Ransomware – pagar o no pagar?
Actualmente el ransomware es una de las amenazas más frecuentes, y sobre todo, de mayor impacto para las empresas de todo el mundo, incluido México. Afecta a empresas de todos los rubros y todos los tamaños. Si bien, existen muchas variantes y bandas de ransomware, entre ellas Lockbit, AKIRA, APLHV, Cl0p, etc. todas tienen una característica común: su modelo de negocio se basa en una doble extorsión. “Si no pagas el monto que te exigimos, no solo perderás el acceso a tus datos y sistemas que hemos cifrado, sino que publicaremos los datos que hemos exfiltrado”.
Independientemente del nivel de madurez de cibersegurdad de la empresa afectada, es frecuente que surja la pregunta: ¿deberíamos pagar? ¿Qué implicancias o consecuencias hay en caso de pago? ¿Es seguro que, pagando, voy a recuperar los datos? ¿Si pago, en cuánto tiempo podría estar nuevamente operativo?
Si bien, no existe una respuesta definitiva a estas incógnitas, nuestra experiencia atendiendo múltiples casos de incidentes, así como también reportes de muchos investigadores que han lidiado con esta amenaza en todo el mundo, nos permite brindar algunos datos a las empresas, y especialmente a los tomadores de decisiones, para que puedan tomar la decisión de manera informada y basados en evidencia y datos sólidos
¿Cuáles son las implicancias/consecuencias de negociar?
- Es importante entender que no es posible tener ninguna garantía de que la herramienta de descifrado que los criminales faciliten después del pago funcionarán correctamente, ya que podría haber habido datos que se corrompieron durante el proceso. Esto recién se comprobará después de pagar, con lo cual se habrá perdido ese dinero.
- Los tiempos de recuperación, aun pagando, pueden ser elevados, ya que los procesos de descifrado y restauración son largos y dependen de múltiples factores (tamaños de archivos/imágenes, reconfiguraciones, etc).
- No hay garantía de que los criminales eliminen los archivos extraídos, por lo que, aun pagando, es posible que ésta información termine usándose para fines maliciosos, o incluso que se terminen filtrándose parcial o totalmente por medios distintos al blog del atacante, en algún momento del futuro.
- Al pagar, indirectamente se estará incentivando el avance del cibercrimen, demostrando, no sólo la efectividad del ransomware, desde una perspectiva económica, sino también dotando a los criminales de recursos para continuar, robustecer y expandir sus actividades criminales.
- Es posible que el atacante continúe teniendo control y/o persistencia sobre las redes y sistemas, ya sea mediante el conocimiento de fallas, vulnerabilidades o información clave de sistemas o redes de la organización víctima, o mediante artefactos, herramientas, backdoors y/o otros mecanismos que los mismos hayan podido implantar. El pago no garantiza que el atacante elimine esos mecanismos.
- Dependiendo del tipo de organización y del tipo de información filtrada (o potencialmente filtrada), se debe revisar con los equipos legales las implicancias ante organismos estatales, como por ejemplo BMV (Bolsa Mexicana de Valores), Ley de protección de datos personales en posesión de particulares, o cualquier otro aplicable a su operación. El pago no exime de estas obligaciones.
¿Cuánto tiempo tardan las empresas en recuperarse después de los ataques?
Esta pregunta es aun más difícil de responder, ya que depende de muchísimos factores, que van desde el nivel de madurez de las empresas en cuanto a políticas y procesos de recuperación a desastres (estrategia de backup resiliente por ejemplo), capacidades del equipo de TI (administración y gestión de sistemas, arquitectura de los sistemas, esquema de virtualización, etc), también depende de la afectación y del tipo de empresa.
Recuperar la operativa de la organización es clave y puede tomar desde un par de días o semanas (algunos estudios hablan de un promedio de 24 días1), pero en muchos casos el proceso puede llevar meses. Hay estudios que indican que solo el 8% de organizaciones llega a recuperar todos los datos, tras un pago, y el 29% recupera la mitad, lo que implica varias semanas o meses para reconstruir todo lo demás. El 24% le toma entre 1 a 6 meses, dependiendo de la existencia y disponibilidad de backups, y el 84% de las empresas afectadas perdieron dinero/recibieron menos ingresos debido al ataque23.
Como referencia, de acuerdo a estudios recientes, las organizaciones que han pagado el rescate, por lo general terminan teniendo un costo mayor que aquellos que no lo pagan. Aquellas que han pagado, han incurrido en un costo promedio de 5.06 millones USD en costos directos e indirectos, durante y posterior al ataque, al que, además, hay que sumar el costo del rescate en sí, que puede ser variable según el tipo de ransomware (desde ~100.000USD hasta algunos millones de USD). En aquellos casos en que la organización no ha pagado y ha decidido recuperarse con medios propios y/o de proveedores, el costo promedio es de 5.17 millones USD
También debe tenerse en cuenta que, aunque el tiempo de recuperación de sistemas informáticos puede ser relativamente corto, el tiempo de recuperar las funcionalidades de negocio, la recuperación de la imagen y confianza de clientes, las consecuencias económico o legales, podría ser muy superior.
En conclusión, si bien, la decisión de pagar o no por un rescate de ransomware al fin y al cabo es muy personal de cada organización y de su alta gerencia, y depende de muchos factores no solo técnicos sino también de negocios. Aun así, el conocimiento que llevamos acumulado a lo largo de cientos de ataques en los últimos años, debería ayudar a las víctimas a poder tomar una decisión de manera informada, para conseguir un impacto mínimo.