La cuestión de si deben prohibirse los pagos de ransomware no es nueva, pero dos eventos en las últimas semanas han alimentado nuevas discusiones en torno a este cuestionamiento.
Antillavadodedinero/ Searchdatacente
En días pasados, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE.UU. emitió un aviso declarando que facilitar los pagos de rescate para cualquier persona en la «Lista de ciudadanos especialmente designados y personas bloqueadas (Lista SDN) de la OFAC, otras personas bloqueadas y aquellas cubiertas por el país o los embargos regionales (por ejemplo, Cuba, la región de Crimea de Ucrania, Irán, Corea del Norte y Siria)» probablemente violarían las regulaciones de la OFAC.
Si una víctima violara dichas sanciones, las penalizaciones podrían variar desde sanciones civiles y multas hasta cargos penales.
Ciaran Martin, director gerente del inversor de capital de riesgo cibernético Paladin Capital (y anteriormente el primer CEO del Centro Nacional de Seguridad Cibernética del Reino Unido), planteó problemas sobre cómo las empresas se adherirían a esto.
«Si una víctima paga un rescate a alguien sujeto a sanciones del Tesoro de Estados Unidos, eso es ilegal», dijo Martin. Pero, «primero, hay un punto práctico: ¿cómo se supone que va a saber si su atacante está en la lista de sanciones de EE.UU.? Y, en segundo lugar, ¿cuál es el resultado de la política aquí? ¿Por qué está bien pagarle a alguien que no está en la lista de sanciones de EE.UU., si se trata de un rescate por un acto criminal de extorsión?»
Si bien técnicamente existe una lista de los sancionados por la OFAC, es casi imposible saber de dónde provienen los actores de amenazas en un ataque de ransomware.
El otro evento que provocó la discusión sobre la prohibición de los pagos de ransomware es el ataque contra el Hospital Universitario de Düsseldorf en Alemania el mes pasado. El ataque puede haber resultado en la primera muerte relacionada con ransomware.
En respuesta a esto, Emsisoft publicó un comentario en el que se aboga por prohibir los pagos de ransomware.
«Actualmente, las organizaciones están proporcionando a los ciberdelincuentes un flujo de ingresos de miles de millones de dólares, que es financiado en su totalidad por el público, aunque indirectamente, y no tiene absolutamente ningún sentido permitir que esta situación continúe», se lee en el comentario.
«La mejor manera de proteger a las organizaciones de los ataques de ransomware y de proteger a las personas de las consecuencias de esos ataques es hacer que sea ilegal que las organizaciones paguen rescates. Esto detendría los ataques y los detendría rápidamente».
Los expertos opinan
Nuestra publicación hermana SearchSecurity preguntó a cinco expertos en ciberseguridad de cinco organizaciones si deberían prohibirse los pagos de ransomware. Si bien la idea en general se consideró digna de consideración, las cinco no llegaron a recomendar una prohibición.
Martin, por ejemplo, dijo que «no creo que sea un caso de golpe, pero me tomaría muy, muy en serio el caso de prohibir los pagos de rescate».
El asesor de seguridad sénior de Sophos, John Shier, dijo que dudaba de que una ley contra los pagos de rescate fuera efectiva.
«No sé si [prohibir el pago de rescates] sea necesariamente una respuesta», dijo. “Estaba pensando en esto el otro día: si hacemos que los pagos de rescate sean ilegales, como ciberdelincuente, simplemente le cobraré una ‘tarifa de consultoría’. No será un pago de extorsión, será una tarifa de consultoría para ayudarlo a que su red vuelva a su condición operativa anterior.
O simplemente usaré intermediarios o empresas fantasmas o lo que sea. Hay formas de evitar eso legalmente, y son criminales, no les importa. Ya están infringiendo una ley; no les importa si infringen una segunda ley».
La idea de usar algo como «tarifas de consultoría» para evitar los pagos relacionados con el ciberdelito no es un concepto nuevo. El ex CSO de Uber, Joe Sullivan, fue acusado a principios de este año por supuestamente encubrir la violación de datos de la compañía en 2016 al pagar a los piratas informáticos para que se callaran con el pretexto de que el pago era una recompensa por el hallazgo de errores de programación (bug bounty).
«Si bien las implicaciones negativas de los pagos de rescate son bien conocidas, las hemos estado discutiendo durante años y no hay nada nuevo, todos sabemos por qué es malo pagar un rescate, creo que prohibirlo categóricamente y quitarle la discreción a los profesionales de esta manera realmente puede tener un efecto boomerang», dijo Barak.
