Ir directamente al contenido

All4Sec explica por qué no se debe pagar por un “ransomware”

21/04/2021

Los ataques de ransomware no paran de crecer en número y complejidad. Desgraciadamente, el secuestro de datos se ha convertido en la herramienta más lucrativa y efectiva de los cibercriminales. All4Sec, empresa de ciberseguridad española, explicaba recientemente cómo prevenir este tipo de ataques y qué hacer cuando se es víctima de uno de ellos. Sin embargo, a veces las organizaciones se encuentran en posiciones en las que, a pesar de todas las precauciones y medidas tomadas para protegerse, sus opciones de recuperar los datos robados se diluyen. En ese caso, a algunos les entrarán las dudas y deberán responder a una pregunta: ¿Deberían pagar el rescate?
Los principio éticos y legales dicen que nunca se debe caer en la trampa de pagar por un ransomware. Sin embargo, la tentación puede hacernos dudar, más aún si las circunstancias de la empresa son especialmente delicadas. Cada compañía es libre de sondear en sus propias razones. En general, no es lo mismo robar la base de datos de gastos de los empleados que tener secuestrados los datos privados de los pacientes de un hospital o la información bancaría de los clientes, según explica All4Sec. En definitiva, a mayor criticidad de datos, mayores serán las dudas que surgirán en los decisores.
El pago de rescates no es un tema exclusivo del ransomware. ¿Cuántos países habrán pagado por liberar a sus ciudadanos en determinados casos de secuestros? ¿Qué ocurre cuando las consecuencias de no pagar el chantaje cuestan vidas? ¿Qué haríamos cualquiera de nosotros individualmente?

Razones
La decisión no está exenta de debates y controversias. En los ataques de ransomware, además, se unen otras consideraciones, como que el hecho de que las garantías de recuperar lo secuestrado son incluso menores que en las situaciones antes mencionadas. Por eso, All4Sec se inclina por una única respuesta: nunca se debe pagar por un ransomware. Estas son algunas de las razones que cree que lo justificaría:

  • En primer lugar, pagar este tipo de rescates puede resultar ilegal -como ya se están planteando desde hace tiempo en EEUU-, lo mismo que no informar de que se ha sufrido un ataque de ransomware, sobre todo cuando afecta a datos personales. Esta no es una cuestión baladí, porque, llegado el caso, podría llegarse a estar “resolviendo un delito cometiendo otro delito”.
  • Cuando se decide pagar un rescate ante un ataque de ransomware, los métodos utilizados para completar la transacción se suelen basar en procedimientos anónimos con bitcoins, lo que en ningún caso garantiza la trazabilidad del pago o su posible recuperación. Todo pago realizado en bitcoins se perderá para siempre si el proceso no se completa con éxito.
  • Una cuestión importante es que el pago no garantizará la recuperación y el control de los datos robados. El proceso de descifrado de información en ocasiones resulta fallido, como ha ocurrido en numerosas ocasiones en el pasado, debido a errores en el propio software empleado por los delincuentes. Pero no es lo único que puede ocurrir.
  • Al tratarse de activos digitales, es evidente que nada impide que los extorsionadores puedan duplicar los datos una vez que han sido exfiltrados y que puedan reutilizarlos en ventas fraudulentas a terceras partes interesadas.
  • Por último, y no menos importante, si se paga un rescate, se estará contribuyendo al crecimiento de una actividad ilícita. Gran parte del dinero obtenido por este procedimiento a menudo se reinvierte en crear aplicaciones de ransomware más eficaces que sirven para para cometer nuevos delitos o extorsionar a otras personas u organizaciones.

Confidencialidad, integridad y disponibilidad
En definitiva, hay que tener en cuenta que el pago de un ransomware tiene implicaciones más allá de las económicas o reputacionales; implicaciones que giran en torno a las tres dimensiones de la seguridad de los datos: su confidencialidad, su integridad y su disponibilidad.
Por eso, si una empresa se decide a pagar, debería hacerse las siguientes preguntas: ¿Podría la víctima garantizar que nadie más tendría acceso a sus datos en el futuro? ¿Podrían los ciberdelincuentes atentar contra la integridad de los datos a través del software y las claves de descifrado? O, incluso pensando en la disponibilidad, ¿no será que pagando un rescate se pone en evidencia que no disponen de un mecanismo para recuperar la información y que, por tanto, el proceso de gestión de la seguridad de la compañía era manifiestamente mejorable?
“Todas son cuestiones que, en conciencia, resultan difíciles de plantear -y más difícil aún de responder si se tratan con ciertos criterios éticos-, aunque, si quieren un consejo, mejor no paguen”, concluye All4Sec.

También te puede interesar

La UCLM, pionera en lograr la certificación de Seguridad y Salud frente al COVID-19 en el Trabajo

La UCLM, pionera en lograr la certificación de Seguridad y Salud frente al COVID-19 en el Trabajo

17/09/2021 Noticias Gestión

Leer más sobreHaimer un socio de confianza en producción

Grupo Antolin reconocido como una de las 100 compañías con mejor reputación, según el ranking Merco Empresas

Grupo Antolin reconocido como una de las 100 compañías con mejor reputación, según el ranking Merco Empresas

08/09/2021 Noticias Gestión

Leer más sobreHaimer un socio de confianza en producción

El AI & Big Data Congress reunirá a más de 70 expertos en Inteligencia Artificial y analítica de datos

El AI & Big Data Congress reunirá a más de 70 expertos en Inteligencia Artificial y analítica de datos

08/09/2021 Noticias Gestión

Leer más sobreHaimer un socio de confianza en producción

Revista

QUALITAS Abril Mayo 2019

Ver la revista

Lo más leído

Servicios públicos y medio ambiente

Gestión Mercados

Leer más sobre Servicios públicos y medio ambiente

Bureau Veritas presenta la certificación del sistema de gestión para minimizar el desperdicio alimentario

Gestión Noticias

Leer más sobre Bureau Veritas presenta la certificación del sistema de gestión para minimizar el desperdicio alimentario

Nestlé señala que sus 10 fábricas en España representan modelos sostenibles en la gestión del agua

Gestión Noticias

Leer más sobre Nestlé señala que sus 10 fábricas en España representan modelos sostenibles en la gestión del agua

Pascual renueva por cuarto año consecutivo la certificación Aenor en Bienestar Animal 'Welfair'

Gestión Noticias

Leer más sobre Pascual renueva por cuarto año consecutivo la certificación Aenor en Bienestar Animal 'Welfair'

Aenor avala la correcta implantación de todos los protocolos frente a la COVID-19 de Grupo Tello

Gestión Noticias

Leer más sobre Aenor avala la correcta implantación de todos los protocolos frente a la COVID-19 de Grupo Tello

Customización de cookies

Cookies Analytics

Este sitio web utiliza cookies de terceros para cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos por medio de la cookie Google Anlytics

Cookies para compartir en redes sociales

Usamos algunos complementos para compartir en redes sociales, para permitirle compartir ciertas páginas de nuestro sitio web en las redes sociales. Estos complementos colocan cookies para que pueda ver correctamente cuántas veces se ha compartido una página.