ransomware
En ocasiones, al leer un artículo sobre qué hacer en caso de un ataque de ransomware, me topo con palabras como: ‘Considera pagarles’. En ese momento suelto un suspiro, y un resoplido… y cierro la pestaña del navegador. ¿Por qué? ¡Porque nunca debes pagar a los extorsionistas! Y no solo porque de hacerlo estarías fomentado una actividad delictiva. Existen otras razones. A continuación te explico:
En primer lugar, estás patrocinando al malware
Los cibervillanos, agentes malintencionados, extorsionistas, grupos de cibercriminales: todos son delincuentes, y si pagas el rescate les estás dando los ingresos que necesitan para que sigan en lo mismo: afectación negativa de las vidas de personas inocentes. Comienza un verdadero ciclo vicioso: ellos cifran tus datos, tú les pagas, ellos cifran los datos de otros…
En corto, hay dos maneras de disuadir a los extorsionistas de este mal hábito: se les puede hacer una redada (con lo que ayudamos frecuentemente), o su actividad puede dejar de ser rentable, lo que los obligaría a buscar un trabajo respetable. Parece que no se dan cuenta de que los programadores tienen salarios nada despreciables.
¿Cómo podría dejar de ser rentable su actividad? Si las víctimas dejan de pagar. “Sí, suena muy bonito” dices, “nosotros también queremos la paz mundial y justicia e igualdad para todos, pero acaban de cifrar mis datos y mi empresa podría irse a la quiebra.” Incluso si este es el caso, ¡no pagues! Permíteme explicar…
En segundo lugar, es posible que no recuperes tus datos
Los acuerdos con los cibercriminales no están escritos en piedra: no hay contrato firmado. Incluso si lo hubiese, ¿cuándo se ha sabido de delincuentes que respeten las convenciones legales? Por tanto, pagar no necesariamente garantiza el descifrado de tus datos.
Por ejemplo en el caso de ExPetr/NotPetya, debido a que se generó un número de identificación de usuario único de manera completamente aleatoria, fue imposible descifrar los archivos. ¡Ni siquiera los atacantes pudieron hacerlo! Así que ni todo el dinero en el mundo habría servido. Y el caso de ExPetr/NotPetya no es único. Tampoco es poco frecuente que los cibercriminales cometan errores de codificación. Y si bien estos errores a veces nos permiten crear un decodificador, otra veces, por el contrario, evitan que los mismos codificadores desarrollen uno.
En un caso reciente, un experto en ciberseguridad pidió públicamente a un grupo cibercriminal que arreglara un error en su ransomware troyano para que los archivos afectados no se corrompieran de manera irreparable. No sabemos si reír o llorar. En resumen: si decides pagar, recuerda que nada garantiza que recuperarás tus archivos, ni ahora ni nunca.
En tercer lugar, podrían extorsionarte todavía más
Ya sucedió: los cibervillanos atacaron a una organización que pagó la ridícula cantidad de $6.5 millones de dólares para recuperar sus datos. Dos semanas después, los mismos cibervillanos cifraron los mismos datos utilizando los mismos métodos, ¡y se les premió con otra jugosa recompensa!
El verdadero problema aquí fue que dos semanas no fue suficiente tiempo para que esta organización pudiera parchar el agujero por el que entraron los intrusos la primera vez. Los ladrones que tienen suerte una vez, podrían intentarlo de nuevo solo porque pueden: es posible que todavía tengan tus datos (tal vez los borraron, tal vez no).
La única salida es no pagar, ni siquiera una vez. De hacerlo, te arriesgarías a ser víctima de una segunda, tercera o cuarta extorsión porque los maleantes te verán como una fuente de ingresos simple y estable.
¿Qué hacer entonces?
Digamos que ya tomaste la decisión correcta y no le vas a pagar a los estafadores. ¿Y ahora? Tus archivos fueron cifrados/robados, y los ciberladrones te están amenazando con publicar todo. Es un desastre. Esto es lo que debes hacer:
Mantén la calma y busca un descifrador. Puedes encontrar uno aquí o aquí, o, si no lo hay, es posible que aparezca después. Nosotros los liberamos y actualizamos de manera regular como parte de nuestro proceso para estudiar malware y atrapar a los intrusos.
Habla con el proveedor con el que compraste tu sistema de protección. Primero averigua cómo es que tus datos fueron cifrados. Después, pide ayuda al proveedor con el descifrado: es posible que el proveedor sepa qué hacer y es probable que quiera ayudarte, ya que eres un cliente valioso. Tu seguridad es su prioridad, y también tiene que proteger su reputación: algo invaluable para una empresa de seguridad.
Habiendo dicho esto, siempre es mejor, por supuesto, fortalecer tus defensas a fin, primeramente, de evitar infecciones. ¡Pero nunca pagues! Si nadie paga, con el tiempo, los ciberextorsionistas pondrán fin a sus fraudes y todos estaremos más tranquilos.
Consejos