«Creo que necesitamos profesionales que tengan la capacidad de sopesar los pros y los contras en cada caso específico, y decidir sobre la base de un criterio generalmente acordado qué es lo correcto. Creo que, en lugar de prohibirlo categóricamente, necesitamos establecer pautas y normas que los profesionales en el espacio serán educados para seguir y cumplir.»
Los ejemplos de estas pautas, dijo, incluyen determinar bajo qué circunstancias las víctimas deben considerar el pago de ransomware como una opción viable y, en situaciones en las que un profesional decide pagar un rescate, determinar cómo deben involucrarse con las fuerzas del orden.
Adam Meyers, vicepresidente senior de inteligencia de CrowdStrike, dijo que, si bien entiende por qué la gente argumenta a favor de prohibir los pagos de ransomware, no es práctico. «Una cosa es prohibirlo», dijo. «Y otra es hacer cumplir».
Charles Carmakal, vicepresidente senior y CTO de servicios estratégicos de Mandiant, argumentó que, si bien la intención de prohibir los pagos de rescate es positiva, también se corre el riesgo de agregar «mucha más complejidad a lo que ya es una situación muy compleja para las organizaciones que han sido víctimas».
«A lo largo de los años, hemos visto a tantas organizaciones pagar tanto dinero a los delincuentes, y la razón por la que existe un problema de ransomware tan grande hoy en día es porque a muchos delincuentes se les paga. Por eso. Reciben decenas de millones de dólares en un período de tiempo muy corto, por lo que se les paga muy bien», dijo.
«Si bien la intención es muy positiva, va a crear mucha presión para las organizaciones que están lidiando con una situación de robo de datos, una situación de interrupción del negocio, una situación vergonzosa, que se sienten coaccionadas y obligadas a pagar a los actores de amenazas porque quieren volver a estar en línea, y quieren reanudar sus operaciones comerciales y quieren proteger la información de sus clientes. Por lo tanto, agregará mucha más complejidad a lo que ya es una situación muy compleja para las organizaciones víctimas».
Incluso si no están prohibidos, generalmente no es aconsejable pagar un rescate
Independientemente de si algún día se cumple una prohibición total del pago de rescates, existen numerosas razones para evitar pagar rescates, en la medida de lo posible.
En mayo, un informe técnico de Sophos descubrió que pagar el rescate casi duplica el costo de la remediación en comparación con no pagar o depender de las copias de seguridad: $1,448,458 dólares por el pago frente a $732,520 por las pérdidas asociadas.
«Esto puede parecer contrario a la intuición: si ha pagado el rescate, ¿por qué cuesta más?» escribieron los autores del informe «El estado del ransomware 2020«. «Bueno, incluso si paga el rescate, aún necesita hacer mucho trabajo para restaurar los datos. De hecho, los costos para recuperar los datos y hacer que las cosas vuelvan a la normalidad probablemente serán los mismos si obtiene los datos de los criminales o de sus copias de seguridad. Pero si paga el rescate, tiene otro gran costo adicional».
Además, incluso si una víctima decide pagar para recuperar los datos y el riesgo de un ciberataque repetido (ya sea por una mala postura de ciberseguridad o por puertas traseras creadas la primera vez), algunos datos desaparecen de alguna manera, es probable que la organización víctima no esté obteniendo todos sus datos, según una sesión en la Cumbre de Gestión de Riesgos y Seguridad de Gartner realizada el mes pasado.
«Lo que vemos es que alrededor del 4% de los datos no son recuperables», dijo Paul Furtado, director sénior y analista de seguridad de MSE en Gartner, quien dirigió una sesión en el evento. «Eso significa que sí, pagó y sí, obtuvo una clave de descifrado, pero a estos malos actores no les importa lo que les sucede a sus datos cuando pasan por el cifrado».
En la Conferencia RSA en febrero, el CTO de CrowdStrike, Mike Sentonas, dijo a SearchSecurity durante una discusión sobre el seguro de ransomware, que demasiadas empesas están eligiendo pagar el rescate y que están «alimentando una industria».
«Creo que el problema, si damos un paso atrás, es que hay demasiadas organizaciones, gobiernos locales, que están pagando los rescates. Es irrelevante para mí si tienen seguro o quién realmente está financiando el pago. No deberíamos estar pagando», dijo. «Entiendo la necesidad de recuperarse lo más rápido posible porque la gente no tiene una copia de seguridad, etcétera.
Pero… tengan una copia de seguridad. Tengan un plan. Tengan tecnología que pueda prevenir contra el ataque. Porque al pagar el rescate, están contribuyendo a experimentar un gran aumento en el ransomware porque la gente está impulsando una industria».