¿El ransomware ha dejado de ser un problema exclusivamente técnico? Pocos se han detenido a pensarlo, pero la respuesta puede ser un rotundo sí. Si bien solemos pensar que los equipos de ciberseguridad, TI y de infraestructura son los únicos responsables de responder a estos ataques, la realidad es que la magnitud del problema requiere la participación de expertos de diversas áreas de la empresa.
Los ataques de ransomware han evolucionado considerablemente en los últimos años, siguiendo playbooks o tácticas que van más allá de simplemente cifrar información. Los ciberdelincuentes, siguiendo estos playbooks, no sólo buscan impedir el acceso a datos vitales para una organización, sino también filtrar información confidencial y utilizarla para extorsionar a los altos ejecutivos.
Por tanto, esta amenaza ha evolucionado para no sólo afectar a la organización a nivel operativo, sino que también impactar la privacidad y seguridad de sus líderes. Este tipo de ataques, que incluyen la amenaza de hacer pública información privada, ha incrementado la presión sobre los ejecutivos de nivel C, quienes ahora enfrentan el riesgo de ver comprometida su reputación personal y la de su empresa.
Una adición necesaria
Cuando una organización se convierte en víctima de ransomware, las primeras horas son esenciales para minimizar el impacto del ataque. Sin embargo, muchas empresas cometen el error de no involucrar desde el inicio a las áreas legales y la alta dirección. Aunque el equipo de tecnología es fundamental en la recuperación de sistemas, los aspectos legales y de gestión requieren una intervención rápida y experta.
Por un lado, el equipo legal debe entender el alcance de las posibles afectaciones, así como las implicaciones de interactuar con los atacantes. Esto incluye no sólo la consideración de las posibles sanciones legales, sino también la evaluación de los riesgos a largo plazo que puede tener la decisión de negociar o no con los grupos de ransomware.
En algunos casos, el equipo legal también coordina actividades alrededor del uso de seguros cibernéticos, lo cual permite que la empresa esté mejor preparada para cubrir los costos y mitigar las pérdidas.
Por otro lado, es interesante notar que en la mayoría de los incidentes de ransomware, los líderes de alto nivel de las empresas no están involucrados directamente en la toma de decisiones sobre cómo abordar el ataque. Sin embargo, su rol es crucial, no sólo para tomar decisiones importantes, sino también para dirigir una comunicación interna y externa clara.
Ellos pueden también contribuir a mantener la calma y guiar a los diferentes equipos en un plan de acción estructurado, que no solamente se centre en restaurar las operaciones, sino también en proteger la confianza de los empleados, clientes y socios comerciales.
¿Debe pagarse el rescate?
En medio de una crisis de ransomware, surge inevitablemente la pregunta de si se debe pagar un rescate para recuperar los datos. La mayoría de los expertos se oponen a esta idea, ya que argumentan que el pago solo incentiva a los delincuentes a continuar sus ataques.
Sin embargo, algunos especialistas recomiendan mantener una comunicación controlada con los atacantes, no para concretar un pago, sino para ganar tiempo. Esta estrategia puede permitir que los equipos de TI identifiquen la naturaleza del ataque y activen mecanismos de defensa, mientras recopilan información de valor sobre las tácticas de los atacantes. La intención es, en última instancia, reducir el impacto sin necesariamente acceder a las demandas de rescate.
Para apoyar a las organizaciones en estas complejas situaciones, existen en el mercado negociadores especializados. Se recurre cada vez más a estos profesionales por su experiencia y conocimiento para establecer mecanismos de comunicación eficaces y seguros con los atacantes, permitiendo que los equipos de seguridad implementen estrategias de contención y mitigación mientras se analiza el entorno de ataque.
Los negociadores logran también recopilar inteligencia útil sobre las intenciones de los ciberdelincuentes, lo que da una ventaja estratégica a la organización y facilita el proceso de toma de decisiones.
Durante la recopilación de inteligencia sobre los atacantes, los equipos de TI y de ciberseguridad también se centran en recuperar datos y restablecer los respaldos afectados. Esto permite minimizar el impacto operativo y restaurar las funciones críticas de la organización.
Evitar el pago del rescate no solo tiene un beneficio inmediato en términos financieros, sino que también tiene un impacto positivo a largo plazo en el ecosistema de ciberseguridad global.
Avances y rezagos regulatorios
Diferentes países han comenzado a implementar regulaciones para ayudar a las organizaciones a reaccionar a los ataques de ransomware.
En Estados Unidos, por ejemplo, la Oficina de Control de Activos Extranjeros (OFAC, por sus siglas en inglés) ha advertido que el pago de rescates a ciertos grupos puede tener consecuencias legales graves. En Australia, el reglamento de ciberseguridad exige que cualquier pago de rescate realizado por una organización se reporte en un plazo de 72 horas, mientras que en el Reino Unido y la Unión Europea se recomienda enfáticamente no pagar bajo ninguna circunstancia.
México, sin embargo, enfrenta un desafío particular en este ámbito, ya que aún no cuenta con una legislación específica en torno al ransomware. Aunque el Banco de México (Banxico) y la Comisión Nacional Bancaria y de Valores (CNBV) exigen que se reporten incidentes de ciberseguridad en un plazo de 72 horas, el país carece de un marco normativo claro en ese sentido.
Enfrentar un ataque de ransomware requiere mucho más que una respuesta técnica; es necesario un enfoque amplio y proactivo que integre a los equipos técnicos, legales y de liderazgo en un plan estructurado. La clave está en fortalecer la seguridad de los sistemas, mejorar los protocolos de respaldo y recuperación, y desarrollar una estrategia de respuesta en la que cada equipo sepa exactamente qué hacer en caso de un incidente.
Minsait ofrece un enfoque de protección proactivo que no sólo se enfoca en la gestión de crisis, sino en ayudar a las empresas a adoptar una postura preventiva. Esto les permite estar mejor preparadas para enfrentar y responder a un ataque de ransomware, minimizando el impacto y asegurando una recuperación rápida y eficaz.
