¿Se puede y se debe pagar un rescate tras un ciberataque?

En la UE no existe, todavía, una norma que prohíba específicamente pagar un rescate tras un ciberataque, pero tanto los expertos en ciberseguridad como las autoridades lo desaconsejan fervientemente

El Reino Unido planea prohibir que las entidades públicas y las compañías que operan infraestructuras críticas puedan pagar un rescate tras un ciberataque. Esta medida busca hacer frente a los incidentes de seguridad que se saldan con la propagación de ransomware en los sistemas de organismos públicos y, sobre todo, empresas.

Mediante este tipo de malware, los delincuentes pueden exfiltrar y encriptar datos de sus víctimas, como información confidencial o datos personales de sus clientes o trabajadores, y exigir un rescate a cambio de permitir que las organizaciones puedan volver a acceder a sus datos y que estos no se vendan o se hagan públicos.

¿Solo se exige pagar un rescate tras un ciberataque de ransomware? Aunque en la mayoría de casos así es, también es posible que un grupo delictivo demande el pago de un rescate para, por ejemplo, poner fin a un ataque de DDoS en marcha, sobre todo, en épocas críticas para los negocios con e-commerce como el Black Friday o la Navidad.

Sin embargo, el pago de un rescate nunca garantiza que los adversarios cumplan con su parte de la negociación.

1. ¿Por qué Reino Unido quiere prohibir a organizaciones críticas pagar un rescate tras un ciberataque?

Los objetivos principales que persigue el Reino Unido al prohibir pagar un rescate tras un ciberataque son:

1. Combatir el modelo de negocio de los grupos delictivos y, en especial, de los grupos que emplean ransomware. Estos grupos se financian gracias a que algunas empresas y entidades del sector público proceden a pagar un rescate tras un ciberataque.
2. Desincentivar a los grupos delictivos que planean usar ransomware para extorsionar a organizaciones públicas (hospitales, ministerios, colegios…) y a empresas que gestionan infraestructuras críticas. Si saben de antemano que no van a recibir un pago tras un ciberataque, estas organizaciones se convierten en un objetivo menos atractivo.

¿Qué pasará con el resto de empresas? El Reino Unido tiene sobre la mesa otras dos medidas que sí les afectan:

1. La obligatoriedad de informar al gobierno de cualquier intención de pagar un rescate para que las autoridades públicas asesoren y ayuden a las organizaciones.
2. La implementación de un sistema de denuncia obligatoria para que las empresas extorsionadas faciliten la actuación de las fuerzas de seguridad y reciban el mejor apoyo.

Aunque este paquete de medidas vaya a afectar solo al Reino Unido, nos permiten vislumbrar la posibilidad de que la Unión Europea apruebe medidas similares en los próximos años. Al fin y al cabo, con la aprobación de la Directiva NIS2 la UE ya ha apostado de forma decidida por incrementar el nivel de resiliencia de las organizaciones que operan en sectores críticos para el tejido productivo y la sociedad.

2. La ardua lucha contra el ransomware

Para entender la estrategia del Reino Unido para luchar contra el ransomware debemos tener en cuenta el complejo panorama de amenazas en el que nos hallamos actualmente.

En el propio Reino Unido se han registrado graves incidentes de seguridad en los que el ransomware fue el protagonista.

Por ejemplo, la British Library, una de las bibliotecas más importantes del mundo, sufrió un incidente en 2023 del que tardó en recuperarse meses durante los que, por ejemplo, su servicio digital estuvo paralizado. Este mismo año, Marks & Spencer, una compañía líder en el sector del retail, también sufrió un ciberataque de ransomware que se prevé que tenga un coste total de 300 millones de libras para la empresa.

Podríamos seguir listando ejemplos, pero quizás la forma más gráfica de evidenciar el peligro del ransomware sea haciendo hincapié en que un paciente falleció como consecuencia de un ataque de ransomware contra los servicios de transfusión sanguínea del servicio público de salud (NHS) en hospitales y centros médicos de Londres en junio de 2024.

