Ransomware: cómo negociar para recuperar los datos

Ante el avance imparable de los ataques de ransomware, es importante que las empresas sepan cómo negociar y recuperar sus datos críticos. Estar preparados gracias a una serie de mejores prácticas se convierte en un aspecto fundamental en las estrategias de ciberseguridad.

La proliferación y mayor dureza de los ciberataques de ransomware está llevando a que cada vez más empresas no tengan más remedio que pagar a los atacante para recuperar sus datos. Los analistas de ciberseguridad y amenazas de Fox-IT, parte de NCC Group, han analizado más de 700 negociaciones entre atacantes y víctimas para extraer las mejores prácticas que pueden ayudar a las organizaciones a recuperarse de un ataque de estas características.

Según la investigación, el ecosistema de ransomware se ha convertido en un negocio sofisticado y cada banda ha creado sus propias estrategias de negociación y precios destinadas a maximizar sus ganancias.

Esta madurez de las operaciones de ransomware ha llevado a los grupos clandestinos a calcular el coste de un ataque e implementar estrategias de precios de rescate basadas en múltiples variables sobre las organizaciones víctimas.

La cantidad de dispositivos y servidores infectados, el número de empleados, los ingresos que tienen y el impacto potencial de la exposición a los medios son aspectos a tener en cuenta a la hora de pedir un rescate.

Al hacerlo, los atacantes pueden predecir con precisión cuánto pagarán las víctimas incluso antes de iniciar las negociaciones. Una vez que lo hacen, las organizaciones van inmediatamente por detrás.

La mayor cantidad pagada por un rescate son 14 millones de dólares

Esto crea una situación en la que la organización víctima debe atravesar un «juego de negociación» que la guía a un rango de rescate preestablecido sin que lo sepa.

En consecuencia, las empresas más pequeñas generalmente pagan más desde la perspectiva de un rescate por ingresos anuales. Esto significa que pagan menos en cantidad absoluta, pero más alto en porcentaje de ingresos. Sin embargo, la mayor cantidad de rescate fue pagada por una empresa de Fortune 500 y han sido 14 millones de dólares.

4 pasos antes de un ataque de ransomware

Ante este panorama, y el aumento incesante de los ataques de ransomware, de esta investigación, Fox-IT muestra las mejores prácticas que pueden ayudar a negociar a favor de las víctimas y, muy especialmente, para estar prevenidos.

Entre ellas, imprescindible enseñar a los empleados a no abrir notas de rescate y ni hacer clic en los enlaces. Esto a menudo inicia una cuenta regresiva para cuándo se requiere el pago. No abrir la nota permite ganar tiempo para ver qué partes de la infraestructura TI pueden estar afectadas, qué consecuencias tiene el ataque y los posibles costes.

Además, también hay que establecer los objetivos de negociación, teniendo en cuenta las copias de seguridad y los mejores y peores escenarios de pago, además de establecer líneas de comunicación internas y externas claras que involucren a los equipos de gestión de crisis, la junta directiva, el asesor legal y el departamento de comunicaciones.

Asimismo, es clave informarse sobre el atacante para aprender sus tácticas y ver si hay una clave de descifrado disponible que puede utilizarse y evitar pagar el rescate.

Teniendo estos aspectos en cuenta, las organizaciones estarán en una mejor posición para entablar negociaciones sobre ransomware, si toman la decisión de hacerlo. A partir de este punto, se les aconseja que consideren cinco enfoques de negociación diseñados para reducir el daño que pueden sufrir.

    • Ser respetuoso en las conversaciones y usar un lenguaje profesional, dejando las emociones fuera de las negociaciones.
    • Estar dispuestas a pedir más tiempo a los atacantes, lo que permitirá explorar todas las posibilidades de recuperación. Por ejemplo, solicitar tiempo adicional para recaudar los fondos de criptomonedas necesarios.
    • En lugar de perder tiempo, ofrecer pagar una pequeña cantidad por adelantado en lugar de una cantidad mayor en el futuro, ya que los ciberdelincuentes a menudo aceptan una cantidad menor a la exigida inicialmente en el rescate con tal de obtener una ganancia rápida y así pasar a otro objetivo.
    • Una de las estrategias más efectivas es convencer al atacante de que no se está en la posición financiera para pagar la cantidad inicialmente solicitada, y esto puede resultar efectivo incluso para organizaciones muy grandes que los adversarios saben que tienen enormes cantidades de dinero a su disposición. Según la investigación, hay una diferencia entre tener una cierta cantidad de ingresos y tener millones de dólares en criptomonedas solo para la ocasión.
    • Y, por último, evita decirle al adversario que tiene una póliza de seguro cibernético. Además, es fundamental que las empresas no guarden los documentos del seguro cibernético en ningún servidor accesible ya que, si los atacantes saben de su existencia, pueden ser menos flexibles con las negociaciones, ya que la mayoría de las pólizas cubren los costes.

Tener estos aspectos en cuenta puede contribuir en gran medida a minimizar el impacto de un ataque de ransomware.

Imagen inicialMika Baumeister