Es un escenario de pesadilla para muchos ejecutivos: descubrir que los ordenadores de su empresa han sido infectados con ransomware que retiene datos críticos.
«Estas son situaciones muy urgentes», dice Bill Siegel, cofundador y CEO de Coveware. «La posición en la que suelen estar las compañías es una de interrupción comercial severa».
Para las empresas que nunca antes han tratado con ransomware, puede que ni siquiera esté claro a quién deben llamar para comenzar a investigar la situación. Pero para el creciente número de organizaciones con políticas de ciberseguros que cubren ataques digitales, la respuesta a menudo son sus aseguradoras, quienes a menudo los pondrán en contacto rápidamente con los abogados especializados que esencialmente se convierten en negociadores en la lucha contra el ransomware.
John Mullen, cuya firma de abogados Mullen Coughlin está especializada en situaciones de violación de datos, dice que su firma opera líneas directas donde docenas de aseguradoras y clientes pueden dejar mensajes de voz en caso de un ataque de ransomware u otra violación.
Los abogados pueden proporcionar asesoramiento legal a las empresas, incluida la orientación sobre sus obligaciones de revelar el ataque a sus clientes o a los reguladores, y aunque a menudo las aseguradoras los remiten a los clientes, representan a las víctimas del ransomware, no a las compañías de seguros. Pero también sirven como coordinadores centrales cuando se trata de la respuesta de ransomware, coordinándose con expertos forenses informáticos que pueden determinar el alcance del ataque, compañías que pueden notificar el ataque a los clientes afectados y empresas de TI que pueden proporcionar rápidamente personal para reparar daños. Si los líderes de la compañía determinan que necesitan pagar un rescate, los abogados especializados pueden incluso atraer a empresas como Coveware, que tienen experiencia en la negociación con los atacantes, y verificar que pagar el rescate probablemente sea la solución para el desbloqueo de archivos.
Las firmas de seguridad dicen que el ransomware está en aumento. IBM informó recientemente que los ataques aumentaron un 67% año tras año en el último trimestre de 2019. El brote de coronavirus solo puede empeorar el problema: mientras que algunos grupos del crimen organizado detrás de los ataques han dicho que evitarán las organizaciones de atención médica durante el pandemia, algunos hospitales ya han sido víctimas de ataques y ya ha habido alertas de ransomware y otras estafas digitales dirigidas a personas que buscan información sobre el virus.
Las aseguradoras que ofrecen políticas de riesgo cibernético, que pueden cubrir ransomware y otros tipos de ataques digitales, buscan ofrecer servicios de respuesta de emergencia a sus clientes que enfrentan interrupciones de alta tecnología, incluso si los problemas se detectan durante la noche. Según el informe de la Asociación Nacional de Comisionados de Seguros, el mercado de los ciberseguros está en «rápido crecimiento» y actualmente tiene un valor aproximado de 3,1 mil millones de dólares al año. Pueden poner a sus clientes en contacto con expertos y cubrir los costos de responder al ataque, ya sea que eso signifique recuperar datos, notificar a los clientes o, si es necesario, incluso pagar el rescate.
«A menudo es uno de los peores días de su vida», dice Tim Francis, líder cibernético empresarial en el gigante de seguros Travelers, que brinda acceso las 24 horas a los representantes de reclamos para víctimas de ataques cibernéticos.
Francis se negó a nombrar a clientes específicos; además del deseo natural de confidencialidad de los clientes sobre incidentes anteriores, a menudo se considera imprudente hablar públicamente de que se tiene un seguro. Pero, dice, un escenario típico de ransomware generalmente involucra a una organización que descubre que un empleado accidentalmente hizo clic en un enlace en un correo electrónico de phishing, instalando inadvertidamente malware que comprometió la red y los archivos de la compañía.
Cómo negociar con los hackers
Pagar no siempre es una decisión simple: muchas organizaciones, naturalmente, no quieren dar dinero a los delincuentes, y algunas, simplemente, pueden recuperar datos de las copias de seguridad sin tener que descifrar los archivos que han caído en manos de los piratas informáticos. Pero los expertos en ransomware pueden proporcionar información sobre la probabilidad de que las víctimas de determinados tipos de malware realmente obtengan herramientas de descifrado que funcionen si pagan, dice Siegel, explicando que su compañía rastrea las tasas de recuperación de diferentes variantes de ransomware.
Una opción, dice Francis, es tratar de negociar con los hackers para pagar una parte del rescate para recuperar un número limitado de archivos, lo que puede ayudar a verificar que los atacantes realmente puedan descifrar los archivos.
Siegel afirma que Coveware no trabaja con clientes que no hayan contratado asesoría legal si existe el riesgo de una violación de datos. La compañía a menudo maneja negociaciones con atacantes de ransomware a través de correo electrónico o chat encriptado, buscando satisfacer las necesidades de los clientes en cuanto a plazos para el descifrado y la capacidad de pago. «Estamos cambiando constantemente la forma en que nos comunicamos con estos grupos para tratar de mantener una ventaja de negociación», dice Siegel.
Naturalmente, las personas involucradas en el mundo de la negociación de rescates pueden ser discretas sobre qué técnicas usan exactamente. Una ventaja que los negociadores tienen a veces es que los atacantes no siempre saben lo que sus víctimas pueden pagar, o incluso exactamente quiénes son las compañías víctimas, lo que significa que los negociadores expertos a menudo pueden rechazar las demandas de rescate. Ocasionalmente, incluso puede ser útil apelar al altruismo del atacante y, por ejemplo, mencionar el buen trabajo realizado por un cliente sin fines de lucro.
Si los atacantes entregan el software de descifrado, todavía hay una cuestión de qué hacer con él para asegurarse de que no incluya malware adicional. Algunas compañías de mediación de ransomware ejecutan el software de descifrado en un entorno “sandboxed” donde no puede acceder a otros datos. A menudo, Coveware extrae la clave o contraseña real utilizada y la inserta en su propio software personalizado, dice Siegel. Sus herramientas de descifrado son a menudo más rápidas y garantizan que los clientes no tengan que ejecutar software adicional de los mismos hackers que los atacaron. Si existe el riesgo de que los datos hayan sido robados como parte del ataque, Coveware puede trabajar con la víctima y sus abogados para averiguar qué sucedió realmente.
Una vez que se restauran los datos, el trabajo no siempre se termina realizando: las aseguradoras también pueden participar en la cobertura del trabajo para asegurarse de que la víctima no pueda ser atacada una vez más. En una reciente incorporación a los servicios de Travelers, una vez que se ha abordado la amenaza inmediata y se han recuperado o descifrado los datos, la aseguradora y sus expertos trabajan con las compañías para fortalecer los sistemas y las políticas para asegurarse de que sean menos propensas a ser atacadas nuevamente. Francis dice que simplemente sacar a los piratas informáticos sin tomar medidas para evitar que vuelvan no es suficiente.
Te interesa
- Cosas que pueden robarte por ransomware que nunca hubieras imaginado
- Guía de supervivencia para secuestros digitales: cómo combatir un ‘ransomware’
- 5 Recomendaciones básicas para evitar los ataques de ransomware
- La crisis del coronavirus aumenta la ciberdelincuencia
- 10 recomendaciones para minimizar las amenazas cibernéticas