Fue Ott Biederman, un contable que trabajaba para el crimen organizado estadounidense a principios del siglo XIX, quien pronunció la famosa frase inmortal: “No es nada personal, son sólo negocios”. Eso es lo que es actualmente el ransomware: sólo negocios. Aunque hay ataques ocasionales de ransomware iniciados por grupos auspiciados por los estados para paralizar el funcionamiento de infraestructuras clave, la mayoría de los ataques de ransomware tienen como objetivo ganar dinero. Y aunque el dinero no sea la raíz de todos los males, sí lo es de la mayoría de los ataques de ransomware. Los delincuentes que se dedican al ransomware lo hacen para ganar dinero.

El ransomware implica decisiones empresariales

Seguramente habrá leído artículos sobre ransomware en los que se describen metodologías de ataque y técnicas de mitigación. Este no es uno de esos artículos. Aquí tratamos el lado más comercial del ransomware, no sólo para las organizaciones atacantes, sino también para las víctimas. Esto se debe a que la defensa contra el ransomware implica cálculos empresariales. ¿Cuánto tiempo y recursos debe dedicar a la prevención? ¿Debe pagar el rescate si es víctima de un ataque? Estas son preguntas para las que toda organización debería tener una respuesta preparada. 

Las organizaciones de ransomware tienen una estructura empresarial

El ransomware es una industria, y el objetivo final de toda organización de ransomware es obtener beneficios. Como cualquier empresa, muchas organizaciones de ransomware establecen objetivos de ingresos trimestrales de los que son responsables sus directivos. Según el canal de televisión sobre negocios CNBC, las organizaciones de ciberdelincuentes están estructuradas de forma muy parecida a las empresas que son su objetivo. Hay un jefe equivalente a un director general que dirige a un grupo de responsables de proyectos, cada uno de los cuales ejecuta distintas partes de un ataque. De hecho, algunas de las organizaciones de ransomware más eficaces, tienen éxito no por sus conocimientos técnicos o por su innovación, sino por sus habilidades organizativas. Un responsable de proyectos muy eficaz puede ser tan valioso como un hacker competente, y las organizaciones de ciberdelincuentes reclutan activamente talentos de las mismas reservas de talento que las grandes corporaciones.

El ransomware como franquicia

El modelo de franquicia ha demostrado ser una forma muy eficaz para que muchas empresas crezcan y aumenten sus ingresos. El ransomware como servicio (RaaS) se parece mucho a una franquicia. Un empresario de ransomware en ciernes que quiera introducirse en el negocio pero carezca de la capacidad técnica o económica para crear el software ofensivo necesario para ello, puede convertirse en afiliado. El modelo más popular requiere que los afiliados compren el software por una cuota nominal y acuerden un reparto mensual de los beneficios. Normalmente, el desarrollador del ransomware recibe entre el 20 y el 40 por ciento del rescate. A menudo, los afiliados tienen acceso a un portal web que les permite acceder a nuevas funciones y actualizaciones. Allí pueden comprobar el estado de sus ataques, incluyendo el número total de archivos cifrados y el dinero recaudado por el rescate. Los afiliados pueden incluso obtener asistencia de forma muy similar a una suscripción SaaS tradicional.

Pagar o no pagar

Hay una pregunta clave para cualquier organización que se ve afectada por un ransomware, y no es otra que si debe pagar el rescate. Esta es una cuestión tanto moral como comercial. El FBI y otras instituciones gubernamentales desaconsejan el pago de los rescates, ya que consideran que lo único que se consigue es fomentar esta práctica maliciosa. Y no les falta razón. Sin embargo, el FBI no es el único responsable de la recuperación tras un ataque. 

No hay duda de que recientemente se han pagado rescates descomunales, pero esos grandes desembolsos han sido efectuados por grandes empresas. Las organizaciones de ransomware no piensan en cualquier cifra disparatada a la hora de decidir la cuantía del rescate, sino que establecen la cuantía del rescate en función de la capacidad de pago de la víctima. Los atacantes se dirigen cada vez con más frecuencia a las instituciones públicas locales y a las PYMES para obtener un pago rápido que se ajuste al presupuesto de la víctima.

Además del propio rescate, las empresas deben soportar el coste de la remediación, la pérdida de negocio, el daño a la reputación y los posibles costos legales. El tiempo de inactividad es caro. Incluso si su equipo informático se siente capaz de poder recuperarlo todo, ¿cuánto tiempo puede tardar? Mientras que algunas organizaciones son conocidas por mantener su palabra en cuanto a liberar la clave de descifrado una vez recibido el pago, otras no lo hacen. 

La seguridad es lo primero

Incluso si decide pagar el rescate, debe actuar con la diligencia debida para averiguar cómo llevaron a cabo el ataque los delincuentes, con el fin de evitar futuros ataques. Existen numerosas pruebas de que las organizaciones que pagan el rescate son atacadas repetidamente. Un ejemplo fue una empresa que pagó varios millones para recuperar sus datos, pero no tomó ninguna medida para proteger su red de otros ataques similares. Ese descuido provocó un segundo ataque dos semanas después en el que la empresa se vio obligada a pagar de nuevo.

Las crisis de los ciberseguros

Cualquier empresario responsable sabe que debe contratar el seguro necesario para reducir el riesgo de exposición a sucesos destructivos como incendios o inundaciones. Hoy en día, existen pólizas de seguros contra el ransomware. Estas pólizas cubren toda una serie de gastos, como el costo del rescate en sí, la recuperación de los datos, la remediación, el análisis forense, el asesoramiento jurídico y los servicios de relaciones públicas. Las compañías de seguros especializadas en pólizas contra ransomware suelen poner a su disposición un equipo de especialistas para asesorarle y, si es necesario, negociar un rescate acordado con los atacantes. Cualquier empresa que haya sufrido un ataque de ransomware bien ejecutado puede dar fe del valor de estas pólizas.

Por desgracia, el éxito de estas pólizas ha llevado a la desaparición del sector, ya que, si bien han ayudado a proteger a los clientes que las contratan, muchas compañías de seguros han tenido que renunciar a ellas debido a las crecientes pérdidas. Lloyds of London, que posee actualmente el 20% de todo el mercado de ciberseguros, anunció el pasado noviembre que desaconseja a su consorcio suscribir nuevos seguros cibernéticos en 2022. La razón es sencilla: la frecuencia de los ataques de ransomware ha aumentado un 62% a escala global desde 2019, mientras que el pago medio por rescate ha aumentado un 171%. Esto está provocando que las primas de los seguros aumenten hasta un 50% al año.

Conclusión

Muchas cosas, al final, se reducen al dinero. Tal y como escribió cierto autor, el dinero es el gran igualador y denominador común. Para entender los matices y las decisiones relacionadas con el ransomware, hay que seguir el dinero. Así que no olvide hacer cuentas cuando tome sus decisiones en relación con esta temida amenaza, que no es más que un negocio para los implicados.