Están secuestrando a las empresas. ¿Deberían pagar el rescate?

Londres (CNN Business) — Un devastador ataque de «ransomware» a un oleoducto de combustible esencial en Estados Unidos ha puesto de manifiesto la creciente amenaza que los ciberdelincuentes suponen para las mayores empresas e infraestructuras estratégicas del mundo.

También plantea una cuestión delicada: ¿deben las empresas a las que se les pide un rescate ceder a los extorsionistas o resistirse a realizar los pagos? En muchas ocasiones se trata de elegir entre recuperar el acceso a los sistemas informáticos a cambio de una cuota para poder restablecer las operaciones, o correr el riesgo de una interrupción continuada que podría tener enormes repercusiones para los empleados, los accionistas, los clientes, la economía e incluso la seguridad nacional.

En el caso de Colonial Pipeline, que aún no ha restablecido totalmente sus operaciones, hay mucho en juego. El oleoducto suministra casi la mitad del gasóleo y la gasolina que se consumen en la Costa Este. También suministra combustible para aviones a los principales aeropuertos, muchos de los cuales tienen suministros limitados en sus instalaciones. Un número creciente de gasolineras se encuentran sin combustible mientras los ansiosos conductores se apresuran a llenar sus tanques y American Airlines se ha visto obligada a añadir paradas para recargar combustible en un par de rutas más largas.

Tanques de combustible en el oleoducto Colonial Pipeline en Baltimore, Maryland.

Pero al pagarles a los delincuentes se corre el riesgo de alentar aún más ataques de ransomware al demostrar lo lucrativo que puede ser el modelo de negocio. El FBI confirmó este lunes que los responsables del ataque al oleoducto son un grupo criminal originario de Rusia llamado DarkSide.

Una de las formas de desalentar la ciberdelincuencia y los ataques de ransomware es «hacer que sea una actividad menos rentable», según Josephine Wolff, profesora adjunta de política de ciberseguridad en The Fletcher School de la Universidad de Tufts. «Estos grupos no seguirán [lanzando ataques] si no es un modelo de negocio viable», añadió.

DarkSide publicó ya un aviso en la dark web en el que decía que su motivación era «únicamente ganar dinero», según Binary Defense, una empresa de contrainteligencia cibernética. El grupo ofrece «ransomware como servicio», dijo Wolff.

«Esencialmente venden ataques de ransomware a los clientes», explicó. «Eso es una señal bastante fuerte de que se trata de un negocio rentable».

Una industria floreciente

El mundo ha tenido muchas advertencias. Hace cuatro años, una ola de ataques de «ransomware» sin precedentes afectó a empresas y organizaciones de todo el mundo. En el Reino Unido, algunos hospitales se vieron obligados a cancelar las citas de los pacientes externos y a decir a la gente que no acudiera a los servicios de urgencias.

Y se necesitará mucho más que un puñado de empresas que rechacen los pagos de extorsión para disuadir a los ciberdelincuentes.

«Encontrarán otra víctima, otra forma de ganar dinero», afirma Peter Yapp, exsubdirector del Centro Nacional de Ciberseguridad del Reino Unido y actual socio de Schillings.

«Lo que detendrá esto es un nivel mucho más alto de seguridad [cibernética]», dijo a CNN Business. «En lugar de invertir dinero en pagar a la gente después del suceso, deberíamos invertir dinero antes del suceso y asegurarnos de reforzar la seguridad», añadió.

Las pérdidas por ciberdelincuencia han aumentado en los últimos años. Un informe del año pasado del Centro de Estudios Estratégicos e Internacionales y de la empresa de seguridad de software McAfee cifró el costo mundial de la ciberdelincuencia en casi un billón de dólares entre 2018 y 2020.

«La ciberdelincuencia parece imparable […] El riesgo de la ciberdelincuencia para las operaciones y utilidades sigue creciendo para muchas organizaciones», agregó.

Esto se ha convertido en una oportunidad creciente para las compañías de seguros, ya que se espera que las primas de los ciberseguros a nivel mundial aumenten de unos US$ 2.500 millones en la actualidad a US$ 7.500 millones a finales de la década, según PwC.

