mauricio-fernandez-escudodigital

Opinión

Cibersecuestros empresariales: Pagar o no pagar el rescate, he ahí la cuestión

Editor de Escudo Digital

Guardar

Rescate ciberataques ransomware
Rescate ciberataques ransomware

Pocos momentos dejan una huella profesional tan profunda como cuando unos ciberdelincuentes se hacen con el control de la empresa para la que trabajas. Tanto si se trata de una pyme que ve paralizada su actividad, como si es una multinacional que ve en riesgo la continuidad del negocio, o una institución pública que, como el SEPE, garantiza las prestaciones de desempleo, u hospitales, el sudor frío que en esos momentos te recorre la espalda es, en todos los casos,  igual de reconocible y temido.

Ese momento en el que ves que los sistemas informáticos de tu compañía responden a la voluntad de terceros, a través de los cuales se burlan de ti y te deslizan las condiciones de su cibersecuestro, es, por desgracia, cada vez más habitual en nuestro entorno. De hecho, según se desprende de la cuarta edición del informe bianual Índice de Riesgo Cibernético (CRI, por sus siglas en inglés), el 80% de las organizaciones globales creen que es probable que, en los próximos 12 meses, experimenten una brecha en sus sistemas que afecte a los datos de los clientes.

Y suponiendo que nosotros somos unos de los ciberatacados, ¿debemos o no debemos pagar el rescate que nos piden?

Voy a contar mi propia experiencia. En mayo de 2017, Telefónica fue víctima de una versión del ransomware WannaCry, un malware que aprovecha la vulnerabilidad MS17-010 de los sistemas Windows de los ordenadores conectados a la misma red y que, más allá de la compañía española, puso en jaque a más de 200.000 equipos informáticos de empresas e instituciones de todo el mundo en uno de los mayores ataques cibernéticos que se recuerdan. En aquel caso, el pago del rescate no fue en ningún momento una opción para Telefónica (276€ por PC, a pagar antes del 15 de mayo), y hasta el último empleado de la compañía se movilizo para revertir una situación que hasta ese momento nos era totalmente desconocida. Fueron más de 72 horas críticas, dramáticas, en las que liderados por el equipo de Telefónica España se actuó con rapidez y profesionalidad para crear un parche capaz de vacunar en tiempo récord a todos los ordenadores de la compañía en España.

También en el mes de mayo, pero en este caso de este mismo 2021, JBS, la empresa de procesamiento de carne más grande del mundo, comunicó que estaba siendo víctima de un ataque de ransomware, un ataque que apuntó a servidores que respaldan las operaciones de JBS en América del Norte y Australia y que interrumpió la producción durante varios días. En este caso, la compañía optó por otra solución: pagar un rescate de 11 millones de dólares, seis y medio más de los que días antes había abonado Colonial Pipeline, el operador del gasoducto de combustible más grande de EE.UU.

Como se ve en estos casos, no hay una opción única para recuperar la actividad de las empresas. Tanto Telefónica como JBS optaron por vías diferentes para encontrar una solución, y ambas multinacionales dieron con ella, pero también podría haber sucedido todo lo contrario en ambos casos: que ni la una actuando, ni la otra pagando, hubieran acertado en su proceder.

Sin embargo, y aunque yo no seré quien recomiende qué ha de hacer a quien viva una situación tan dramática empresarial y personalmente (un ciberataque puede arruinar familias o costar vidas), pues no todas las organizaciones están aún preparadas para afrontar una batalla contra los piratas informáticos, sí diré en relación a la opción del pago varias cosas. Una, que tal y como muestra un reciente informe de la empresa Kaspersky, casi tres de cada cuatro empresas que aceden a pagar el chantaje no recupera la información. Dos, que en muchas ocasiones los ficheros que te devuelven están infectados con otros malware que volverán a dejar a tu empresa inoperativa, o bien te amenazarán con publicar la información a la que han accedido. Y tres, que al pagar el rescate podemos estar alimentando un negocio ilegal de organizaciones criminales que también invierten en I+D, desarrollando amenazas más sofisticadas y violentas, y con conexiones en muchos casos con otros delitos relacionados con la prostitución o el narcotráfico.

Este artículo ha sido publicado originalmente en el número del mes de octubre de la revista Capital.