Este sitio utiliza cookies para ofrecerle un servicio más ágil y personalizado. Al utilizar este sitio, acepta el uso que hacemos de las cookies. Puede obtener más información sobre el uso que hacemos de las cookies y tecnologías similares y sobre sus opciones consultando nuestra Política de privacidad. Al hacer clic en "Acepto", acepta nuestro uso de cookies y tecnologías similares.
El riesgo de pago del ransomware
Decidir si pagar o no a un delincuente que ha paralizado las operaciones de su organización con un ransomware es una empresa dolorosa. Es una decisión crucial que debe tomarse en un momento que a menudo se describe como "puro caos". La dirección, los abogados, el personal informático, los expertos en respuesta a incidentes y análisis forense digital, el equipo de comunicación, las compañías de seguros y otras personas participan en la gestión de la crisis con el objetivo de restablecer la normalidad lo antes posible. El tiempo es esencial. Cuando se han agotado las opciones técnicas de recuperación, muchas organizaciones optan a regañadientes por efectuar el pago para recuperar información vital y restablecer los servicios. La decisión de pagar a un delincuente nunca se toma a la ligera... y no está exenta de riesgos.
Los riesgos a los que se enfrentan las víctimas del ransomware se están ampliando. La tendencia se está desplazando hacia ataques que no sólo presentan el riesgo de no poder recuperar todos o algunos de los datos cifrados tras el pago del rescate, sino que incluyen un componente de "extorsión secundaria". En estos ataques, no sólo se cifran los archivos de la organización, sino que se extrae información sensible y confidencial de la red de la organización, y los delincuentes amenazan con divulgarla en un foro público si no se paga un rescate. Las técnicas utilizadas por los atacantes son cada vez más sofisticadas y eficaces, y se espera que esta tendencia continúe.
Por muy angustioso que esto parezca (y lo es), es importante recordar que al hacer la elección de Hobson de pagar el rescate al extorsionador, la víctima puede enfrentarse a un peligro aún mayor, esta vez, a manos del gobierno de Estados Unidos.
El 1 de octubre de 2020, la Oficina de Control de Activos Extranjeros ("OFAC") del Departamento del Tesoro advirtió que las empresas que realizan o facilitan pagos de ransomware a personas sancionadas o ubicadas en jurisdicciones ampliamente sancionadas corren el riesgo de violar las regulaciones de la OFAC y las leyes relacionadas. Las sanciones se imponen sobre una base de responsabilidad objetiva y las violaciones a sabiendas pueden dar lugar a responsabilidad penal. El problema se agrava por el hecho de que los extorsionadores cibernéticos ocultan sus identidades, y una víctima de ransomware suele recibir poco más que una dirección de correo electrónico y una cartera de criptomoneda que tiende a ser de poca utilidad cuando se comprueba con la Lista de Sanciones de la OFAC.
Con esto como telón de fondo, puede parecer casi inevitable que una víctima de ransomware se enfrente a una responsabilidad significativa si se realiza un pago en criptomoneda a una parte que resulte ser una persona o entidad sancionada. La buena noticia es que hay medidas que una organización puede tomar para reducir cualquier posible sanción de la OFAC. Todo se reduce a hacer, y demostrar, un esfuerzo de buena fe para hacer las cosas que todas las empresas deberían estar haciendo de todos modos.
La OFAC mantiene una amplia discrecionalidad para determinar si sancionará, y en qué medida, a las organizaciones que efectúen pagos a extorsionadores de ransomware, y ha señalado que existen medidas que una organización puede adoptar para reducir las posibilidades de que la OFAC emprenda una acción coercitiva.
La OFAC examina si la empresa se tomó en serio su obligación de cumplimiento y actuó de forma responsable antes, durante y después de un ataque de ransomware que posteriormente se determine que ha dado lugar a un pago a una persona o entidad sancionada. Para evitar la responsabilidad, una empresa debe estar preparada para presentar un informe exhaustivo y bien documentado de su investigación, sus esfuerzos de cumplimiento y un resumen de su revelación inicial y cooperación continua con las fuerzas de seguridad. La preparación es la clave para hacerlo con eficacia.
Recomendación: Preparación
Independientemente de la posible responsabilidad de la OFAC, es esencial prevenir o minimizar los efectos de un ataque de ransomware. La mejor manera de lograrlo es mediante un programa de mitigación de ciberamenazas, basado en un marco reconocido que incluya controles adecuados, resiliencia para la continuidad del negocio y formación periódica de los empleados. Prevenir o recuperarse de un ataque de ransomware sin tener que pagar el rescate es sin duda el mejor enfoque. Sin embargo, el aumento tanto del volumen como de la sofisticación de los ataques de ransomware exige que las empresas se preparen para escenarios en los que las medidas preventivas adoptadas resulten ineficaces y la dirección decida que debe efectuarse el pago.
