Los ataques de ransomware no paran de crecer en número y complejidad. Desgraciadamente, el secuestro de datos se ha convertido en la herramienta más lucrativa y efectiva de los cibercriminales. All4Sec, empresa de ciberseguridad española, explicaba recientemente cómo prevenir este tipo de ataques y qué hacer cuando se es víctima de uno de ellos. Sin embargo, a veces las organizaciones se encuentran en posiciones en las que, a pesar de todas las precauciones y medidas tomadas para protegerse, sus opciones de recuperar los datos robados se diluyen. En ese caso, a algunos les entrarán las dudas y deberán responder a una pregunta: ¿Deberían pagar el rescate?
Los principio éticos y legales dicen que nunca se debe caer en la trampa de pagar por un ransomware. Sin embargo, la tentación puede hacernos dudar, más aún si las circunstancias de la empresa son especialmente delicadas. Cada compañía es libre de sondear en sus propias razones. En general, no es lo mismo robar la base de datos de gastos de los empleados que tener secuestrados los datos privados de los pacientes de un hospital o la información bancaría de los clientes, según explica All4Sec. En definitiva, a mayor criticidad de datos, mayores serán las dudas que surgirán en los decisores.
El pago de rescates no es un tema exclusivo del ransomware. ¿Cuántos países habrán pagado por liberar a sus ciudadanos en determinados casos de secuestros? ¿Qué ocurre cuando las consecuencias de no pagar el chantaje cuestan vidas? ¿Qué haríamos cualquiera de nosotros individualmente?
Razones
La decisión no está exenta de debates y controversias. En los ataques de ransomware, además, se unen otras consideraciones, como que el hecho de que las garantías de recuperar lo secuestrado son incluso menores que en las situaciones antes mencionadas. Por eso, All4Sec se inclina por una única respuesta: nunca se debe pagar por un ransomware. Estas son algunas de las razones que cree que lo justificaría:
- En primer lugar, pagar este tipo de rescates puede resultar ilegal -como ya se están planteando desde hace tiempo en EEUU-, lo mismo que no informar de que se ha sufrido un ataque de ransomware, sobre todo cuando afecta a datos personales. Esta no es una cuestión baladí, porque, llegado el caso, podría llegarse a estar “resolviendo un delito cometiendo otro delito”.
- Cuando se decide pagar un rescate ante un ataque de ransomware, los métodos utilizados para completar la transacción se suelen basar en procedimientos anónimos con bitcoins, lo que en ningún caso garantiza la trazabilidad del pago o su posible recuperación. Todo pago realizado en bitcoins se perderá para siempre si el proceso no se completa con éxito.
- Una cuestión importante es que el pago no garantizará la recuperación y el control de los datos robados. El proceso de descifrado de información en ocasiones resulta fallido, como ha ocurrido en numerosas ocasiones en el pasado, debido a errores en el propio software empleado por los delincuentes. Pero no es lo único que puede ocurrir.
- Al tratarse de activos digitales, es evidente que nada impide que los extorsionadores puedan duplicar los datos una vez que han sido exfiltrados y que puedan reutilizarlos en ventas fraudulentas a terceras partes interesadas.
- Por último, y no menos importante, si se paga un rescate, se estará contribuyendo al crecimiento de una actividad ilícita. Gran parte del dinero obtenido por este procedimiento a menudo se reinvierte en crear aplicaciones de ransomware más eficaces que sirven para para cometer nuevos delitos o extorsionar a otras personas u organizaciones.
Confidencialidad, integridad y disponibilidad
En definitiva, hay que tener en cuenta que el pago de un ransomware tiene implicaciones más allá de las económicas o reputacionales; implicaciones que giran en torno a las tres dimensiones de la seguridad de los datos: su confidencialidad, su integridad y su disponibilidad.
Por eso, si una empresa se decide a pagar, debería hacerse las siguientes preguntas: ¿Podría la víctima garantizar que nadie más tendría acceso a sus datos en el futuro? ¿Podrían los ciberdelincuentes atentar contra la integridad de los datos a través del software y las claves de descifrado? O, incluso pensando en la disponibilidad, ¿no será que pagando un rescate se pone en evidencia que no disponen de un mecanismo para recuperar la información y que, por tanto, el proceso de gestión de la seguridad de la compañía era manifiestamente mejorable?
“Todas son cuestiones que, en conciencia, resultan difíciles de plantear -y más difícil aún de responder si se tratan con ciertos criterios éticos-, aunque, si quieren un consejo, mejor no paguen”, concluye All4Sec.