Ransomware: ¿Pagar o no pagar? ¿Es legal o ilegal? ¿Por qué tantas víctimas se deciden por pagar?, ¿Es más rentable pagar que no pagar?, Si pago, ¿resuelvo? ¿Es ilegal pagar para evitar que se publiquen o vendan datos?
Estas fueron algunas de las interrogantes que se plantearon en el desayuno tecnológico para los periodistas especializados en tecnología llevado a cabo por Logintel, Distribuidor exclusivo ESET en Venezuela, de la mano del ingeniero Michele Flammia, su gerente general, quien estuvo acompañado por Carlos López Rodríguez, Gerente de Soporte y Capacitación y por José Luis Rangel, Gerente Comercial.
“Hacer que el pago del rescate sea ilegal, o al menos que limite el papel del mercado de ciberseguros y obligue a las empresas a reportar los incidentes a un organismo regulador de incidentes cibernéticos, y además, que se regulen las criptomonedas para eliminar el pseudo derecho al anonimato”, de acuerdo a Flammia, podría marcar una diferencia significativa en la lucha contra los ciberdelincuentes y frenar, dentro de lo posible, el avance del Ransomware.
De acuerdo al gerente general, financiar la actividad criminal, definitivamente no es aceptable, pues lo correcto es hacer que financiar a los ciberdelincuentes, sea ilegal.
“El dilema de pagar o no, puede tener que ver más con lo económico que con lo ético. Nos negamos a pagar a un cibercriminal porque estamos alimentando esa industria, pero sin embargo, los costos de reconstrucción, si no se paga, son enormes” asevera, poniendo como ejemplos algunos casos relevantes en los que las víctimas accedieron a las demandas de los cibercriminales, como fue el caso de WannaCry en 2017 que afectó al Servicio Nacional de Salud del Reino Unido y cuyos costos de reconstrucción del daño se estimó fue cerca de US$120 millones, aunque se pudo con esta cifra mejorar y actualizar los sistemas o en 2018, cuando la ciudad de Atlanta sufrió un ataque del Ransomware SamSam y pidieron US$51.000 de rescate que no fueron pagados y costó entre US$11 millones y US$17 millones recomponer los daños, también con las mejoras en ciberseguridad, sin olvidar un caso más reciente en 2019 afectando a los municipios de Lake City y Riviera Beach en Florida, Estados Unidos, y cuyo pago se elevó a US$500.000 y US460.0000, respectivamente, para pagar las demandas tras este ataque.
“No hay garantía de que se recibirá un descifrador o de que efectivamente funcionará. La mitad de las empresas que pagaron no lograron recuperar el acceso a todos sus datos. Definitivamente las empresas que tienen más que ver con temas financieros, son las que más están relacionadas con estos ataques”, explicó Flammia.
A la par y a raíz del surgimiento de nuevos segmentos en la industria, como es el caso de los intermediarios contratados para negociar y los seguros ante incidentes informáticos, el gerente general advierte el nacimiento de un nuevo segmento empresarial conformado por empresas y particulares que empezaron a lucrar facilitando el pago de las demandas extorsivas. Estamos hablando de los Negociadores y de las Pólizas de Cyberseguros.
“El poseer una póliza de Ciberseguro hace bajar la guardia. Los dos incidentes que afectaron a las ciudades de Riviera Beach y Lake City estaban cubiertos por aseguradoras, al igual que el pago de US$475.000 que realizó la Universidad de Utah. Según se informa, Colonial Pipeline, también estaba cubierta parcialmente por un ciberseguro, aunque no está claro si hizo uso de este. Si bien el ciberseguro puede financiar el pago del rescate y esto minimiza el impacto del incidente hay costos asociados, imagen, riesgo de no recuperar toda la data, continuidad del negocio, etc. La compañía de seguros CNA Financial fue atacada y pagó US$40 millones para recuperar el acceso a sus sistemas y datos”.
De acuerdo a Flammia, el ciberseguro probablemente llegó para quedarse, pero las condiciones que debe exigir es tener un plan de recuperación y respuesta con estándares altos.
Pagar puede no ser ilegal
Refirió el gerente general que en octubre 2020, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los Estados Unidos, declaró en algunos casos ilegal el pago a los atacantes. Es ilegal facilitar el pago a personas, organizaciones, regímenes y, en algunos casos, países enteros que están en la lista de sanciones. Estamos hablando de Grupos de cibercriminales sancionados (otros aún no).
“El pago reciente de 75 bitcoins por parte de Colonial Pipeline, demostró que usar la lista de sanciones para prohibir el pago, es ineficaz. Aparte del fallo de la OFAC, en los Estados Unidos todavía no hay una guía clara acerca de los pagos por ransomware y, según los expertos, el pago incluso puede ser deducible de impuestos. Esto puede influir en el proceso de toma de decisiones sobre si una empresa permite o no ser extorsionada”, explica, indicando además que “aunque el FBI está recomendando a las empresas afectadas no pagar a los ciberdelincuentes, el gobierno de EE.UU. también ofrece un incentivo, poco notorio, para quienes sí pagan y estos rescates pueden ser deducibles de impuestos”, destaca.
De acuerdo al experto de Logintel, la tendencia actual de pagar a los atacantes y la actitud de que “es solo un costo asociado a los negocios” no es saludable, ya que estos recursos deberían estar enfocados e invertidos en el aumento de la ciberseguridad.
Adicionalmente, recomienda que los legisladores deberían tomar medidas y actuar para evitar que se realicen los pagos. El seguro contra riesgos cibernéticos, destaca, debería incluir un tope o deducible y se debe notificar a la policía o un regulador para poder realizar el pago. También a juicio de Flammia, debe existir un ente regulador de incidentes, que verifique la lista de sanciones, involucre a las agencias de seguridad pertinentes y tenga experticia en el manejo de las negociaciones.
Datos interesantes
-Las criptomonedas, por moda, por ser atractivo para los inversores valientes y por sus niveles de anonimato, pueden haber entrado en el juego del pago de los rescates producto del ataque de un ransomware, advierte el ejecutivo, pudiendo ser responsables del lavado de dinero o proporcionar un puerto seguro para los fondos atribuidos al delito cibernético.
-Pagar el rescate a los grupos de ransomware también pareciera abrir la puerta a un segundo ataque.
-Según Cybereason, el 80% de las empresas que pagan el rescate posteriormente sufren otro ataque, 46% de las empresas cree que se trata del mismo atacante.
– El riesgo de que se pueda divulgar o vender información personal o sensible en la dark web podría considerarse una forma más de extorsión.
-Es ilegal solicitar el pago de un rescate, pero no parece que sea ilegal hacer el pago si usted es la víctima. Entonces, este es otro escenario en el que el pago a los ciberdelincuentes parece no ser ilegal.
“Los usuarios pagan los servicios gratuitos de internet con su privacidad”
De acuerdo a Carlos López Rodríguez Gerente de Soporte y Capacitación – ESET Venezuela nuestros datos personales y credenciales de bancos, “pueden” ser perfectamente rastreados. Nos referimos a nuestros datos personales, datos de las personas de nuestro entorno, números de tarjetas, entre otros.
Rodríguez considera imperante la creación de una Ley de Datos Global
Consejos para los periodistas
José Luis Rangel, Gerente Comercial, dictó una charla interesante que resumió los ataques más comunes que hay en la actualidad de Ransomware, Phishing, de ingeniería social, de suplantación de identidad, entre otros.
Finalizó dando valiosos consejos de seguridad a los periodistas asistentes al encuentro.
Autor: Clelia Santambrogio
