Considero que nadie tiene respuesta para esta cuestión y si se existiera, estoy convencido que tendría un elevado valor económico, en moneda convencional o en criptomoneda, como la que solicitan los ciberdelincuentes. A nadie vinculado a la ciberseguridad le sorprende que, en la última década y sobre todo en estos últimos años, los problemas vinculados al ransomware hayan alcanzado cotas de impacto impensables en su origen, y que tan sólo el devenir de los incidentes ha permitido descubrir los límites de esta amenaza. ¿Dónde han quedado aquellas primeras muestras «casi» inofensivas, que suplantaban a las Fuerzas y Cuerpos de Seguridad del estado -el popular «virus de la Policía»- y cuyo método de eliminación/limpieza, era casi trivial?

Los profesionales en ciberseguridad, ya inferimos en su día que esto tenía «mala pinta». Por un lado, porque la actividad de los cibercriminales se va profesionalizado exponencialmente; y por otro, porque este tipo de malware se ha convertido en una de las vías más lucrativas para el cibercrimen.

¿Cuál es la razón del crecimiento exponencial de Ransomware?

Esencialmente porque la mayoría de las empresas pagan a pesar de que el primer consejo, advertencia, recomendación, aviso, etc. frente al ransomware es no acceder a la extorsión. En primer lugar, porque eso incentiva la actividad cibercriminal, y en segundo, porque el pago tampoco garantiza el descifrado de la información. Las organizaciones están preparadas para perder proveedores, empleados e incluso clientes, pero cuando no tienen acceso a la información que es esencial para sus procesos de negocio porque se la han cifrado, la cosa se complica, y mucho. Los ciberdelincuentes conocen esta debilidad y la aprovechan.

Sólo tenemos que echar la mirada un par de años atrás para comprobar cómo la organización cibercriminal que puso en marcha el ransomware GandCrab, informaba a través de un foro que iba a dejar de operar. Esto significaba entre otras cosas que sus víctimas, empresas o usuarios, que no pagaran antes de los primeros días de 2018, se quedarían sin poder descifrar sus archivos. Esta compañía dedicada al cibercrimen ya había conseguido suficiente dinero como para «cerrar su chiringuito».

Situación actual del Ransomware

En la actualidad, cuando parece que las empresas ya se han adaptado a la realidad de esta amenaza adecuando sus planes de contingencia mediante políticas de copias de seguridad, llegan los ciberdelincuentes y crean el «incidente combinado». Esto no es otra cosa que, además de secuestrar la información del sistema cifrándola, van a exfiltrar o robar toda la que puedan. ¿Para qué? Muy sencillo. En caso de que puedan restaurarla con sus copias de seguridad, van a extorsionar a la compañía con hacerla pública. Y si no pagan, tened presente que lo harán. Eso sí, poco a poco para que la empresa no se atragante y al equipo negociador le dé tiempo a dilucidar la «solución» más adecuada.

Afortunadamente las tecnologías evolucionan y seguramente en el medio plazo sea posible encontrar una medida adecuada a este problema. Además de las soluciones antimalware, ya tenemos disponibles las primeras unidades de almacenamiento que cuentan con protección antiransomware . Pero como siempre recomendamos, con las medidas tecnológicas no es suficiente. Se requiere que «ese eslabón que más hay que reforzar», el usuario, adquiera las capacidades necesarias que le permitan identificar las amenazas evitando que puedan materializarlas.

Lo que es evidente a día de hoy, es que no existe un «kill switch» para acabar con el ransomware como el que se descubrió en WannaCry, y hasta entonces las empresas deberían reflexionar sobre qué les resulta más rentable: invertir en ciberseguridad, o acceder al pago de uno, o varios, rescates.

 

Marco Antonio Lozano Merino, Responsable de Servicios de Ciberseguridad para Empresas Head of Cybersecurity Services for Enterprises INCIBE, miembro del Grupo de Seguridad de Autelsi.