Al secuestrar los datos de los pacientes de la agencia que gestiona los laboratorios, se produjo un retraso en la obtención de los resultados del análisis de sangre del paciente y esto se convirtió en uno de los factores que provocaron el fallecimiento del paciente.

3. Ingeniería social para entrar y malware para secuestrar: A qué se enfrentan las empresas

Para entender el auge del ransomware es necesario tener en cuenta tres factores clave:

1. La eclosión del modelo de Ransomware-as-a-Service. Grupos delictivos con recursos y conocimientos ofrecen a un amplio número de actores maliciosos todos los recursos que necesitan para lanzar campañas de ransomware contra objetivos específicos. ¿Qué sacan a cambio estos grupos? Generalmente, un porcentaje del rescate pagado por las empresas o los organismos públicos. También venden herramientas de malware en diferentes paquetes de suscripción, lo que permite adaptarse a diferentes tipos de clientes.
2. Las técnicas de ingeniería social evolucionan de forma continua para conseguir que los profesionales de las empresas se conviertan en un vector de entrada a los sistemas corporativos. Esto se ha visto reforzado por el auge de la IA y modelos generativos.
3. A pesar de las advertencias, en muchas organizaciones aún no se emplea la autenticación multifactor (MFA) para dificultar el acceso ilegítimo a sistemas y software corporativo. A lo que debemos sumar el hecho de que los grupos delictivos se han afanado en subvertir este mecanismo de seguridad.

Una buena muestra de los peligros a los que se enfrentan las empresas es el aumento de los incidentes de seguridad en los que las víctimas iniciales son profesionales de los servicios de asistencia técnica de las compañías. Grupos delictivos como Scattered Spider han suplantado la identidad de trabajadores de las empresas y engañado a estos profesionales para conseguir que les reseteen contraseñas y/o MFA para acceder a cuentas corporativas.

Una vez dentro, han podido apoderarse de las cuentas y lanzar desde ahí ransomware con el que secuestrar datos de las compañías y sus clientes.

Otro ejemplo que podemos traer a colación es el caso de Interlock. Recientemente, la CISA, la agencia a cargo de la ciberseguridad en Estados Unidos, ha alertado a las compañías sobre este grupo delictivo que emplea técnicas en boga como ClickFix y que recurre a una doble extorsión.

Primero, se exfiltran públicamente datos de las empresas y, después, se encriptan los sistemas de las empresas.

De tal forma que las organizaciones se ven doblemente presionadas para pagar un rescate tras un ciberataque: por un lado, temen que sus datos se hagan públicos, por otro, necesitan recuperarlos para volver a la normalidad y garantizar su operatividad.

4. ¿Por qué algunas empresas deciden pagar un rescate tras un ciberataque?

El uso de ransomware para encriptar datos y sistemas corporativos tiene un objetivo muy claro y que a nadie se le escapa: conseguir dinero de una forma directa. Así que la motivación de los delincuentes no nos genera ninguna duda. Pero… ¿por qué las víctimas optan por pagar un rescate tras un ciberataque?

Habida cuenta de lo que venimos de exponer, no resulta difícil establecer cuáles son los motivos que mueven a algunas compañías a pagar un rescate tras un ciberataque:

1. Recuperar los datos encriptados y volver a la normalidad en el menor tiempo posible.
2. Evitar que su información se haga pública. Sobre todo, cuando los delincuentes han encriptado datos críticos como información sobre los clientes, la propiedad industrial o la estrategia comercial.
3. Reducir el impacto económico del incidente limitándolo en el tiempo e intentando que no menoscabe la continuidad de negocio.
4. Intentar que el incidente no se haga público y genere graves repercusiones reputacionales.
5. Considerar que el coste de pagar un rescate tras un ciberataque es inferior al gasto que se debe asumir para responder al ataque y recuperar la normalidad y/o a las posibles sanciones por infringir la normativa de protección de datos.

