Ransomware: Pagar o no pagar, esa es la cuestión.

Blog Ciberseguridad
Pic source: mohamed_hassan via Pixabay

Las peticiones de rescate después de un ataque exitoso de ransomware son un tema delicado. La cantidad exigida puede ser muy elevada. También la presión para pagarla. Pero no hay ninguna garantía de que vayas a recuperar tus datos. Incluso puede hacerse acreedor a un juicio por pagar. Además, cada pago hace que el modelo de negocio del ransomware sea aún más rentable, empeorando la situación general. ¡Pero sin datos ni informática utilizable, todo en su empresa lleva ya días parado y los costes…!

No podemos quitarle a nadie la decisión individual a favor o en contra del pago de un rescate. En casos agudos, asesoramos a nuestros miembros de forma personal e individual. Por supuesto, eso no es posible en un artículo del blog.

Pero nos gustaría que conocieras al menos tus opciones básicas. Por lo tanto, ofrecemos aquí una visión general de las recomendaciones, condiciones, estudios y cifras actuales sobre el tema del pago de rescates. Y en casos agudos, siempre estamos a su disposición personalmente.

Es bueno saberlo: La negociación está incluida en el precio del rescate

En el reciente ataque de ransomware a Mediamarktsaturn, los ciberdelincuentes exigieron un total de 240 millones de dólares de rescate. La demanda parece astronómica, y lo es. Porque los ciberdelincuentes suelen fijar sumas extra elevadas para tener margen de negociación.

¿Qué aconsejan las autoridades?

La BSI, la BKA y la policía desaconsejan el pago de rescates. Entre otras cosas, porque no se sabe con certeza si los datos serán descifrados tras el pago y porque se podrían exigir más rescates.

Estudio de Sophos: el ransomware sólo recupera 2/3 de los datos de media 

La empresa británica de software de seguridad Sophos publica un estudio anual sobre el tema del ransomware. En 2021, se encuestó a 5.400 responsables de la toma de decisiones de TI en 30 países. Con respecto a

Ransomware, hubo respuestas reveladoras: 

  • Las empresas que pagaron un rescate sólo recuperaron el 65% de sus datos cifrados de media.
  • Sólo el 8% tenía todos sus datos desencriptados.
  • Para casi un tercio, el 29%, como máximo se descifró la mitad de los datos.
  • Por lo tanto, al sopesar los costes y beneficios de pagar un rescate, las empresas deberían asumir que recuperarán aproximadamente 2/3 de sus datos.
  • Un resultado casi banal, pero no por ello menos importante, del estudio: las industrias que más veces pudieron restaurar sus datos a partir de copias de seguridad fueron las que menos pagaron rescates.

El punto de vista de las ciberseguras: El pago de rescates agrava el problema a largo plazo

En determinadas circunstancias, las empresas han podido hasta ahora reclamar a su ciberseguro los rescates pagados en el marco de un ataque de ransomware. Ahora, las primeras compañías de seguros se apartan decididamente de esta práctica.
El trasfondo de todo esto es que los ataques de ransomware son cada vez más frecuentes y más complejos, y por tanto los daños son cada vez mayores. Para que las ciberaseguradoras sigan siendo rentables, tienen que tomar medidas. Por ejemplo: aumentar sus primas, hacer más estrictas las condiciones del seguro y/o limitar la cobertura de los daños.
Un factor adicional para las aseguradoras es que cada pago de rescate promueve el modelo de negocio del ransomware para los ciberdelincuentes. A largo plazo, esto conduce a más ataques y peticiones de rescate y, por tanto, a riesgos cada vez mayores para las aseguradoras.

Debe ser consciente de estos riesgos del ransomware:

Es posible que los datos encriptados no se vuelvan a descifrar, o sólo parcialmente. Porque para algunos ransomware, los ciberdelincuentes no tienen ningún programa de descifrado. Y algunos de los programas de descifrado que existen en la actualidad contienen errores de código, por lo que no funcionan.
Los ciberdelincuentes están bien conectados. También comparten información sobre qué empresas estaban dispuestas a pagar rescates. Estas empresas son entonces objetivos atractivos para nuevos ataques.
El pago de rescates puede ser legalmente problemático. Por lo tanto, es aconsejable consultar a un abogado.

En Perseus le aconsejamos: Sólo se paga en caso de extrema urgencia 

En general, recomendamos no pagar un rescate. Nos desviamos de esta recomendación en casos individuales. Nuestro analista principal de seguridad Valentin Savulescu explica: «Si pagar un rescate es la única opción, o la mejor, lo aconsejamos. Por ejemplo, si no hay ninguna copia de seguridad en una empresa o si todas las copias de seguridad también han sido cifradas y los datos críticos no pueden reconstruirse a partir de otras fuentes. Por ejemplo, a partir de expedientes, documentos, archivos en línea o comunicaciones. Si, además, no hay alternativa al pago del rescate y ya sería una gran ayuda que los datos estuvieran al menos parcialmente desencriptados».
Y añade: «Pero incluso el pago de un rescate no es una solución fácil. Por ejemplo, tenemos que comprobar primero todos los programas de descifrado proporcionados por los ciberdelincuentes. Esto se debe a que puede ser simplemente otro programa malicioso. Tampoco hay garantía de que el programa de descifrado suministrado funcione. Y después del pago, la empresa tiene que asegurarse muy bien para evitar nuevos incidentes». Además, Savulescu recomienda guardar una copia de los datos encriptados, por si al final se pueden descifrar sin pagar el rescate.

Alternativas al pago de un rescate

Utilice el CryptoSherriff de Nomoreransom.org para comprobar si sus datos encriptados pueden ser descifrados sin pagar un rescate. Nomoreransom.org es una iniciativa de, entre otros, la Unidad Nacional de Delitos de Alta Tecnología de la policía holandesa y el Centro de Ciberdelincuencia de Europol.
Utiliza las copias de seguridad para restaurar los datos. Incluso con las copias de seguridad más antiguas, probablemente recuperará más datos que si paga el rescate.
Póngase en contacto con Perseus para agotar todas las opciones técnicas de descifrado y recuperación de datos.

Es importante: 
Independientemente de que pague el rescate o no, después de un ataque de ransomware con éxito, es esencial que proteja su sistema de forma exhaustiva contra nuevos ataques. Perseus estará encantado de ayudarle en este sentido.

Le ayudamos en casos agudos 

¿Se enfrenta actualmente a un ataque de ransomware? Entonces póngase en contacto con nosotros inmediatamente para que podamos discutir la mejor manera de reaccionar ahora.

Los miembros de Perseus pueden contar con nuestra Respuesta a Incidentes todos los días, las 24 horas del día.
También hay un número de emergencia para los no socios: +49 30 233 2730 95