¿Es la negociación su mejor estrategia cuando se trata de ransomware?

Por Dan Raywood • 8 de septiembre de 2024

En lugar de simplemente pagar una tarifa para salir de una situación de ransomware, ¿podría negociar su salida con los pasos y habilidades adecuados? Dan Raywood analiza las historias y las opciones.

El año pasado se produjo un intenso debate: ¿se debe pagar un rescate a un atacante o no? A principios de este año, el exdirector del Centro Nacional de Seguridad Cibernética del Reino Unido, Ciaran Martin dijo en un editorial que los pagos de rescate deberían considerarse ilegales. Luego, la directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad, Jen Easterly dijo que ella no vemos una prohibición general del pago de rescates.

Con o sin prohibición de pagar rescates, aquí existe un enorme desafío: cuando se infecta con ransomware, la víctima generalmente ve una pantalla con una solicitud de pago, la cantidad requerida para obtener la clave de descifrado y dónde enviar el pago. Si no tienen suerte, a veces hay un cronómetro que indica cuándo vence el pago, y esto podría provocar la eliminación (o incluso la filtración) de los datos incautados.

Los pagos de ransomware son un factor bastante desconocido. Hay algunos que conocemos: CNA Financial pagó 40 millones de dólares en 2021, mientras que el operador de casinos Caesars Pagó $ 15 millones el año pasado. En el Reino Unido, el 2023 Royal Mail En el ataque los atacantes exigieron un pago de 80 millones de dólares, que ellos determinaron ser el 0.5% de los ingresos del Royal Mail.

Royal Mail desestimó la cantidad como “absurda”, diciendo que 80 millones de dólares “es una cantidad que nuestra junta nunca podría tomar en serio”. Esto obliga a considerar cuántas víctimas están pagando un rescate (cuando no es una cantidad absurda) para que el malware desaparezca.

Uno de los problemas aquí es que no hay cifras reales sobre quién paga qué y, por lo tanto, ninguna escala sobre el tamaño del pago puede ser una solución.

¿No hay más remedio que pagar?

Si no tiene más remedio que pagar, se enfrenta a la perspectiva de negociaciones. En este caso, estás trabajando con delincuentes: no tienes idea de quiénes son, de dónde son ni qué tan bien organizados están.

La guía existe, y la mayor parte recomienda precaución al hablar con los atacantes, evaluar lo que tienen y no revelar más información.

Alex Papadopoulos, director de preparación y respuesta a incidentes de Secureworks, dice que el proceso de negociación no se trata solo del precio sino también de ganar tiempo. Vale la pena negociar para comprender mejor la posición del atacante.

“Lo que leemos en los informes de otras personas es que generalmente están abiertos a la negociación porque se dan cuenta de que no es bueno para los negocios si tienen una línea demasiado dura; entonces se les considera completamente irrazonables”, afirma.

Además, el proceso de negociación permitirá que el atacante y la víctima aprendan más el uno del otro. Papadopoulos dice que la mayoría de los ataques de ransomware son oportunistas y no entienden quién es la víctima hasta que empiezan a hablar con ella.

"No han dedicado tiempo ni esfuerzo para realizar esa investigación", afirma. "Entonces, a través del proceso de negociación, quieren entender más sobre usted y, por lo tanto, lo que puede pagar".

Esto lleva a negociar el precio: como vimos en los casos mencionados anteriormente, si los atacantes piden demasiado, la víctima nunca pagará. En otros casos, los atacantes piden muy poco. Papadopoulos cuenta la historia de cuando unos atacantes de ransomware exigieron 8 millones de euros y la víctima pagó inmediatamente porque el atacante no se había dado cuenta del valor de lo que habían confiscado y de lo que podían haber pedido.

Requisitos de seguro

De hecho, la negociación se ha convertido en un requisito de las reclamaciones de seguros. Mientras que antes las empresas sólo ofrecían servicios de negociación e intercambio de pagos, dice Papadopoulos, “la negociación se ha convertido en un requisito para muchas compañías de seguros”.

