Pagar fortalece a las bandas de ransomware, pero escasa compatibilidad con las prohibiciones
BOSTON (AP) - Si su empresa es víctima del ransomware y desea un consejo sencillo sobre si pagar a los delincuentes, no espere mucha ayuda del gobierno de Estados Unidos. La respuesta suele ser: depende. “Es la posición del gobierno de Estados Unidos que desaconsejamos enérgicamente el pago de rescates”, dijo Eric Goldstein, un alto funcionario de seguridad cibernética del Departamento de Seguridad Nacional, en una audiencia del Congreso la semana pasada. Pero pagar no conlleva sanciones y negarse sería casi un suicidio para muchas empresas, especialmente las pequeñas y medianas. Demasiados no están preparados. Las consecuencias también podrían ser nefastas para la propia nación. Los recientes ataques extorsivos de alto perfil provocaron corridas en las estaciones de servicio de la costa este y amenazaron el suministro de carne. El dilema ha dejado a los funcionarios públicos buscando a tientas cómo responder. En un paso inicial, la legislación bipartidista en proceso exigiría la denuncia federal inmediata de ataques de ransomware para ayudar en la respuesta, ayudar a identificar a los autores e incluso recuperar rescates, como hizo el FBI con la mayor parte de los 4,4 millones de dólares que Colonial Pipeline pagó recientemente. Sin embargo, si no se toman medidas adicionales pronto, los expertos dicen que los rescates continuarán disparándose, financiando una mejor recopilación de inteligencia criminal y herramientas que solo empeorarán la ola mundial de delitos. El presidente Joe Biden no recibió garantías del presidente ruso Vladimir Putin en Ginebra la semana pasada de que los ciberdelincuentes detrás de los ataques no seguirán disfrutando de un puerto seguro en Rusia. Como mínimo, los servicios de seguridad de Putin los toleran. En el peor de los casos, están trabajando juntos. La secretaria de Energía, Jennifer Granholm, dijo este mes que está a favor de prohibir los pagos. "Pero no sé si el Congreso o el presidente está" a favor, dijo. Y como Goldstein les recordó a los legisladores, pagar no garantiza que recuperará sus datos o que los archivos confidenciales robados no terminen a la venta en los foros criminales de la darknet. Incluso si los ladrones de ransomware cumplen su palabra, usted estará financiando su próxima ronda de ataques. Y puede que te vuelvan a golpear. En abril, el entonces máximo funcionario de seguridad nacional del Departamento de Justicia, John Demers, se mostró tibio en cuanto a prohibir los pagos, diciendo que podría ponernos “en una postura más antagónica frente a las víctimas, que no es lo que queremos ser." Quizás los más vehementes acerca de una prohibición de pago son aquellos que conocen mejor a los criminales de ransomware: los respondedores de amenazas de ciberseguridad. Lior Div, director ejecutivo de Cybereason, con sede en Boston, los considera terroristas de la era digital. "Es terrorismo en una forma diferente, muy moderna". Una ley británica de 2015 prohíbe a las empresas de seguros del Reino Unido reembolsar a las empresas el pago de rescates por terrorismo, un modelo que algunos creen que debería aplicarse universalmente a los pagos de ransomware. “Al final, los terroristas dejaron de secuestrar a personas porque se dieron cuenta de que no les iban a pagar”, dijo Adrian Nish, jefe de inteligencia de amenazas de BAE Systems. La ley estadounidense prohíbe el apoyo material a terroristas, pero el Departamento de Justicia en 2015 renunció a la amenaza de enjuiciamiento penal para los ciudadanos que pagan rescates por terroristas. "Hay una razón por la que esa es una política en los casos de terrorismo: le das demasiado poder al adversario", dijo Brandon Valeriano, académico de la Marine Corps University y asesor principal de la Cyberspace Solarium Commission, un organismo bipartidista creado por el Congreso. Algunas víctimas de ransomware han adoptado posiciones de principio contra los pagos, al diablo con los costos humanos. Una es la Red de Salud de la Universidad de Vermont, donde la factura por la recuperación y los servicios perdidos después de un ataque en octubre ascendió a más de $ 63 millones. Irlanda también se negó a negociar cuando su servicio nacional de salud se vio afectado el mes pasado. Cinco semanas después, la tecnología de la información sanitaria en la nación de 5 millones de habitantes sigue muy obstaculizada. Los tratamientos contra el cáncer solo se restauran parcialmente, el servicio de correo electrónico es irregular, los registros digitales de los pacientes son en gran parte inaccesibles. Las personas abarrotan las salas de emergencia para las pruebas de laboratorio y de diagnóstico porque sus médicos de