Después de que Euler Finance, una plataforma de criptopréstamos con sede en el Reino Unido, fuera víctima de un robo cibernético de 197 millones de dólares, los abogados la ayudaron a recuperar todos los fondos en tres semanas.
Lo lograron porque los delincuentes cometieron un error estratégico al pagar 100 ETH, o Ether, en una cuenta supuestamente vinculada a piratas informáticos norcoreanos. Los abogados utilizaron esto como punto de presión para advertir a los perpetradores que podrían enfrentar represalias por parte de actores estatales o del crimen organizado. Fue suficiente para convencer a los piratas informáticos de que devolvieran el dinero.
Si bien recuperar fondos de esta manera es extremadamente raro, las víctimas de ransomware recurren cada vez más a negociadores (ya sean equipos de respuesta internos, aseguradoras, firmas de seguridad o abogados) para reducir el costo de su rescate, o incluso evitar pagarlo por completo.
Pero, ¿cuál es el arte de la negociación del ransomware?
“Los negociadores deben hacer preguntas abiertas para intentar resolver los problemas”, dice Amanda Weirup, profesora asistente de administración en Babson College y experta en negociación y manejo de conflictos. “Por ejemplo, ‘¿Qué se necesitaría para resolver esta situación?’ Los negociadores más fuertes adaptan su enfoque basándose en los intereses y prioridades de las otras partes”, dice, señalando que, además de las ganancias financieras, algunos ciberdelincuentes buscan reconocimiento para promover una agenda política o ideológica.
Los ataques de ransomware, en los que los ciberdelincuentes cifran sistemas de datos y exigen un pago para liberarlos, han proliferado desde la pandemia de coronavirus, a medida que el trabajo remoto redujo las ciberdefensas.
Pero los datos del grupo tecnológico estadounidense IBM muestran que las organizaciones que pagaron un rescate lograron sólo una pequeña diferencia en el costo del ataque (5,06 millones de dólares en comparación con 5,17 millones de dólares), aunque esto no incluye el costo del rescate en sí. “Dado el alto costo de la mayoría de las demandas de ransomware, las organizaciones que pagaron el rescate probablemente terminaron gastando más en general que aquellas que no lo hicieron”, dice el informe.
Algunos –particularmente aquellos que se oponen a la idea de negociar con delincuentes– argumentan que pagar a los piratas informáticos sólo los alienta y continúa un ciclo de delitos cibernéticos. Señalan que, al pagar a los piratas informáticos, las víctimas corren el riesgo de infringir sanciones y otras regulaciones nacionales, y sin darse cuenta podrían financiar a un adversario nacional, un régimen corrupto, una banda del crimen organizado, un traficante de personas o un terrorista.
El pago tampoco garantiza que los piratas informáticos desbloqueen los sistemas o que no vuelvan a exigir más dinero. De hecho, a medida que el negocio del ransomware ha demostrado ser más lucrativo, los ciberdelincuentes de Rusia, Irán y Corea del Norte han evolucionado sus estrategias para exprimir la mayor cantidad de dinero posible de una víctima, dicen los expertos.
David Higgins, director senior de la oficina de tecnología de campo del grupo de seguridad de la información CyberArk, dice que sus datos muestran que las organizaciones afectadas por ransomware en 2023 generalmente pagaron al menos dos veces, lo que significa que probablemente fueron víctimas de las llamadas campañas de doble extorsión. Se trata de ataques en los que los piratas informáticos no sólo bloquean el acceso a los sistemas de la víctima cifrando datos, sino que también los roban, amenazando con revelar información confidencial sólo si se paga un rescate.
“Las empresas deberían contar con un plan de contingencia si su pago no produce los resultados que se les habían prometido”, aconseja Matthew Roach, director de la comunidad de líderes de ciberseguridad i-4 en KPMG Reino Unido.
Algunas autoridades están prohibiendo el pago de rescates; por ejemplo, los estados estadounidenses de Carolina del Norte y Florida han prohibido explícitamente a las agencias gubernamentales estatales y locales pagar a los piratas informáticos.
Pero las empresas tal vez no tengan muchas opciones si quieren mantenerse a flote. “En realidad, las negociaciones con los ciberdelincuentes suelen ser necesarias para maximizar los resultados”, afirma Weirup. “Pagar el rescate puede ser la forma más rápida de recuperar datos y reanudar las operaciones, especialmente si el rescate es menor que los costos”.
El equipo negociador debería “determinar los motivos subyacentes de los piratas informáticos” y “formular un análisis de costes y beneficios determinando sus alternativas”, afirma. Por ejemplo, las víctimas deben verificar si tienen copias de seguridad de sus datos u otras formas de poner en funcionamiento servicios críticos.
Los expertos dicen que los negociadores deberían dialogar con los piratas informáticos lo antes posible para evitar escaladas. “Esperan ser ignorados y responderán intensificando sus amenazas, llamando a ejecutivos, haciendo amenazas a través de las redes sociales y aumentando las hostilidades hasta que sientan que están siendo escuchados”, dice Roach.
Pero, si bien los piratas informáticos pueden utilizar la presión del tiempo para obligar a las víctimas a pagar, las empresas también pueden ralentizar el proceso, dándoles tiempo para recuperar sus datos u operaciones entre bastidores. “Las empresas pueden optar por negociar en un intento de generar retrasos en lugar de simplemente reducir el monto del rescate o evitar el pago por completo”, dice Roach.
En última instancia, son la víctima y los negociadores quienes necesitan definir cómo medirán el éxito, dice Weirup: ya sea la recuperación de datos, la minimización de las pérdidas y perturbaciones financieras o la reducción del daño a la reputación.
“Es crucial establecer. . . un punto más allá del cual no están preparados para continuar las negociaciones”, afirma.