Explica que “muchos proveedores de respuesta a incidentes y forense digital (DFIR) prácticamente se han visto obligados a entrar en esa zona un poco sombría y ligeramente gris” de negociar con los ciberdelincuentes, y dice que las empresas necesitan tener personas que estén preparadas para realizar esa tarea.

Esto lleva a la necesidad de un plan de continuidad del negocio eficaz y sólido. Si está considerando cumplir con la norma ISO 22301, entonces debe considerar asegurarse de poder superar un ataque de ransomware y mantenerse en el lado correcto de la legalidad.

Arreglar un hoyo

Después de la negociación, estás en manos del atacante para obtener la clave de descifrado, restaurar el sistema y arreglar los agujeros por donde se metió el atacante.

Esto conduce a opciones de mejores prácticas para evitar que los atacantes obtengan acceso en el futuro, y garantizar el cumplimiento de un marco reconocido es un paso hacia una mejor seguridad general.

Manoj Bahtt, miembro del consejo asesor del Club CISO, dice que existen controles específicos que las organizaciones deberían explorar para implementar para garantizar que estén protegidas contra el ransomware, y en ISO 27001:2022, estos son:

Entrenamiento de conciencia de seguridad
Acceso de administrador en escritorios
Sistema de protección antivirus/intrusiones
Gestión de vulnerabilidad/configuración
Copias de seguridad de datos

Además, dentro de NIST CSF 2.0, existen controles en las seis categorías que se centran en proteger a las organizaciones contra el ransomware, y CIS versión 8.0 – Control 8: Defensas contra malware sugiere los siguientes controles que pueden ayudar a proteger a las organizaciones del ransomware:

8.2 Asegúrese de que el software antimalware y las firmas estén actualizados
8.4 Configurar el análisis antimalware de medios extraíbles
8.5 Configurar dispositivos para que no ejecuten contenido automáticamente

Bhatt dijo que a pesar de que no existen controles específicos en los marcos para proteger contra el ransomware, ya que es un vector de ataque, hay orientación disponible para ayudarlo a implementar las protecciones adecuadas en primer lugar y reducir la probabilidad de un impacto.

En última instancia, el ransomware sigue siendo un problema importante para todas las empresas, pero podría valer la pena considerarlo si esta es una forma de liberarse. Sin embargo, existe el problema de trabajar con delincuentes y se está formando un nuevo sector para ayudar específicamente a los profesionales a lidiar con esta situación.

Tener implementadas las protecciones adecuadas, tener un auditor que confirme su nivel de seguridad y seguir las recomendaciones de un marco sobre las mejores prácticas contribuirá en gran medida a garantizar que no tenga que hacer este trabajo turbio.

Daniel Raywood

Dan Raywood ha escrito sobre seguridad de TI desde 2008 y fue analista en la práctica de seguridad de la información en 451 Research. Ha hablado en programas como 44CON, SecuriTay, SteelCon, Irisscon e Infosecurity Europe, además de escribir para varios blogs de proveedores y realizar presentaciones en webcasts.

Lea más de Dan Raywood

La seguridad cibernética 30 Septiembre 2025

¿La violación de GROK generará grandes preocupaciones de seguridad?

¿La violación de Grok creará preocupaciones de seguridad para GenAI?

Un incidente reciente ha suscitado inquietud sobre el manejo de datos por parte de las herramientas GenAI. ¿Es hora de garantizar que sus datos no terminen en sus archivos?

Daniel Raywood

La seguridad cibernética 29 May 2025

El marco de ciberseguridad y privacidad del NIST se renueva

Ciberseguridad y privacidad: el marco del NIST se renueva

El NIST anunció recientemente planes para actualizar su marco de privacidad y convertirlo en una oferta más orgánica y menos estática. ¿Beneficia esto a la práctica...?

Daniel Raywood

La seguridad cibernética 21 de enero de 2025

Vulnerabilidades de día cero: ¿cómo prepararse para lo inesperado?

Las advertencias de las agencias globales de ciberseguridad mostraron cómo las vulnerabilidades a menudo se explotan como ataques de día cero. Ante una situación tan impredecible...

Daniel Raywood