Cuando los piratas informáticos maliciosos inhabilitan su negocio y exigen un rescate, ¿debería pagar? Muchas empresas lo hacen por desesperación, recurriendo a intermediarios para ayudar a negociar el acuerdo. Pero la policía dice que esto solo empeora las cosas, según recoge el autor original de este artículo Joe Tidy en BBC Cyber-security y comparte Manuel Trujillo para Periodista Digital.
Imagine la emoción cuando los piratas informáticos se afianzaron en el sistema informático de Norsk Hydro, un productor mundial de aluminio.
No sabemos cuándo fue, pero es probable que una vez dentro pasen semanas explorando los sistemas de TI de este grupo, buscando más puntos débiles.
Cuando finalmente lanzaron su ataque de ransomware, fue devastador: 22,000 computadoras fueron atacadas en 170 sitios diferentes en 40 países diferentes.
El director de información, Jo De Vliegher, reabre la nota de rescate que apareció en las computadoras de toda la compañía. Decía: «Sus archivos se han cifrado con los algoritmos militares más fuertes … sin nuestro decodificador especial, es imposible restaurar los datos».
Media captionWatch: La fábrica se puso de rodillas por piratas informáticos ransomware
Toda la fuerza laboral, 35.000 personas, tuvo que recurrir al lápiz y al papel.
Las líneas de producción que dan forma al metal fundido se cambiaron a funciones manuales, en algunos casos los trabajadores retirados regresaron para ayudar a los colegas a manejar las cosas «a la antigua».
En muchos casos, sin embargo, las líneas de producción simplemente tuvieron que parar.
Imagine la anticipación del hacker mientras esperaban para recibir una respuesta a su nota de rescate. Después de todo, cada minuto cuenta para una potencia de fabricación moderna. Probablemente pensaron que podían nombrar su precio.
Pero la respuesta nunca llegó. A los hackers nunca se les preguntó cuánto dinero querían. Imagina el choque.
Todo ese trabajo. Para nada.
Han pasado más de tres meses desde que Norsk Hydro fue atacada y aún faltan muchos meses para que se recupere por completo. Hasta ahora les ha costado más de 45 millones de libras.
Pero lo que han perdido en productividad e ingresos, posiblemente han ganado en reputación.
La respuesta de la compañía está siendo descrita como «el estándar de oro» por las organizaciones de aplicación de la ley y la industria de seguridad de la información. No solo se negaron a pagar a los piratas informáticos, sino que también han sido completamente abiertos y transparentes con el mundo exterior sobre lo que les sucedió.
Pero hay muchas otras compañías y organizaciones que toman la decisión opuesta, y cada vez hay más pruebas de que las víctimas, y sus compañías de seguros, están pagando en secreto a los piratas informáticos de ransomware, en busca de una salida fácil.
«Se ha convertido en un simple caso de negocios para el pago de muchas organizaciones, y en este punto es un secreto conocido de que esto está sucediendo», dice Josh Zelonis, analista de seguridad cibernética de Forrester.
El secreto rodea la práctica porque las organizaciones están preocupadas por la posibilidad de litigios y el daño a su reputación después de un ataque, dice el Sr. Zelonis.
«Y muchas veces las compañías de respuesta a incidentes son traídas para negociar la transacción con los propios adversarios con el fin de garantizar que el pago se realice y la recuperación sea posible», dice.
Las fuentes en la industria de la seguridad de la información han descrito múltiples ocasiones en que compañías grandes y conocidas han pagado miles de libras, en algunos casos cientos de miles, a piratas informáticos y no se lo han dicho al público ni a los accionistas.
La semana pasada, una ciudad de Florida pagó a los hackers $ 600,000 (£ 475,000) para que sus computadoras funcionaran nuevamente después de que un ataque de ransomware desactivó el correo electrónico, afectó a los sistemas de respuesta de emergencia y obligó al personal a usar sistemas de administración basados en papel.
Es una tendencia preocupante que ha impulsado a Europol, la agencia de aplicación de la ley de la Unión Europea, a volver a emitir su advertencia de que pagar rescates alimenta a los piratas informáticos y con frecuencia lleva a un crimen más organizado.
Coveware, una empresa con sede en Estados Unidos, se especializa en negociar rescates entre hackers y sus víctimas. Al visitar sus oficinas en Connecticut, está claro que opera en el extremo del ciberdelito.
No hay una oficina permanente, en su lugar, las personas se mueven alrededor de los espacios de trabajo compartidos. Todo el equipo está disperso por todo el mundo.
El director ejecutivo y fundador, Bill Siegel, admite que el servicio es «desagradable», pero insiste en que es necesario. No dio detalles sobre las compañías a las que ayudó, pero dice: «En cualquier momento tenemos entre una docena y una docena de casos, algunas de las compañías son grandes, incluidas las empresas públicas y las marcas de renombre».
La investigación de la propia compañía indica que las demandas de los piratas informáticos, generalmente un intercambio de Bitcoin no rastreable, están aumentando.
«Idealmente, no pagaríamos o negociaríamos mucho», dice Siegel, «pero reconocemos que cuando una empresa necesita pagar (y es una gran cantidad), eso es lo que debe suceder, y eso puede ser siete figuras
«Todos reconocen que este no es un buen resultado, pero se trata de la vida o la muerte de una empresa».
El virus ransomware más infame se llamaba WannaCry e infectó 200,000 computadoras en al menos 150 países, lo que incluso causó una interrupción notable en el Servicio Nacional de Salud en el Reino Unido.
Desde entonces, los números de ataques de ransomware han disminuido significativamente.
El proveedor de seguridad cibernética Trend Micro estima que las cifras podrían haber disminuido un 91% en el último año. Pero los datos de muchos otros proveedores apuntan a un aumento en los ataques más dirigidos, donde las empresas y las organizaciones, en lugar de los individuos, están en la mira.
Los investigadores de la compañía de seguridad cibernética Malwarebytes afirman que en comparación con el mismo período del año pasado, las detecciones empresariales de ransomware han aumentado más del 500%.
De vuelta en Norsk Hydro, el Sr. De Vliegher dijo que intenta no pensar en los piratas informáticos y no se siente satisfecho al saber que frustró sus planes.
«Creo que en general es una muy mala idea pagar», dice. «Alimenta a una industria y es probable que financie otros tipos de delitos. Va en contra de los valores de nuestra empresa y tenemos buenos cimientos y buenas personas.
«Pero entiendo por qué, para algunas compañías que son menos seguras, esta puede ser la única opción».
Sus palabras son repetidas por el jefe de Europol del Centro Europeo de Cibercrimen, Steven Wilson.
«Las empresas deben entender que si continúas pagando un rescate, perpetúa el delito», dice. «Alienta a los criminales a cometer más delitos.
«Si pagas, estás alimentando el crimen organizado a nivel global».
