{"id":4,"date":"2023-10-02T17:19:37","date_gmt":"2023-10-02T17:19:37","guid":{"rendered":"https:\/2023\/10\/02\/hola-mundo\/"},"modified":"2024-10-17T17:47:47","modified_gmt":"2024-10-17T22:47:47","slug":"ransomware-pagar-o-no-pagar","status":"publish","type":"post","link":"https:\/\/beaconlab.us\/es\/ransomware-pagar-o-no-pagar\/","title":{"rendered":"Ransomware – pagar o no pagar?"},"content":{"rendered":"

Actualmente el ransomware es una de las amenazas m\u00e1s frecuentes, y sobre todo, de mayor impacto para las empresas de todo el mundo, incluido M\u00e9xico. Afecta a empresas de todos los rubros y todos los tama\u00f1os. Si bien, existen muchas variantes y bandas de ransomware, entre ellas Lockbit, AKIRA, APLHV, Cl0p, etc. todas tienen una caracter\u00edstica com\u00fan: su modelo de negocio se basa en una doble extorsi\u00f3n. \u201cSi no pagas el monto que te exigimos, no solo perder\u00e1s el acceso a tus datos y sistemas que hemos cifrado, sino que publicaremos los datos que hemos exfiltrado\u201d.<\/span>\u00a0<\/span><\/p>\n

Independientemente del nivel de madurez de cibersegurdad de la empresa afectada, es frecuente que surja la pregunta: \u00bfdeber\u00edamos pagar? \u00bfQu\u00e9 implicancias o consecuencias hay en caso de pago? \u00bfEs seguro que, pagando, voy a recuperar los datos? \u00bfSi pago, en cu\u00e1nto tiempo podr\u00eda estar nuevamente operativo? <\/span>\u00a0<\/span><\/p>\n

Si bien, no existe una respuesta definitiva a estas inc\u00f3gnitas, nuestra experiencia atendiendo m\u00faltiples casos de incidentes, as\u00ed como tambi\u00e9n reportes de muchos investigadores que han lidiado con esta amenaza en todo el mundo, nos permite brindar algunos datos a las empresas, y especialmente a los tomadores de decisiones, para que puedan tomar la decisi\u00f3n de manera informada y basados en evidencia y datos s\u00f3lidos<\/span>\u00a0<\/span><\/p>\n

\u00a0<\/span><\/p>\n

\u00bf<\/span>Cu\u00e1les son las implicancias\/consecuencias de negociar?<\/span><\/b>
\n\u00a0<\/span><\/p>\n

    \n
  1. Es importante entender que no es posible tener ninguna garant\u00eda de que la herramienta de descifrado que los criminales faciliten despu\u00e9s del pago funcionar\u00e1n correctamente, ya que podr\u00eda haber habido datos que se corrompieron durante el proceso. Esto reci\u00e9n se comprobar\u00e1 despu\u00e9s de pagar, con lo cual se habr\u00e1 perdido ese dinero.<\/span>\u00a0<\/span><\/li>\n<\/ol>\n
      \n
    1. Los tiempos de recuperaci\u00f3n, aun pagando, pueden ser elevados, ya que los procesos de descifrado y restauraci\u00f3n son largos y dependen de m\u00faltiples factores (tama\u00f1os de archivos\/im\u00e1genes, reconfiguraciones, etc).<\/span>\u00a0<\/span><\/li>\n<\/ol>\n
        \n
      1. No hay garant\u00eda de que los criminales eliminen los archivos extra\u00eddos, por lo que, aun pagando, es posible que \u00e9sta informaci\u00f3n termine us\u00e1ndose para fines maliciosos, o incluso que se terminen filtr\u00e1ndose parcial o totalmente por medios distintos al blog del atacante, en alg\u00fan momento del futuro.<\/span>\u00a0<\/span><\/li>\n<\/ol>\n
          \n
        1. Al pagar, indirectamente se estar\u00e1 incentivando el avance del cibercrimen, demostrando, no s\u00f3lo la efectividad del ransomware, desde una perspectiva econ\u00f3mica, sino tambi\u00e9n dotando a los criminales de recursos para\u202fcontinuar, robustecer y expandir sus actividades criminales.<\/span>\u00a0<\/span><\/li>\n<\/ol>\n
            \n
          1. Es posible que el atacante contin\u00fae teniendo control y\/o persistencia sobre las redes y sistemas, ya sea mediante el conocimiento de fallas, vulnerabilidades o informaci\u00f3n clave de sistemas o redes de la organizaci\u00f3n v\u00edctima, o mediante artefactos, herramientas, backdoors y\/o otros mecanismos que los mismos hayan podido implantar. El pago no garantiza que el atacante elimine esos mecanismos.<\/span>\u00a0<\/span><\/li>\n<\/ol>\n
              \n
            1. Dependiendo del tipo de organizaci\u00f3n y del tipo de informaci\u00f3n filtrada (o potencialmente filtrada), se debe revisar con los equipos legales las implicancias ante organismos estatales, como por ejemplo BMV (Bolsa Mexicana de Valores), Ley de protecci\u00f3n de datos personales en posesi\u00f3n de particulares, o cualquier otro aplicable a su operaci\u00f3n. El pago no exime de estas obligaciones.<\/span>\u00a0<\/span><\/li>\n<\/ol>\n

