El ransomware sigue siendo uno de los principales quebraderos de cabeza de las organizaciones. No en vano, el pasado año, el 68% de las empresas españolas sufrieron un ataque de ransomware basado en el correo electrónico, según un estudio de Proofpoint. En él, también se pone de manifiesto que el 39% de las empresas decidió pagar al menos un rescate. Pero, ¿es la opción correcta?
No siempre. La experiencia de las víctimas de estos ciberataques confirma que, en la mayoría de los casos, una vez se paga el rescate, la extorsión continúa. De hecho, el 35% de las empresas a nivel global que han pagado un rescate, después no han podido recuperar sus datos.
Pero también existe otro peligro, ya que un 18% de los que pagaron para recuperar sus datos, después han seguido expuestos en la dark web.
¿Es mejor no pagar? El 8% de las empresas que se han decantado por esta opción han visto cómo los atacantes intentaron extorsionar a sus clientes.
Por lo tanto, ninguna de las opciones es buena. En el caso español, los datos de Proofpoint refuerzan la teoría de que pagar un rescate no es la mejor opción. Durante el pasado año, el 37% de las empresas que fue víctima del ransomware pagó un rescate y tuvo acceso a sus datos cifrados. Sin embargo, el 42% pagó un rescate inicial, pero no tuvo acceso a sus datos y / o sistemas hasta no haber realizado alguno o algunos más posteriormente.
Y lo más significativo, el 21% de las que pagaron un rescate, pero se negaron a pagar otras reclamaciones, no han recuperado sus datos y perdieron ese importe ya desembolsado.
Prepararse para el ransomware
Los casos en los que las víctimas de ataques de ransomware pagan un rescate, pero el problema no desaparece aumenta. Esto está llevando a que cada vez haya una mayor falta de credibilidad hacia esos ciberdelincuentes. En consecuencia, el pago para recuperar sus datos o reestablecer sus sistemas cada vez está más en duda, aunque esto no les está haciendo cambiar de estrategia.
En primer lugar, porque la mayoría de las operaciones de RaaS (Ransomware como Servicio) son de corta duración ya que solo buscan maximizar sus ganancias en el menor tiempo posible. Además, muchos afiliados a los grupos operadores de ransomware no siguen las reglas establecidas y solo buscan el lucro económico. La reputación aquí deja de ser prioritario. Y, en tercer lugar, los restos de las violaciones de datos pueden mantenerse durante mucho tiempo en múltiples sistemas de actores de amenazas y casi siempre encuentran su camino hacia la comunidad más amplia de ciberdelincuentes, tarde o temprano.
Como destaca el informe de Venafi, pagar el rescate solo motiva a los delincuentes a volver a por más, ya que las víctimas creen que solo con pagar ya pueden solucionar el problema. Sin embargo, en la mayoría de los casos, eso no es más que una ilusión. Así lo destaca el vicepresidente de la firma, Kevin Bocek, para quien «las organizaciones no están preparadas para defenderse contra el ransomware que extrae datos, por lo que pagan el rescate, pero esto solo motiva a los atacantes a buscar más».
La parte más negativa de todo es que, a la problemática del secuestro de datos o sistemas se le suma el hecho de que muchos atacantes cumplen con las amenazas de extorsión pese a haber pagado el rescate. Esto intensifica la presión a la que están sometidos los CISO ya que las consecuencias pueden afectar a sus clientes.
El informe de Proofpoint confirma esta tendencia ya que, a nivel global, el 70% de las compañías ha sufrido en 2021 al menos un ataque de ransomware. De estas, el 60 % optó por negociar con los atacantes y muchos de ellos terminaron pagando el rescate más de una vez.
Ante estas experiencias, los expertos destacan que el mejor enfoque para las víctimas es no ceder a las demandas de los ciberatacantes, sino restaurar los sistemas y los datos a partir de las copias de seguridad y alertar a las autoridades policiales y de protección de datos sobre el incidente.
Negociar y pactar un rescate resulta cada vez más inútil teniendo en cuenta que, en la mayoría de ocasiones, el resultado no llega a buen puerto. Salvo para los ciberdelincuentes, que siguen enriqueciéndose y motivándose para seguir con sus prácticas de ransomware.