5. ¿Por qué los expertos y las autoridades desaconsejan pagar un rescate tras un ciberataque?

Las unidades especiales de las fuerzas de seguridad contra el cibercrimen, los organismos públicos a cargo de la ciberseguridad, como el INCIBE español, y los expertos en ciberseguridad coinciden: no se debe pagar un rescate tras un ciberataque. ¿Por qué?

1. Al pagar un rescate tras un ciberataque se está financiando a los delincuentes. De tal forma que pueden contar con más recursos para diseñar e implementar técnicas, tácticas y procedimientos más complejos y emplearlos en futuros ataques.
2. Las empresas no tienen ninguna certeza de que los delincuentes vayan a desencriptar sus datos una vez que hayan pagado el rescate.
3. Igualmente, tampoco existe ninguna certeza de que los actores maliciosos no se queden con copias de la información y la comercialicen o la hagan pública para dañar al negocio. Pagar un rescate tras un ciberataque implica confiar en la palabra de criminales.
4. Nadie les asegura a las compañías que después de proceder a pagar un rescate tras un ciberataque los delincuentes les exijan una cifra mayor para devolverles el acceso a sus datos o, en el caso de un ataque de DDoS, el final del mismo.
5. Las empresas que deciden pagar un rescate tras un ciberataque se pueden convertir en un target interesante para los mismos actores maliciosos o para otros, porque han evidenciado que están dispuestas a pagar tras ser extorsionadas.
6. En algunos casos, las pólizas de ciberseguro cubren parte del rescate o los costes asociados a una negociación, pero muchas compañías aseguradoras están limitando o excluyendo estos pagos para no fomentar la financiación de grupos criminales.
7. Además, entidades como ENISA recomiendan tener planes robustos de continuidad de negocio como alternativa eficaz al pago de rescates.

6. ¿Al pagar un rescate tras un ciberataque se puede estar infringiendo la ley?

A los sólidos motivos anteriores podemos sumar otro factor a tener en cuenta: ¿pagar un rescate tras un ciberataque es legal?

Como apuntamos antes, una de las medidas que planea aprobar el Reino Unido en la lucha contra el ransomware es el deber de informar sobre la intención de pagar un rescate tras un ciberataque. Entre otras cuestiones, mediante esta acción, el gobierno británico podrá notificar a las compañías si el abono del rescate podría suponer infringir la ley al enviar dinero a grupos de cibercriminales sancionados por el Reino Unido, como algunos grupos APT financiados por potencias como Rusia.

En la misma línea, la Oficina de Control de Activos Extranjeros (OFAC) de Estados Unidos, ha advertido a las empresas sobre el riesgo de potenciales sanciones por pagar un rescate tras un ciberataque de ransomware lanzado por actores maliciosos sancionados por la oficina.

¿Qué sucede en España? Como señalamos al inicio de este artículo, no existe la prohibición legal expresa de pagar un rescate tras un ciberataque. Sin embargo, sí debemos contemplar que el Código Penal (artículo 576) considera que es un delito financiar actividades terroristas.

Por lo tanto, si el actor malicioso que ataca a una empresa es un grupo que lleva a cabo acciones de ciberterrorismo, como puede ser atentar contra infraestructuras críticas, ¿se estaría financiando el terrorismo al pagar un rescate tras un ciberataque?

No existe jurisprudencia al respecto, pero es importante tener en cuenta que no todos los grupos delictivos son iguales y que, como defienden las autoridades y los expertos, pagar un rescate tras un ciberataque es una decisión que puede tener consecuencias negativas para las empresas.

7. ¿Cómo actuar ante un incidente de seguridad en el que se exige el pago de un rescate?

Si el tiempo es oro, en un ciberataque cada minuto es una pieza de oro de muchos quilates. Descartada la idea de pagar un rescate tras un ciberataque, es crítico actuar con la máxima celeridad para hacerle frente. Así, se debe recurrir de inmediato a un servicio de respuesta a incidentes proactivo. ¿Por qué?