Las pólizas de ciberseguro suelen cubrir el pago de rescates cuando están legalmente permitidos y si no hay entidades sancionadas, como organizaciones terroristas, implicadas. Pero hay indicios de que esto puede estar cambiando.

AXA dejó de ofrecer recientemente el reembolso de rescates como parte de las nuevas pólizas de ciberseguro en Francia en respuesta a las preocupaciones planteadas por los funcionarios franceses de ciberseguridad.

En un comunicado, la aseguradora dijo que está «a la espera de la decisión de las autoridades públicas».

«El tema del reembolso del rescate se ha convertido en una cuestión clave para el ciberseguro (…) Es esencial que las autoridades públicas concreten su posición sobre este tema para que todos los actores del mercado puedan armonizar sus prácticas», añadió la compañía.

En una conferencia sobre ciberdelincuencia celebrada el lunes en Alemania, Thomas Sepp, director de siniestros de Allianz Global Corporate & Specialty, dijo que la aseguradora aconseja a sus clientes que colaboren con las autoridades en una fase temprana y eviten el pago de rescates si es posible, «para no crear más incentivos para el modelo de negocio comercial de los grupos de ciberdelincuentes».

«Por supuesto, esto tiene sus límites cuando la vida y la salud de las personas están en peligro», añadió.

Cómo pueden ayudar los gobiernos

Mientras que los gobiernos de Estados Unidos y el Reino Unido asesoran y orientan a las empresas sobre cómo manejar los ciberataques, no existe una política oficial en lo que respecta a los pagos por ransomware.

Por ejemplo, la recomendación permanente del FBI es que las víctimas no paguen un rescate en respuesta a un ataque para disuadir a los autores de atacar a más víctimas. Sin embargo, varias fuentes han declarado a CNN que el FBI, en ocasiones, dice en privado a los afectados que entiende si sienten la necesidad de pagar.

A la pregunta de este lunes sobre si Colonial había pagado un rescate, los altos funcionarios de la Casa Blanca se abstuvieron de responder.

«Esa es una decisión del sector privado, y la administración no ha ofrecido más consejos en este momento. Dado el aumento del ransomware, es un área que estamos estudiando ahora para decir cuál debería ser el enfoque del gobierno hacia quienes cometen ransomware y hacia los rescates en general», dijo Anne Neuberger, la máxima responsable de ciberseguridad en el Consejo de Seguridad Nacional.

Según Wolff, de Tufts, los gobiernos deben aclarar a las empresas qué tipo de recursos y asistencia tienen a su disposición si no pagan el rescate.

En casos extremos, las empresas podrían hundirse si no pagan un rescate y el impacto más amplio en la economía podría ser enorme. Por eso no basta con que las fuerzas del orden se limiten a decir «no pagues… estás alimentando una industria», añadió Yapp.

Aunque no es tarea de los gobiernos vigilar a las entidades comerciales, la creciente ola de ataques de ransomware sugiere que puede ser el momento de que las fuerzas del orden intensifiquen sus esfuerzos para perseguir a los ciberdelincuentes, dijo Yapp.

«Desde el punto de vista comercial, el ransomware está afectando enormemente a las empresas de todo el mundo», añadió. La amenaza de «ser descubierto y perseguido» podría ser en sí misma un fuerte elemento disuasorio, dijo.

¿Por qué son más vulnerables las empresas al ransomware? 6:07

El peligro aumentará a medida que las redes de infraestructuras nacionales críticas se conecten cada vez más con otros dispositivos y sistemas a través de Internet.

«Los ataques dirigidos a la tecnología operativa, los sistemas de control industrial en la línea de producción o en la planta, son cada vez más frecuentes», dijo Algirde Pipikaite, jefe de estrategia cibernética del Centro de Ciberseguridad del Foro Económico Mundial, en un comunicado.

«A menos que las medidas de ciberseguridad se integren en la fase de desarrollo de una tecnología, es probable que registremos ataques más frecuentes a sistemas industriales como los oleoductos y gasoductos o las plantas de tratamiento de agua», añadió.

— Zachary Cohen, Geneva Sands y Matt Egan contribuyeron con este reportaje.

ciberataque