o su posible recuperación. Todo pago realizado en bitcoins se perderá para siempre si el proceso no se completa con éxito.
  • Una cuestión importante es que el pago no garantizará la recuperación y el control de los datos robados. El proceso de descifrado de información en ocasiones resulta fallido, como ha ocurrido en numerosas ocasiones en el pasado, debido a errores en el propio software empleado por los delincuentes. Pero no es lo único que puede ocurrir.
  • Al tratarse de activos digitales, es evidente que nada impide que los extorsionadores puedan duplicar los datos una vez que han sido exfiltrados y que puedan reutilizarlos en ventas fraudulentas a terceras partes interesadas.
  • Por último, y no menos importante, si se paga un rescate, se estará contribuyendo al crecimiento de una actividad ilícita. Gran parte del dinero obtenido por este procedimiento a menudo se reinvierte en crear aplicaciones de ransomware más eficaces que sirven para para cometer nuevos delitos o extorsionar a otras personas u organizaciones.

Confidencialidad, integridad y disponibilidad
En definitiva, hay que tener en cuenta que el pago de un ransomware tiene implicaciones más allá de las económicas o reputacionales; implicaciones que giran en torno a las tres dimensiones de la seguridad de los datos: su confidencialidad, su integridad y su disponibilidad.
Por eso, si una empresa se decide a pagar, debería hacerse las siguientes preguntas: ¿Podría la víctima garantizar que nadie más tendría acceso a sus datos en el futuro? ¿Podrían los ciberdelincuentes atentar contra la integridad de los datos a través del software y las claves de descifrado? O, incluso pensando en la disponibilidad, ¿no será que pagando un rescate se pone en evidencia que no disponen de un mecanismo para recuperar la información y que, por tanto, el proceso de gestión de la seguridad de la compañía era manifiestamente mejorable?
“Todas son cuestiones que, en conciencia, resultan difíciles de plantear -y más difícil aún de responder si se tratan con ciertos criterios éticos-, aunque, si quieren un consejo, mejor no paguen”, concluye All4Sec.

Te recomendamos

GreenDot aplaude la confirmación oficial de la nueva Comisión de la UE

GreenDot aplaude la confirmación oficial de la nueva Comisión de la UE

03/12/2024 Noticias Gestión

Leer más sobreHaimer un socio de confianza en producción

IOTSWC y BCC contarán en 2025 con más 350 expositores y más de 150 ponentes y expertos

IOTSWC y BCC contarán en 2025 con más 350 expositores y más de 150 ponentes y expertos

02/12/2024 Noticias Gestión

Leer más sobreHaimer un socio de confianza en producción

Aenor crea una certificación de Buen Gobierno y Gobernanza en empresas no cotizadas

Aenor crea una certificación de Buen Gobierno y Gobernanza en empresas no cotizadas

02/12/2024 Noticias Gestión

Leer más sobreHaimer un socio de confianza en producción

Revista

QUALITAS Abril Mayo 2019

Ver la revista

Lo más leído

Bureau Veritas se incorpora a la 'European Clean Hydrogen Alliance'

Gestión Noticias

Leer más sobre Bureau Veritas se incorpora a la 'European Clean Hydrogen Alliance'

El País Vasco es la tercera comunidad que más aumentó sus emisiones de CO2 en 2019

Gestión Noticias

Leer más sobre El País Vasco es la tercera comunidad que más aumentó sus emisiones de CO2 en 2019

Europcar, primer rent a car acreditado por Aenor frente al COVID-19

Gestión Noticias

Leer más sobre Europcar, primer rent a car acreditado por Aenor frente al COVID-19

Dbus obtiene la certificación de sus protocolos frente al COVID-19 con Aenor

Gestión Noticias

Leer más sobre Dbus obtiene la certificación de sus protocolos frente al COVID-19 con Aenor

Avinent, primera empresa que recibe la certificación MDR en España asignada por TÜV Rheinland

Gestión Noticias

Leer más sobre Avinent, primera empresa que recibe la certificación MDR en España asignada por TÜV Rheinland

Customización de cookies

Cookies Analytics

Este sitio web utiliza cookies de terceros para cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos por medio de la cookie Google Anlytics

Cookies para compartir en redes sociales

Usamos algunos complementos para compartir en redes sociales, para permitirle compartir ciertas páginas de nuestro sitio web en las redes sociales. Estos complementos colocan cookies para que pueda ver correctamente cuántas veces se ha compartido una página.