Ransomware: ¿debería pagar el rescate?

¿Pagar o no pagar? La situación del ransomware no va a mejor; ha venido para quedarse. Las cifras aumentan constantemente y son realmente alarmantes. En los últimos años, el Ransomware ha generado unos ingresos brutos anuales de 35 millones de dólares, por cada Ransomware y por campaña. En el tercer cuatrimestre de 2016 se detectaron 16 nuevos tipos de Ransonware y más de 10 mil modificaciones de los existentes que empleaban nuevas técnicas y dificultaban enormemente su prevención.

En este artículo comenzaremos explicando los pros y contras de pagar el rescate solicitado, así como introduciremos una serie de recomendaciones que nos ayudarán a atenuar la situación y prevenir que la infección pueda volver a ocurrir.

¿Tengo que pagar o no?

De vuelta a la pregunta que todos nos hacemos cuando resultamos infectados: ¿tengo que pagar o no? La semana pasada un conocido me llamó porque fue víctima de un ataque de ransomware, y esa precisamente fue su primera pregunta. Mi primera respuesta fue, en tono de broma, keep calm and pay the ransom ("estate tranquilo y paga el rescate").

Bromas aparte, en muchas situaciones la recomendación es no pagar. Dejaremos la puerta abierta a que cada uno tome su propia decisión basándose.

En las consideraciones que se deben tener en cuenta que mostramos a continuación:

• ¿Puedo recuperar la información gracias a una copia de seguridad que tengo?
• ¿Se conoce ya alguna solución para descifrar los ficheros infectados?
• ¿Están amenazando con hacer pública la información robada?
• ¿Cómo de importante es la información que he perdido?

¿Por qué pagar?

Si la decisión es pagar el rescate, existen ciertas cosas que se deben tener en cuenta antes de hacerlo.

En primer lugar debemos asegurarnos de que los delincuentes son capaces de descifrar tus archivos, ya que es común que los delincuentes compren ransomware en el mercado negro y ni siquiera tengan las claves para descifrar los archivos, por lo que asegúrate de que puedan hacerlo antes de pagar. Generalmente, puedes enviar un archivo para que te lo devuelvan descifrado, con lo que demuestran que son capaces.

Otro punto a tener en cuenta es que no es tan sencillo conseguir los bitcoins rápidamente, ya que recordamos que, en la mayoría de los casos, la posibilidad de contactar con el dueño de las claves para recuperar tus archivos desaparecerá tras unos días. Además, los bitcoins no estarán disponibles al precio de referencia publicado, motivo por el que muchas empresas están empezando a tener bitcoins comprados de antemano para prevenir un ataque y, en el caso de tener que pagar, tenerlos disponibles.

El año pasado, en un congreso de seguridad, un agente especial a cargo del programa de contraespionaje cibernético del FBI en la oficina de Boston dijo: "Sinceramente, a veces recomendamos a la gente que simplemente paguen el rescate".

Lo dijo de buena fe, ya que en muchas ocasiones no existe otra opción si queremos tener una mínima esperanza de recuperar los archivos.

¿Por qué no pagar?

Existen numerosas razones para no pagar.

Si lo haces, los delincuentes sabrán que eres el tipo de persona que está dispuesta a pagar dinero para recuperar los datos, y sabrán que la industria de la que formas parte seguramente también lo esté. Estarás guiando el punto de mira del siguiente ataque.

Otro motivo para no pagar es que hemos visto muchas empresas que, tras hacerlo, no están dispuestas a cambiar sus hábitos de trabajo o realizar campañas de prevención para que no vuelva a ocurrir. Uno debería estar comprometido con cambiar su conducta y prevenir una repetición de este suceso.

Otra razón para no pagar el rescate es que no podemos estar seguros de que, tras haberlo pagado, recuperaremos nuestra información debido a que es posible que no tengan las claves para descifrarla, así como el hecho de que no hay forma de evitar que los atacantes exijan más dinero.

¿Estás dispuesto a financiar este nuevo mercado?

Deberías saber que si pagas el rescate estás ayudando a crear un nuevo mercado para los ciberdelincuentes, lo que favorece la proliferación de más ataques de Ransomware y de otros tipos. También debemos meditar lo ético de financiar acciones criminales ilícitas.

También debemos tener en cuenta que en el 90 % de los casos los criminales devuelven los datos una vez se ha realizado el pago (según informes no oficiales); intentan preservar el modelo de negocio porque si no lo hicieran todo el mundo dejaría de pagar.

Algunos consejos extra

Es muy útil tener preparado de antemano un procedimiento o haber tomado la decisión sobre cómo actuar frente a un ataque de Ransomware, así si resultamos víctimas de un ataque sabremos qué acciones realizar y no nos cogerá por sorpresa.

En cualquier caso, pagues o no, siempre es importante informar del incidente en webs como ODILA o No more ransom! que nos guiarán a través de diferentes páginas para denunciar el delito de manera oficial y comprometernos a luchar contra los ciberdelincuentes.

La mejor decisión al respecto

La mejor decisión consiste en no tener que decidir si pagar o no. Puede sonar raro, pero a lo que me refiero es que lo mejor siempre es la prevención. Prevén una infección de Ransomware y no tendrás que enfrentarte a la difícil decisión de si pagar un rescate o no.

Para prevenir un ataque de Ransomware tienes que implementar seguridad por capas. Cada capa de tu plan de seguridad debe poder defender a tu organización de uno o más vectores de ataque. No existe una capa mágica o bala de plata alguna; la seguridad no es una solución aislada, así que recuerda que las personas de tu organización son los primeros objetivos de los ciberdelincuentes. Inclúyelos en tu estrategia de seguridad porque ellos son la puerta de entrada de la mayoría de Ransomwares.

Puedes echar un vistazo a Smartfense aquí.