Prácticamente todos los días leemos noticias sobre nuevos ataques cibernéticos que paralizan servicios y amagan con difundir información de cuentas y usuarios (o directamente lo hacen), la parte que algunas veces no se conoce es la exigencia de una suma de dinero para retrotraer el secuestro de información. Entre los casos más populares y recientes podemos mencionar a Twitter y a Microsoft, quien lo diría, gigantes extorsionados por piratas de la web. O incluso estados enteros, como Vanuatu o la comprometida situación de Ucrania, en el marco de la invasión rusa, que también ha sufrido embestidas digitales.
En los últimos años, el sector público y las infraestructuras críticas han sido de los más afectados por las amenazas de ransomware. Pero también el tecnológico, el financiero, el sanitario, el de transporte y logística, el energético, el industrial, el retail y la construcción.
La empresa de ciberseguridad Proofpoint, según datos que ha hecho públicos, registró que un 68% de las organizaciones españolas ha sufrido al menos una infección de este tipo en 2021, y cada vez hay más ataques que logran su objetivo debido al aumento de la escala y la disponibilidad de ofertas de este software malicioso como servicio.
“El ransomware seguirá existiendo mientras los ciberdelincuentes encuentren la manera de obtener un beneficio económico a través de ello”, explica Manuela Muñoz, Named Account Manager de dicha compañía en España. “Lo ideal es detener los ataques de ransomware antes de que sucedan, y esto se consigue implementando una estrategia de ciberseguridad centrada en las personas que consiga formarlas adecuadamente para que sean más resilientes y sepan actuar cuando algo vaya mal”.
En la misma línea se pronunció recientemente el experto en ciberseguridad Víctor Deutsch, quien destacó en una entrevista con Escudo Digital que “la recomendación es tener un proceso de gestión de crisis muy bien organizado, tratando de prever la mayor cantidad de ataques posibles y cómo reaccionar a ellos”. “Lo más importante es tener muy bien preparado un procedimiento de respuesta a incidentes, y entrenarlo”, sugirió Deutsch, y agregó que “una de las medidas fundamentales de prevención es la concienciación del personal, algo que suele desdeñarse”.
Efectivamente, es habitual que el ransomware vaya precedido de un mensaje de phishing por correo electrónico, el principal vector de ataque en la actualidad, en el que un empleado abre un archivo adjunto o accede a un enlace que puede infectar tanto el dispositivo como la red o todo un sistema. Por eso es fundamental que todo el personal de la compañía conozca los riesgos y aprenda a conducirse de manera prudente, con formación y concienciación. El ransomware también puede llegar a los equipos como infección secundaria, cuando éstos ya se encuentran contaminados por Troyanos o loaders, o incluso a través de personas de la propia empresa que deciden instalar software malicioso en su lugar de trabajo por dinero.
Estrategias de prevención
Los expertos coinciden en que la mejor manera de enfrentar las crisis que puedan provocar estos ataques es estar prevenidos. Entre las medidas que hay poner en marcha se encuentran, principalmente, instalar software de seguridad y asegurarse de contar con las últimas actualizaciones y parches, también en los sistemas operativos; proteger el correo electrónico y las cuentas cloud; tener copias de seguridad en una red independiente, así como diseñar un plan de respuesta para saber qué hacer en caso de que se consuma el ataque.
También, y en una curva ascendente en Europa, muchas empresas optan por un ciberseguro, que les brinde asesoramiento y asistencia, tanto técnica como legal. En algunos casos, los rescates son cubiertos por estas compañías. Pero no es obligatorio contratar uno en España.
Si sufrimos un ataque, ¿debemos pagar a los delincuentes?
“El pago de un rescate por ataques de ransomware no garantiza la liberación de los datos”, asevera Manuela Muñoz, desde Proofpoint. “Es muy probable además que esto sirva para echar más leña al fuego, ya que se recompensa a los atacantes por lo que hacen y les anima a seguir realizándolos. Pero está claro que ninguna organización quiere ser extorsionada y menos sufragar redes criminales, por lo que son ellas quienes deben elegir cómo actuar en base al tiempo y los recursos necesarios para volver a estar operativa, o la seguridad de clientes y empleados, entre otros factores”.
Según datos de la compañía especializada, casi el 60% de empresas afectadas optó por negociar con los atacantes y cuatro de cada diez (39%) pagaron al menos un rescate en España durante 2021, aunque esto no fue suficiente para volver a tener acceso a los datos cifrados en todos los casos. Hubo un 21% que pagó un rescate inicial, se negó a pagar más y no obtuvo nada a cambio.
Es cierto que la principal preocupación cuando una empresa sufre una infección de ransomware es que los datos secuestrados se borren permanentemente, la suma del rescate se incremente o haya grandes daños reputacionales y de negocio. Pero el pago no asegura que se reciba un descifrador, que efectivamente funcione o que puedan repararse los daños. De ahí la importancia de la prevención y las copias de seguridad.
Según la plataforma Ransomwhere, en 2022 se han pagado más de 111 millones de dólares en rescates. En España pagar por el ransomware no es ilegal, pero la compañía puede ser acusada de cometer un delito como colaboración con banda criminal, sufragio a organizaciones criminales y financiación del terrorismo. En Francia, se analiza obligar a las compañías de seguro al pago a las empresas aseguradas de la compensación derivada de los ciberrescates por ransomware, con la condición de que la víctima presente una denuncia policial en un plazo de 48 horas.
Cómo seguir después de un ataque
Nadie está exento de sufrir un ataque de ransomware. Incluso las organizaciones más preparadas pueden caer en la trampa de los ciberdelincuentes. Si eso ocurre, se aconseja recurrir al plan de prevención preparado, realizar la denuncia a las autoridades correspondientes, informar a los empleados de lo ocurrido y decirles cómo proceder.
Desde Proofpoint no recomiendan confiar en herramientas gratuitas de descifrado de ransomware, porque lo más seguro es que estén obsoletas y no funcionen. Sobre los servidores dañados, indican aislarlos, y comprobar otros sistemas posiblemente infectados y, en caso de que sea posible, restaurar todo a parir de copias de seguridad previas. También aconsejan investigar en dónde se ha fallado y qué ha dado lugar a que entrara el ransomware. “Si la organización no averigua cómo se produjo el ataque, difícilmente podrá detener el siguiente”, concluyen.