El ransomware sigue siendo una de las formas más comunes de ciberataque y es particularmente amenazante porque puede ser increíblemente efectivo.
A nivel mundial, se prevé que los costos de los daños causados por el ransomware superarán los 265 mil millones de dólares para 2031. Estos ataques pueden afectar incluso a las organizaciones más grandes. En julio, un grupo de piratas informáticos interrumpió más de 230 agencias y servicios gubernamentales de Indonesia al infectar sistemas críticos en un centro de datos nacional.
Por qué las organizaciones se sienten tentadas a pagar rescates
En teoría, la amenaza del ransomware sería más un irritante costoso que una catástrofe; la idea es que si pagas el rescate, el problema desaparece.
El costo de pagar un rescate a menudo puede ser modesto en comparación con el costo de recuperar o reconstruir sistemas. Por ejemplo, el grupo detrás del ataque al centro de datos de Indonesia sólo exigía una suma relativamente modesta de 12 millones de dólares al gobierno central.
Una investigación de McGrathNicol Advisory encontró que el 73% de las organizaciones australianas que sufrieron un ataque de ransomware en los últimos cinco años optaron por pagar el rescate.
A nivel mundial, los pagos de ransomware superaron los mil millones de dólares por primera vez el año pasado, según Chainalysis. La “caza mayor”, en la que grupos persiguen a grandes organizaciones y exigen rescates de más de un millón de dólares, está en aumento. Y las organizaciones afectadas suelen verse tentadas a pagar.
Sin embargo, pagar el rescate no debería ser la decisión predeterminada. El gobierno indonesio, por ejemplo, decidió negarse a pagar el rescate. Mientras tanto, Australia pronto podría declarar ilegal el pago, lo que significa que aproximadamente tres cuartas partes de las organizaciones deben planificar una forma diferente de abordar la amenaza.
Por qué es probable que Australia legisle para prohibir los pagos de ransomware
Actualmente, el gobierno australiano recomienda encarecidamente no pagar por un ataque de ransomware, una recomendación a la que muy pocos prestan atención.
“Realizar un pago de ransomware no garantiza que se recuperarán datos confidenciales ni evita que se vendan o filtren en línea”, señala el gobierno en el sitio web de DFAT. “También es posible que usted sea el objetivo de otro ataque. También convierte a Australia en un objetivo más atractivo para los grupos criminales.
“Realizar o facilitar un pago de ransomware puede violar las leyes de sanciones australianas y dar lugar a sanciones penales cuando dichos pagos se realicen a personas o entidades sujetas a las leyes de sanciones autónomas de Australia”.
En 2022, el gobierno planteó la idea de dar un paso más y prohibir totalmente los pagos de ransomware. Esto generó preocupaciones en la comunidad empresarial con respecto a la naturaleza absoluta de dicha ley, y a fines de 2023, el gobierno abandonó silenciosamente ese plan a favor de introducir requisitos de presentación de informes obligatorios.
Esta decisión se tomó en parte para mejorar la comprensión nacional de los ataques de ransomware y los delitos cibernéticos. La falta de denuncia de incidentes de ransomware está “limitando nuestra comprensión nacional de su verdadero impacto en la economía”, señaló el gobierno, y agregó que la obligación “obligatoria, sin culpa y sin responsabilidad” de revelar estos incidentes mejoraría esta comprensión.
“A la espera de su diseño, los informes anónimos sobre ransomware y tendencias de extorsión cibernética podrían compartirse con la industria y la comunidad en general para ayudarnos a tomar medidas para desarrollar nuestra resiliencia nacional contra el cibercrimen”, dijo el gobierno.
Sin embargo, si bien actualmente no es completamente ilegal, las organizaciones deben comprender que pagar el rescate podría constituir un delito de sanciones, como se indica en el sitio web de DFAT. También podría convertirse en un delito de lavado de dinero, según la Ley del Código Penal Australiano de 1995, si “existe el riesgo de que el dinero se convierta en un instrumento de delito” y la organización es “imprudente” o “negligente en cuanto al hecho de que el dinero o la propiedad es producto de un delito procesable”.
Habría defensas legales contra tales cargos que los abogados podrían argumentar. Pero el punto es que con un mayor escrutinio y el deseo de tomar medidas enérgicas contra los pagos de ransomware, las organizaciones deberían buscar formas alternativas de manejar los pagos de ransomware.
Cómo deberían manejar los australianos los ataques de ransomware
A pesar de los numerosos casos destacados de infracciones y ataques exitosos de ransomware en Australia en los últimos años, la preparación aún es baja y las organizaciones todavía se sienten presionadas a pagar el rescate.
Como prioridad, las organizaciones deben asegurarse de que sus equipos de seguridad y TI estén preparados. Esto implica mantener los sistemas actualizados; actualizar periódicamente los sistemas operativos, el software y las aplicaciones; y garantizar que todos los dispositivos terminales reciban el mantenimiento adecuado y cumplan con las políticas.
Al mismo tiempo, la organización debe desarrollar una estrategia de respaldo que incluya una versión aislada para reducir el riesgo de que los respaldos se vean comprometidos por un ataque exitoso de ransomware.
Luego, una vez que se haya abordado el ataque inicial, solicite la ayuda de un tercero para realizar una auditoría exhaustiva del entorno, determinar si existen problemas continuos y dónde se encuentran las vulnerabilidades.
El enfoque estándar del ransomware para las empresas australianas no será viable indefinidamente. Si bien el enfoque de mejores prácticas para manejar el ransomware es bien conocido, pocas empresas parecen estar actuando con urgencia para preparar mejor sus entornos, y eso los pone cada vez más en riesgo.
