Nueve consejos para negociar con los "malos" frente a un ataque de ransomware

Las víctimas deben ganar tiempo en la medida de lo posible, y una forma es no pinchar en los links que activan el contador.

Guardar

Busca ganar tiempo para explorar todas las posibilidades de recuperación.
Busca ganar tiempo para explorar todas las posibilidades de recuperación.

El ransomware está siendo la principal pesadilla tecnológica de muchas empresas e instituciones de todo el mundo durante 2020 y 2021. 

Lógicamente, cuando se encuentran con un incidente de este tipo, la mayoría de gestores no saben cómo actuar, ya que los atacantes los han puesto entre la espada y la pared al "secuestrar" sistemas vitales para su funcionamiento o hacerse con datos confidenciales o sensibles de sus clientes o sus usuarios. 

Indicar a las víctimas cómo comportarse no es algo sencillo. No hay ningún manual o libro de cabecera que diga cómo hacer frente a un ataque de ransomware 100% efectivo, ya que cada caso tiene sus propias peculiaridades, pero sí que existen algunas ayudas. 

Los analistas de ciberseguridad y amenazas de Fox-IT (que forma parte del Grupo NCC) han realizado una investigación para la cual han evaluado más de 700 negociaciones entre atacantes y víctimas en los últimos dos años, extrayendo algunas conclusiones interesantes. 

Seiscientas ochenta y una negociaciones se dieron antes de la pandemia, cuando los hackers no tenían la experiencia actual y las demandas de rescate todavía eran bajas. Otras 30 se recogieron entre finales de 2020 y 2021, cuando los ataques ya se habían transformado en la gran amenaza que actualmente son para las organizaciones de todo el mundo. 

Cuatro pasos a adoptar previos a una negociación

En el trabajo se pone de manifesto que cada grupo de ciberdelincuentes ha creado sus propias estrategias de negociación y precios para maximizar sus ganancias. 

No obstante, la investigación establece las mejores prácticas y enfoques a adoptar. Es importante que las empresas y organismos no actuén cuando ya es tarde, sino que se preparen en la medida de lo posible antes de que se llegue a la fase de negociación, según se hace eco CSO Online. Esta no tiene por qué coincidir con la comunicación del ataque. Estos son los puntos que se aconsejan: 

  1. Debes enseñar a tus empleados a no abrir notificacions de rescate ni hacer click en el enlace que contienen. Esto implica poner en marcha una cuenta regresiva para el pago. Por eso, al no abrir este contador se puede ganar tiempo para saber qué partes de la infraestructura se han afectado, las posibles consencuencias, etc. 
  2. Establece tus propios objetivos de negociación, siempre teniendo los backups sobre la mesa y considerando los mejores y peores escenarios de pago.
  3. Establece líneas de de comunicación internas y externas claras que involucren a los equipos de gestión de crisis, la junta, el asesor legal y el departamento de comunicaciones.
  4. Infórmate sobre el atacante para aprender sus tácticas y ver si hay una clave de descifrado disponible.

Cinco enfoques a seguir en la negociación

Cuando ya se está en la fase de negociación hay otra serie de estrategias que los investigadores sugieren seguir: 

  1. Sé siempre respetuoso en las conversaciones y usa un lenguaje profesional, tratando de dejar las emociones fuera de las negociaciones.
  2. Busca ganar tiempo para explorar todas las posibilidades de recuperación. Una posible excusa es que necesitsa tiempo adicional para recaudar los fondos de criptomonedas necesarios.
  3. Suena algo mal, pero las organizaciones pueden ofrecer pagar una pequeña cantidad por adelantado en lugar de una cantidad mayor en el futuro. Se ha demostrado que los cibercriminales aceptan grandes descuentos a favor de obtener una ganancia rápida y pasar a otro objetivo.
  4. Una de las estrategias más efectivas sería convencer al atacante de que no estás en condiciones financieras para pagar la cantidad solicitada inicialmente, y esto puede resultar efectivo incluso para organizaciones muy grandes. La investigación ha demostrado que existe una diferencia entre tener una cierta cantidad de ingresos y tener millones de dólares en criptomonedas solo para la ocasión.
  5. Por último, evita contar al adversario que tienes una póliza de seguros para temas digitales, si es que se dispone de ella. No debes guardar los documentos del seguro cibernético en ningún servidor accesible. Si se descubre su existencia, los atacantes pueden ser menos propensos a ser flexibles con las negociaciones, ya que muchas pólizas cubren los costes de estas amenazas.