atención primaria no pueden ordenarlas. Hasta el jueves, el 42% de los 4.000 servidores informáticos del sistema aún no habían sido descifrados. Los delincuentes entregaron la clave de descifrado del software una semana después del ataque, luego de una oferta inusual de la embajada rusa de "ayudar con la investigación", pero la recuperación ha sido un trabajo penoso. "Una clave de descifrado no es una varita mágica o un interruptor que pueda revertir repentinamente el daño", dijo Brian Honan, uno de los principales consultores de ciberseguridad de Irlanda. Cada máquina recuperada debe ser probada para asegurarse de que esté libre de infecciones. Los datos indican que la mayoría de las víctimas de ransomware pagan. La aseguradora Hiscox dice que algo más del 58% de sus clientes afectados pagan, mientras que el principal corredor de seguros cibernéticos Marsh McLennan calculó la cifra en aproximadamente el 60% para sus clientes estadounidenses y canadienses afectados. Pero pagar no garantiza nada cercano a la recuperación total. En promedio, los pagadores de rescates recuperaron solo el 65% de los datos encriptados, dejando más de un tercio inaccesible, mientras que el 29% dijo que solo recuperaron la mitad de los datos, encontró la firma de ciberseguridad Sophos en una encuesta a 5.400 tomadores de decisiones de TI. de 30 países. En una encuesta a casi 1300 profesionales de la seguridad, Cybereason descubrió que 4 de cada 5 empresas que optaron por pagar rescates sufrieron un segundo ataque de ransomware. A pesar de ese cálculo, las empresas adineradas con protección de seguros tienden a pagar. Colonial Pipeline pagó casi de inmediato el mes pasado para que el combustible fluyera de regreso a la costa este de EE. UU., Antes de determinar si sus copias de seguridad de datos eran lo suficientemente sólidas como para evitar el pago. Más tarde, el goliat de procesamiento de carne JBS pagó 11 millones de dólares para evitar una posible interrupción del suministro de carne de EE. UU., Aunque sus copias de seguridad de datos también demostraron ser adecuadas para que sus plantas vuelvan a estar en línea antes de que se produzcan daños graves. No está claro si la preocupación por el vertido de datos robados en línea influyó en la decisión de pago de cualquiera de las empresas. Colonial no dijo si los temores de que los 100 gigabytes de datos robados terminen en el ojo público influyeron en la decisión de pago del director ejecutivo Joseph Blount. El portavoz de JBS, Cameron Bruett, dijo que "nuestro análisis mostró que no se extrajeron datos de la empresa". No dijo si los delincuentes afirmaron en su nota de rescate haber robado datos. Las autoridades irlandesas eran plenamente conscientes de los riesgos. Los delincuentes afirman haber robado 700 gigabytes de datos. Hasta el momento, no ha aparecido en línea. La exposición pública de dichos datos puede dar lugar a demandas judiciales o pérdida de la confianza de los inversores, lo que la convierte en un maná para los delincuentes. Una banda de ransomware que buscaba extorsionar a una importante corporación estadounidense publicó una foto desnuda del hijo adulto del director ejecutivo en su sitio de filtración la semana pasada. La representante Carolyn Maloney, presidenta del Comité de Supervisión y Reforma de la Cámara de Representantes, solicitó por escrito conocer más sobre los casos de JBS y Colonial, así como de CNA Insurance. Bloomberg News informó que CNA Insurance entregó $ 40 millones a los delincuentes de ransomware en marzo. El demócrata de Nueva York dijo que "el Congreso debe analizar detenidamente cómo romper este círculo vicioso". Reconociendo la falta de apoyo para una prohibición de rescate, el presidente del Comité de Inteligencia del Senado, Mark Warner, demócrata de Virginia, y otros legisladores quieren al menos exigir una mayor transparencia a las víctimas de ransomware, que a menudo no informan de los ataques. Están redactando un proyecto de ley para que la notificación de infracciones y el pago de rescates sean obligatorios. Deberían informarse dentro de las 24 horas posteriores a la detección, y el poder ejecutivo decidirá caso por caso si hace pública la información. Pero eso no protegerá a las víctimas desprevenidas de la posible quiebra si no pagan. Para eso, se han presentado varias propuestas para brindar asistencia financiera. El Senado aprobó este mes una legislación que establecería un fondo especial de recuperación y respuesta cibernética para brindar apoyo directo a las organizaciones públicas y privadas más vulnerables afectadas por ciberataques e infracciones importantes.
AmerAsia Company - Beijing AmerAsia China IT Consulting – Data Drill – CaliCoin.io – AmerAsia Report – Reciprocity Project