Actualice su programa de cumplimiento
Si su empresa cuenta con un programa de cumplimiento de sanciones, sería aconsejable actualizarlo para incluir un proceso para el pago de ransomware como último recurso. Si su empresa no dispone de un programa de cumplimiento de sanciones, sigue siendo aconsejable incluir un proceso para el pago de ransomware en el plan general de respuesta a incidentes cibernéticos de su empresa.
Planifique una investigación exhaustiva
Por inútil que pueda parecer dada la ausencia de información facilitada por el extorsionador, debe considerarse la posibilidad de documentar un proceso que incluya la notificación oportuna a las fuerzas de seguridad, así como todos los pasos de investigación dados y las pruebas consideradas antes de efectuar el pago.
Además de esbozar las funciones y responsabilidades internas y los proveedores de servicios externos preseleccionados que ayudarán en una crisis de este tipo, su programa debe prever la recopilación de información que sería útil para las fuerzas del orden y los reguladores, incluida, entre otras cosas:
- Direcciones de correo electrónico relevantes (con metadatos asociados, incluidas direcciones IP y marcas de tiempo)
- Dirección(es) del monedero virtual
- Información sobre los Indicadores de Compromiso ("IOCs") y las variantes de ransomware utilizadas (incluyendo hashes) y otras Tácticas, Técnicas y Procedimientos ("TTPs") utilizados por los atacantes.
- Registros de actividad en la red (incluidos los inicios de sesión) y conclusiones sobre los métodos de infiltración y propagación en la red de la empresa.
- Información sobre el dispositivo móvil, si procede (incluidos los números IMEI)
- Copias de cualquier comunicación electrónica sospechosa (incluidas las marcas de tiempo)
- Si se puede determinar la identidad del atacante, los resultados de una comprobación con la lista de sanciones de OFAC y, si es posible, un análisis más detallado de si existen pruebas de un nexo con las sanciones.
Disponga de sus proveedores
La información mencionada anteriormente debe ser recopilada por investigadores forenses digitales/de respuesta a incidentes (DFIR) u otros proveedores de servicios cualificados y por personal interno debidamente formado para recopilar dicha información. Lo mejor es firmar contratos con los proveedores externos antes del suceso y poner a disposición del equipo interno la información de contacto adecuada.
Prepárese para colaborar con las fuerzas de seguridad
Los abogados experimentados deben participar desde el principio en cualquier crisis de ransomware. Para satisfacer los requisitos de la OFAC de que se lleve a cabo la diligencia debida antes de efectuar el pago, todos los esfuerzos y hallazgos de la investigación deben documentarse exhaustivamente y entregarse a las fuerzas de seguridad. Especialmente en aquellos casos en los que se roban datos corporativos confidenciales, los abogados deben ayudar con la divulgación y el enlace con las fuerzas de seguridad, ya que además de proporcionar sus conclusiones iniciales, la empresa también debe esperar proporcionar conclusiones adicionales de cualquier investigación continuada a las fuerzas de seguridad, la OFAC y otros, según proceda.
Formar, evaluar, estar al día
Este plan, ya sea un apéndice a un programa de cumplimiento de sanciones existente o parte de un plan de respuesta de mitigación cibernética, debe incluirse en el programa de formación de la empresa y debe ser revisado (y debe realizarse un análisis de deficiencias) por los auditores internos de la empresa o por un experto externo. Deben realizarse evaluaciones anuales de riesgos y ejercicios de formación que incluyan nueva información sobre esta amenaza en rápida evolución.
La amenaza del ransomware es real y creciente. Una preparación cuidadosa y exhaustiva puede ayudar a minimizar tanto el impacto del ataque en sí como a reducir la probabilidad de una acción de aplicación de sanciones de la OFAC.
Kenneth Mendelson CISSP, CIPP, CISA, PCIP
Director General
Ken Mendelson ha pasado más de 30 años en la intersección del derecho, la tecnología de la información y las políticas públicas. Como miembro de la Práctica de Seguridad Nacional, Ken gestiona proyectos e investigaciones de gobernanza, riesgo y cumplimiento, y lleva a cabo monitoreos y auditorías de terceros en relación con los acuerdos de mitigación aplicados por el Comité de Inversión Extranjera en los Estados Unidos (CFIUS). Además, ayuda a las empresas establecidas y emergentes a implementar y mantener programas de ciberseguridad y privacidad mediante el desarrollo de políticas, procedimientos y directrices de ciberseguridad, y la realización de evaluaciones de ciberseguridad basadas en el riesgo.
InvestigaciónLíneas directas