“Sus ficheros fueron codificados. Para obtener el programa de decodificación, debe pagar XXX euros. Si no paga antes del día X, el precio de decodificación aumentará X veces”. Este es uno de los mensajes que más temen leer las empresas cuando cada día acceden a sus sistemas informáticos. Se trata de un ransomware, un tipo de ciberataque que identifica las unidades de un sistema infectado y comienza a cifrar los archivos dentro de cada unidad. Posteriormente, se exige un rescate para “liberar” los archivos y permitir el acceso. De ahí que el dilema para los empresarios sea ceder al chantaje y pagar o intentar avanzar en la recuperación de lo que se pueda. Sin duda, es una decisión difícil por las implicaciones que conlleva.
Tal como señala el Instituto Nacional de Ciberseguridad (INCIBE), cuando se produce un ataque por ransomware, es habitual que el software de rescate añada una extensión a los archivos cifrados. El ciberataque de este tipo se manifiesta cuando el dispositivo está infectado y ya no se puede acceder a la información: solo se ve una pantalla con un mensaje que contiene instrucciones sobre cómo abonar el importe del rescate.
¿Cómo acceden los ciberatacantes a los sistemas de las empresas? En la mayoría de los casos la infección se produce por:
• Correos electrónicos que utilizan la ingeniería social para que la víctima descargue adjuntos infectados o entre a una web maliciosa a través de un enlace.
• Ataques usando el protocolo de escritorio remoto (RDP), ya sea aprovechando alguna vulnerabilidad en el sistema o con ataques de fuerza bruta.
• Vulnerabilidades de servicios expuestos a internet (FTP, SSH, TELNET, etc.).
• Vulnerabilidades en los sistemas operativos y en navegadores que facilitan la infección al visitar sitios fraudulentos.
• Dispositivos externos infectados que se conectan a los equipos corporativos.
• Por medio de otro malware que previamente ha entrado en nuestro dispositivo, como por ejemplo en el caso de Emotet.
¿Pagar o no pagar el rescate del ransomware?
Para INCIBE, existen motivos de peso para no abonar, bajo ninguna circunstancia, el rescate que exigen los ciberdelincuentes. Y detallan los argumentos. Por una parte, realizar el pago que exigen los ciberdelincuentes no es garantía de que la empresa tenga acceso a los datos: puede ser un timo y, finalmente, no liberar la información que ha sido encriptada. Por otra, también se fija un precedente. Es decir, los cibercriminales sabrán que el empresario está dispuesto a pagar y, por tanto, podrían ejecutar otros ataques a posteriori si necesitan dinero. La extorsión se puede volver a repetir.
Además, los delincuentes pueden cambiar las condiciones en el último minuto y exigir una recompensa aún mayor una vez que se ingresa el dinero que han reclamado. Y, como conclusión a todas estas posibles consecuencias, está el hecho de que se fomenta el negocio de la ciberdelincuencia.
Las motivaciones para pagar son variadas, pero el “Informe de Ciberpreparación 2023” de la aseguradora Hiscox, con datos de 2023, señala que la principal razón para que las empresas transfirieran los fondos que reclaman los ciberdelincuentes es impedir la divulgación de datos confidenciales. En segundo lugar, lo hicieron para volver a estar operativos y retomar su actividad con normalidad. Sin embargo, las cesiones ante los extorsionadores no siempre salen bien, pues “menos de la mitad de las empresas que pagaron recuperaron todos sus datos”, asegura el estudio. Con todo, el porcentaje de empresas que lo hicieron se redujo del 66% al 63% en el último año.
El estudio señala que el coste medio de las recuperaciones cayó ligeramente, hasta los 4.968 euros y que la cantidad máxima pagada a los ciberdelincuentes fue de 492.200 euros. El porcentaje de víctimas que dice haber recuperado todos sus datos tras pagar fue solo de un 46%, una cifra inferior respecto del 59% del año anterior. Alrededor de un tercio (32%) dijo haber recuperado parte de sus datos, pero en una cuarta parte de los casos, los datos fueron filtrados o la clave de recuperación no funcionó. Además, una de cada cinco empresas (20%) volvió a sufrir otro ataque.
Copias de seguridad, el as bajo la manga
Las medidas de refuerzo y de preparación ante un ciberataque pueden ser de gran utilidad. El porcentaje de empresas que recuperaron sus datos a partir de copias de seguridad aumentó hasta el 46%, por encima del 26% registrado el ejercicio anterior. Pero también está la otra cara de la moneda: un 32% de las atacadas optó por pagar debido a que no contaba con una copia de seguridad actualizada.
La compañía de seguros también concluye que el pago de los rescates es cada vez más ineficaz. Por una parte, cada vez se exige más dinero a los empresarios que ven cómo sus sistemas son bloqueados por un ataque de ransomware. Por otra, se reduce la posibilidad de recuperar los datos en su totalidad. De hecho, el 21% de las compañías asegura que la clave de recuperación que le proporcionaron los extorsionadores no funcionó. Y de las que sí les funcionó, un 29% tuvo que invertir en restaurar sus infraestructuras digitales porque habían sido dañadas. Adicionalmente, también existe la probabilidad de volver a ser objetivo de un ciberataque, algo que afectó al 14% de las empresas. En estos casos, la extorsión fue a más y se les exigió una suma mayor de fondos.
En definitiva, pagar los rescates que se exigen tras un ciberataque del tipo ransomware no asegura la recuperación de los sistemas ni de las bases de datos íntegras, conlleva un desembolso elevado y puede suponer un incentivo para que los hackers vuelvan a atacar y a intentar obtener un botín de más valor. Las respuestas más eficaces están en las medidas de prevención, en la realización de varias copias de seguridad de forma periódica y en la concienciación del personal interno.