Frente a la respuesta a incidentes reactiva, en la proactiva un equipo de expertos en ciberseguridad puede comenzar a actuar en menos de 1 hora y, así, limitar el alcance del incidente. ¿Qué hace un servicio de respuesta a incidentes proactivo?

• Lleva a cabo un trabajo previo de identificando actividad maliciosa, realizando simulacros de incidentes y analizando los actores de amenazas a los que se enfrenta una compañía. ¿Con qué fin? Elaborar un plan de respuesta a incidentes y asegurarse de que el equipo se puede desplegar de forma inmediata cuando ocurra un incidente.
• Investiga el ataque para identificar el alcance del compromiso producido, constatar la información afectada y determinar qué permisos tiene el actor hostil que pueden permitirle hacer más daño a la empresa.
• Diseña e implementa las medidas necesarias para articular una respuesta efectiva al ataque y lograr contener el incidente.
• Expulsa al actor malicioso de los activos empresariales.
• Pilota el proceso de recuperación tras un incidente, para conseguir que esta se produzca de una forma segura, ágil y afectando lo mínimo posible al modelo de negocio de la organización.
• Analiza el incidente en profundidad:
  • Establecimiento del timeline del ataque.
  • Identificación de las vulnerabilidades explotadas por los delincuentes.
  • Evaluación de los controles de seguridad para comprender por qué no fueron efectivos.
  • Elaboración de un listado de mejoras que se pueden implementar para evitar ataques futuros.
  • Asesoramiento en materia de compliance.

8. La notificación de los incidentes a las autoridades públicas

Precisamente, una de las medidas más relevantes de la Directiva NIS2, que se transpondrá en España a través de la Ley de Ciberseguridad, es la notificación de incidentes de seguridad.

Las compañías que operen en sectores críticos como el transporte, la sanidad o la banca deberán informar a la autoridad competente en cuestión de horas sobre cualquier incidente de seguridad que sufran.

Mientras que la Ley de Ciberseguridad no se aprueba, las empresas deben tener en cuenta que ya están obligadas a notificar a la Agencia Española de Protección de Datos (AEPD) brechas de datos personales si se pueden ver afectados los derechos y libertades de los ciudadanos.

Más allá de las obligaciones legales, es importante tener en cuenta que existen varios organismos públicos que pueden asistir a una empresa en el transcurso de un incidente de seguridad y asesorarla para que no proceda a pagar un rescate tras un ciberataque y pueda gestionar lo sucedido:

• El Instituto Nacional de Ciberseguridad (INCIBE) a través de su CERT (Computer Emergency Response Team).
• El Grupo de delitos telemáticos de la Guardia Civil.
• La Brigada Central de Investigación Tecnológica de la Policía Nacional.

La colaboración con las fuerzas de seguridad es esencial para investigar a los actores maliciosos y desmantelar grupos delictivos que causan cuantiosas pérdidas económicas a las empresas.

9. Conclusiones

En definitiva, aunque no está explícitamente prohibido pagar un rescate tras un ciberataque, es una decisión errada que puede desencadenar consecuencias indeseadas para una empresa, y empeorar aún más la situación de la víctima. Además, que el Reino Unido vaya camino de prohibir pagar un rescate tras un ciberataque dibuja una senda que puede transitar en el futuro próximo la Unión Europea.

Entonces… ¿cómo se puede gestionar un incidente de seguridad en el que la información de una empresa ha sido encriptada por los delincuentes? Es crítico contar con un servicio de respuesta a incidentes proactivo que conozca a la perfección la empresa y las amenazas a las que se enfrenta.

Además, las fuerzas de seguridad y las autoridades a cargo de la ciberseguridad pueden ser de gran ayuda en la resolución del incidente y en la detección de los delincuentes.