              \u00a0<\/span><\/p>\n

              \u00bf<\/span>Cu\u00e1nto tiempo tardan las empresas en recuperarse despu\u00e9s de los ataques?<\/span><\/b>\u00a0<\/span><\/p>\n

              Esta pregunta es aun m\u00e1s dif\u00edcil de responder, ya que depende de much\u00edsimos factores, que van desde el nivel de madurez de las empresas en cuanto a pol\u00edticas y procesos de recuperaci\u00f3n a desastres (estrategia de backup resiliente por ejemplo), capacidades del equipo de TI (administraci\u00f3n y gesti\u00f3n de sistemas, arquitectura de los sistemas, esquema de virtualizaci\u00f3n, etc), tambi\u00e9n depende de la afectaci\u00f3n y del tipo de empresa.\u00a0<\/span>\u00a0<\/span><\/p>\n

              Recuperar la operativa de la organizaci\u00f3n es clave y puede tomar desde un par de d\u00edas o semanas (algunos estudios hablan de un promedio de 24 d\u00edas<\/span>1<\/span>), pero en muchos casos el proceso puede llevar meses. Hay estudios que indican que solo el 8% de organizaciones llega a recuperar todos los datos, tras un pago, y el 29% recupera la mitad, lo que implica varias semanas o meses para reconstruir todo lo dem\u00e1s. El 24% le toma entre 1 a 6 meses, dependiendo de la existencia y disponibilidad de backups, y el 84% de las empresas afectadas perdieron dinero\/recibieron menos ingresos\u00a0 debido al ataque<\/span>2<\/span>3<\/span>.\u00a0<\/span>\u00a0<\/span><\/p>\n

              Como referencia, de acuerdo a estudios recientes, las organizaciones que han pagado el rescate, por lo general terminan teniendo un costo mayor que aquellos que no lo pagan. Aquellas que han pagado, han incurrido en un costo promedio de 5.06 millones USD en costos directos e indirectos, durante y posterior al ataque, al que, adem\u00e1s, hay que sumar el costo del rescate en s\u00ed, que puede ser variable seg\u00fan el tipo de ransomware (desde ~100.000USD hasta algunos millones de USD). En aquellos casos en que la organizaci\u00f3n no ha pagado y ha decidido recuperarse con medios propios y\/o de proveedores, el costo promedio es de 5.17 millones USD<\/span>\u00a0<\/span><\/p>\n

              Tambi\u00e9n debe tenerse en cuenta que, aunque el tiempo de recuperaci\u00f3n de sistemas inform\u00e1ticos puede ser relativamente corto, el tiempo de recuperar las funcionalidades de negocio, la recuperaci\u00f3n de la imagen y confianza de clientes, las consecuencias econ\u00f3mico o legales, podr\u00eda ser muy superior.<\/span>\u00a0<\/span><\/p>\n

              \u00a0<\/span><\/p>\n

              En conclusi\u00f3n, si bien, la decisi\u00f3n de pagar o no por un rescate de ransomware al fin y al cabo es muy personal de cada organizaci\u00f3n y de su alta gerencia, y depende de muchos factores no solo t\u00e9cnicos sino tambi\u00e9n de negocios. Aun as\u00ed, el conocimiento que llevamos acumulado a lo largo de cientos de ataques en los \u00faltimos a\u00f1os, deber\u00eda ayudar a las v\u00edctimas a poder tomar una decisi\u00f3n de manera informada, para conseguir un impacto m\u00ednimo.<\/span>\u00a0<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

              Actualmente el ransomware es una de las amenazas m\u00e1s frecuentes, y sobre todo, de mayor impacto para las empresas de todo el mundo, incluido M\u00e9xico. Afecta a empresas de todos los rubros y todos los tama\u00f1os. Si bien, existen muchas variantes y bandas de ransomware, entre ellas Lockbit, AKIRA, APLHV, Cl0p, etc. todas tienen una […]<\/p>\n","protected":false},"author":5,"featured_media":5565,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[48],"tags":[],"class_list":["post-4","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/posts\/4","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/comments?post=4"}],"version-history":[{"count":4,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/posts\/4\/revisions"}],"predecessor-version":[{"id":5779,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/posts\/4\/revisions\/5779"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/5565"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=4"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/categories?post=4"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/tags?post=4"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}