Pagar es a menudo la opción más fácil, pero no esperes que te liberen tan fácilmente.
En septiembre, MGM Resorts se vio afectado por un devastador ataque de ransomware, que detuvo las operaciones en algunos de sus hoteles casino más emblemáticos de Las Vegas, incluidos el Bellagio, el Mandalay Bay y el Cosmopolitan.
Los huéspedes se vieron obligados a esperar horas para registrarse después de que el ciberataque paralizara los pagos electrónicos, las máquinas tragamonedas, los cajeros automáticos y los sistemas de estacionamiento de pago. Los piratas informáticos también robaron una enorme cantidad de información personal de los clientes de los servidores de MGM.
MGM se negó a pagar el rescate solicitado por los atacantes para recuperar sus sistemas y datos. El monto del rescate aún no se conoce, aunque probablemente sea inferior a los 100 millones de dólares en ganancias que la compañía dijo en un documento regulatorio que perderá después del ciberataque.
Si bien el ciberataque de MGM dominó los titulares durante semanas, un ciberataque anterior a Caesars Entertainment apenas llegó a las noticias. Esto se debe en gran medida a que el gigante de los hoteles y casinos pagó a los piratas informáticos para evitar la divulgación de datos robados con la esperanza de que el incidente desapareciera.
Caesars no está solo. Según una encuesta de cientos de líderes de seguridad publicada por Splunk, alrededor del 83% de las organizaciones admitieron haber pagado a los piratas informáticos después de un ataque de ransomware, y más de la mitad pagó al menos 100.000 dólares, ya sea a través de un seguro cibernético o de un tercero.
Pagar es fácil, confiar es imposible
Pagar el rescate de los atacantes (especialmente para organizaciones grandes con mucho dinero en efectivo) a menudo parece la opción más fácil y económica para poner en funcionamiento sus redes y recuperar los datos robados. Pero no hay garantía de que el pago garantice la devolución segura de los datos robados, o que todas las copias hayan sido borradas. Después de todo, cualquier dato robado por ciberdelincuentes se ve comprometido ya sea que se pague un rescate o no, y no puedes confiar en la palabra de un delincuente de que realmente eliminó tus datos.
El incumplimiento de Caesars permaneció en gran medida fuera de los titulares, pero la responsabilidad de la empresa siguió siendo prácticamente la misma. Caesars aún se vio obligada a admitir ante los reguladores que pagó un rescate a los piratas informáticos que habían robado una copia de la base de datos del programa de lealtad de Caesars, que incluye licencias de conducir y números de Seguro Social para un «número significativo de miembros».
Incluso entonces, Caesars admitió que “no puede garantizar” que los piratas informáticos cumplieran su parte del trato y eliminaran los datos que robaron.
Las sanciones aún pueden doler
También existe un riesgo técnico al pagar el rescate de un hacker. Según un estudio de Cybereason, el 80% de las víctimas de ransomware que pagaron el rescate fueron afectadas por un ataque de ransomware posterior, y el 68% de las organizaciones comprometidas dijeron que el segundo ataque se produjo menos de un mes después y que los piratas informáticos exigieron un rescate mayor.
Esto se debe a que cuando una organización paga un rescate, resuelve un problema inmediato, pero también anuncia su voluntad de pagar sumas de dinero potencialmente grandes para resolver una crisis.
«La razón por la que los ataques siguen llegando es porque hay dinero para el adversario y en realidad están logrando lo que están tratando de lograr», dijo MK Palmore, ex agente del FBI y director de la Oficina del CISO de Google Cloud, en Interrupción de TechCrunch. “Si al final se les redujera la recompensa, creo que probablemente veríamos menos ataques”, dijo Palmore.
Pagar una demanda de rescate no es ilegal, aunque el FBI ha aconsejado durante mucho tiempo a las empresas que no paguen, ya que pagar alienta a las bandas de ransomware a seguir atacando a nuevas víctimas.
Pero las organizaciones aún pueden encontrarse en problemas legales (y criminales) si se les descubre pagando a una banda de ransomware sancionada por el gobierno de EE. UU. El Tesoro de Estados Unidos advierte que el pago de rescates a grupos de piratería informática y ransomware sancionados podría constituir una violación de las leyes de sanciones de Estados Unidos, lo que puede dar lugar a un proceso penal.
Si bien pagar la demanda de rescate puede parecer la opción más fácil y económica, es probable que a la larga le cueste más a una organización.