¿Podría ser ilegal pagar rescates de ransomware a los cibercriminales?




por Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000

El crecimiento acelerado de los ataques de ransomware en todo el mundo está poniendo en alerta al sector empresarial y a los gobiernos. Uno de los temas que se están considerando es el pago del rescate que solicitan los grupos de ciberdelincuentes por los ataques de ransomware que ejecutan y que mantienen como rehenes a los sistemas tecnológicos, exigiendo grandes pagos a las víctimas para que puedan recuperar su información.

El pasado 19 de mayo, Joseph Blount, CEO de Colonial Pipeline — una de las compañías de oleoductos más importantes de Estados Unidos, que fuera víctima el 7 de mayo de 2021 de un ataque de ransomware, provocando la interrupción del suministro de nafta, diesel y otros productos refinados para un tramo de aproximadamente 8,850 kilómetros — , dio a conocer sus razones para pagar a los cibercriminales un rescate de casi $4.5 millones de dólares.

En entrevista, Blount defendió su decisión diciendo que autorizó el pago porque no sabía cuánto tiempo tomaría restablecer el servicio del oleoducto, que proporciona más de 100 millones de galones de combustible diariamente a clientes desde Texas hasta New York.

Es más, Blount dijo que su decisión de pagar el rescate ‘fue lo correcto para el país’. Pero en lugar de hacer desaparecer este problema, la decisión apresurada del CEO de Colonial sienta un precedente peligroso y pone en riesgo a una gran parte de la infraestructura crítica al demostrar que los delincuentes pueden extorsionar a las empresas — desesperadas por restaurar rápidamente los servicios — para que paguen millones de dólares.

Cabe señalar que desde agosto de 2020, el grupo de cibercriminales conocido como DarkSide, ha obtenido al menos $ 90 millones de dólares en pagos de rescate de unas 47 víctimas. Y DarkSide es solo uno — de al menos una docena — de los grupos delictivos de ransomware que obtienen grandes beneficios por atacar empresas, escuelas, gobiernos y hospitales para pedirles rescate.

Y a esto se debe añadir que trabajan de forma anónima, por lo que es difícil localizarlos y que además muchos operan en países que no están dispuestos a arrestarlos.

De igual forma, uno de los principales problemas es que en la actualidad pagar rescates de ransomware no es ilegal, por lo que muchas organizaciones pagan en secreto.

Y aunque algunos analistas se han mostrado empáticos con la decisión de Colonial Pipeline de pagar el rescate de ransomware — ya que mencionan que es una de las muchas empresas que se encuentran bajo una fuerte presión para que sus operaciones vuelvan a estar en línea — , también cuestionan el cómo es que una empresa tan importante se encuentra en una situación así. ¿Acaso es que no estaban los suficientemente preparados para identificar un ciberataque?, ¿no tenían los procesos, políticas y procedimientos adecuados para enfrentar una situación de este tipo?, ¿no contaban con un plan de prenvención de pérdida de datos?, ¿no tenían entrenamiento para prevenir o hacer frente a una cibercrisis?, ¿tenían al personal adecuado en las áreas de sistemas y de ciberseguridad?

Para evitar este tipo de incidentes, una empresa como Colonial Pipeline — y en general cualquier tipo de empresa sin importar su tamaño, sector o ubicación — es importante contar con versiones actualizadas de todos los sistemas y aplicaciones, así como aplicar todos los parches de protección para vulnerabilidades. Además, las organizaciones deben dar una formación completa en ciberseguridad a su personal para que sean capaces de identificar y evitar potenciales ciberamenazas. Otro punto fundamental es realizar copias de seguridad de toda la información corporativa con frecuencia.

Otras recomendaciones son:
Evite que la infección se propague separando todas las computadoras infectadas entre sí, el almacenamiento compartido y la red.
A partir de mensajes, evidencia en la computadora y herramientas de identificación, determine con qué cepa de malware está tratando.
Informe a las autoridades para apoyar y coordinar medidas de contraataque.
Utilice copias de seguridad seguras y software para restaurar su computadora o equipar un nuevo sistema.
Haga una evaluación de cómo ocurrió la infección y qué puede hacer para implementar medidas que evitarán que vuelva a ocurrir.

Para más información, visite: https://www.silikn.com/