Sin duda, el ransomware ha sido una de las principales amenazas de ciberseguridad recientemente. Hacer frente a sus secuelas es complicado y costoso. Un ataque de ransomware puede tener consecuencias fatales para cualquier organización afectada, desde la pérdida de ingresos, el daño a la reputación de la organización hasta el cierre de su negocio.
Si bien el pago de rescate inmediato es una opción para la recuperación rápida de los servicios, ciertamente no garantiza ninguna seguridad. Por el contrario, más de la mitad de las organizaciones previamente afectadas por ransomware se convierten en víctimas de otro ataque poco después, a menudo por los mismos perpetradores.
La solución para muchos sigue siendo clara y simple: pagar el rescate lo más rápido posible para minimizar el impacto del ataque. ¿Pero es eso? ¿No deberíamos pensar más y esforzarnos en la dinámica cambiante del ransomware y en nuestra toma de decisiones para desmitificarlo y enfrentarlo como otras desafiantes amenazas de ciberseguridad antes?
El debate sobre el ransomware a menudo se reduce al dilema moral simplificado de “pagar o no pagar”. Esto evoca una falsa equivalencia moral de una situación de rehenes que bloquea nuestra toma de decisiones sobre qué hacer con el ransomware además del pago esperado. Incluso se puede acusar a uno de comportamiento inmoral cuando se piensa de manera innovadora en situaciones en las que el negocio está paralizado, la infraestructura crítica se ve afectada o las vidas humanas están en peligro debido al ransomware.
Esta simplificación excesiva a menudo ocurre durante los ejercicios de toma de decisiones estratégicas que organizamos para la gestión tanto del sector público como del privado. Las empresas privadas suelen estar dispuestas a pagar el rescate para restaurar sus servicios y salvar su negocio y su marca sin una investigación más profunda o una comunicación estratégica. Sin embargo, el sector público duda y no tiene acceso a información valiosa que eventualmente conduce a la identidad del atacante o al destino final del pago.
Sin embargo, dos casos recientes han sugerido un posible camino más inteligente que trata al ransomware como una oportunidad de inteligencia en lugar de una simple elección moral.
En octubre de 2020, un pirata informático chantajeó a más de 40.000 pacientes finlandeses después de obtener acceso a sus registros médicos durante las sesiones de terapia. Sus datos habían sido robados del centro de psicoterapia Vastaamo, la red más grande de proveedores privados de salud mental en Finlandia. Este impactante y brutal ataque evocó inmediatamente una ola de solidaridad de varias empresas de ciberseguridad que unieron fuerzas con los proveedores de análisis de blockchain para rastrear e identificar a los perpetradores. Por ejemplo, el proveedor de intercambio de criptomonedas Bittiraha, que se sugirió que los atacantes lo usaran para pagos, pudo detectar los intentos de pago de rescate.
El proveedor bloqueó una gran cantidad de pagos y reembolsó a las víctimas. Por encima de eso, la plataforma también pudo recopilar las direcciones de la billetera de criptomonedas del atacante para usarlas en una investigación adicional. Del mismo modo, Mikko Hyppönen, director de investigación de la empresa finlandesa F-Secure, invitó abiertamente a las víctimas del ataque que pagaron el rescate a que se pusieran en contacto con él y compartieran con él las direcciones de la billetera de criptomonedas. Este enfoque único y listo para usar tenía un objetivo simple: rastrear sistemáticamente los pagos, recuperar los fondos y contribuir a la investigación.
En mayo, el Colonial Pipeline, una red de oleoductos que distribuye gasolina y combustible para aviones al sureste de los EE. UU., Se vio afectada por un ataque de ransomware que obligó a la empresa a cerrar todas las operaciones de su oleoducto durante seis días. Resultó ser el mayor ciberataque contra la infraestructura petrolera en la historia de Estados Unidos.
Colonial Pipeline cambió una herramienta de descifrado por el rescate solicitado de 75 bitcoins ($ 4,4 millones) dentro de un par de horas después del ataque. Aunque la herramienta de descifrado resultó ser tan lenta que la empresa utilizó sus propias copias de seguridad para volver a conectarse, el rescate no se pagó sin motivo.
Un mes después del ataque de ransomware, el Departamento de Justicia de EE. UU. Anunció que se recuperaron con éxito 63,7 bitcoins del pago del rescate. A pesar de los intentos de lavado de bitcoins de los atacantes, el FBI usó un explorador de blockchain para rastrear el rescate a una sola dirección de billetera. Aunque no está claro cómo el FBI se apoderó de la clave privada de esa billetera bitcoin en particular, sus agentes lograron iniciar sesión y recuperar la mayoría de los bitcoins pagados a los atacantes.
Estas dos historias recientes deben reconocerse como los primeros intentos de cambiar la dinámica de nuestra toma de decisiones sobre el ransomware, enviando un mensaje contundente de que el ransomware ya no debe tratarse únicamente como un dilema moral, sino como una oportunidad de inteligencia.
Hace varios años, la atribución era un problema de ciberseguridad “irresoluble”. Hoy en día, los gobiernos y las organizaciones no tienen miedo de señalar con el dedo a un posible sospechoso. Solo podemos esperar que ocurra lo mismo con el ransomware en un futuro previsible.
Para lograrlo, es necesario que haya una capacitación cibernética más sólida, con un enfoque particular en desestigmatizar el ransomware. Los usuarios deben hacer más que pensar dos veces antes de hacer clic en un enlace. Deben estar informados sobre qué hacer cuando abren un enlace malicioso con ransomware. En segundo lugar, la comunidad de ciberseguridad debería seguir desarrollando iniciativas de descifrado que puedan compartirse con el fin de realizar ingeniería inversa y apoyo analítico.
Estos movimientos obligarían a la amenaza de ransomware a entrar en la matriz de riesgo de todas y cada una de las organizaciones que se preocupan por su seguridad, negocios y reputación.
* Este artículo fue escrito en cooperación con la Cumbre Europea de Praga, que tendrá lugar en Praga del 12 al 14 de julio de 2021.