Especialistas en ciberseguridad y tecnologías de la información.

Una empresa 100% mexicana.

Poussin 4, Mixcoac, CDMX
55-62-68-90-82
contacto@i-networks.com.mx
55-2132-9734
Poussin 4, Insurgentes Mixcoac, CDMX
contacto@i-networks.com.mx

Pagos de ransomware

Pago de ransomware

Del incidente técnico a la responsabilidad legal.

 

| Por Mtra. Elizabeth Tenorio

 

 

¿Estás listo para explicar un pago de ransomware ante auditores, autoridades fiscales, clientes y otro tipo de reguladores?

¿Pagar te convierte en un objetivo recurrente para los grupos de cibercriminales?

¿Sabes si el pago del rescate puede financiar otras conductas ilícitas?, o tal vez consideras que ¿no es algo de lo que debas enterarte?

¿Qué pasa si pagas y aun así filtran la información de tu organización?

Si mañana te preguntan ¿por qué pagaron?, ¿tienes una justificación documentada y defendible?

El pago ¿lo estás realizando para cubrir deficiencias en tus estándares o protocolos de seguridad de la información?

 

 

La seguridad de las organizaciones y la reputación son temas que revisten una naturaleza de carácter sensible pues de ello depende el ingreso económico de sus colaboradores, la continuidad de las operaciones, el cumplimiento regulatorio en todos sus ámbitos, así como múltiples oportunidades comerciales.

 

Hoy en día, vemos con mayor frecuencia noticias sobre diversos ataques cibernéticos, y en gran medida esto se debe al aumento de este tipo de eventos, sin embargo, la cantidad de incidentes de los cuales nos “enteramos”, y los que realmente ocurren es mucho mayor. Ante esta situación y los efectos realmente adversos de un incidente, previendo que el valor de la organización en el mercado no se afecte, existe una pregunta que no es fácil de responder cuando ha ocurrido un ransomware, ¿pagamos o no pagamos el rescate de la información?

 

El contexto de esta pregunta es altamente relevante, de forma inicial la respuesta el propietario de una empresa podría ser un “si” rotundo, si la operación se ha detenido en un 90% o 100%; para otra organización podría ser un “no” rotundo si considera que pertenece a un sector gubernamental o tal vez, el monto del rescate excede sus capacidades de pago, entre otros factores, sin embargo, el hecho real es: tomar una decisión crítica bajo una inmensa presión.

 

El contexto regulatorio puede darnos una visibilidad de esta pregunta, y poder incidir en la toma de decisiones, pues al momento de desconocer o ignorar las implicaciones legales, el costo de este pago podría generar una afectación mucho mayor a la esperada, toda vez que un ataque de ransomware, tiene fuertes implicaciones internacionales, pues los daños o afectaciones trascienden fronteras, sobre todo si consideramos inicialmente que en casi el 90% de los casos los atacantes no se encuentran en el país de la organización afectada, además de que éstos actores también pueden ser de diferentes nacionalidades.

 

Bajo esta perspectiva, existen acciones que a nivel internacional se han realizado para contrarrestar esta amenaza, en esta ocasión me refiero de forma específica a la Iniciativa contra el Ransomware (CRI. Counter Ransomware Initiative). Esta iniciativa, surgió en 2023 con la finalidad de fortalecer la cooperación internacional frente al crecimiento del ransomware, para ello, se dio a la tarea de reunir a diversas entidades gubernamentales (agencias de política pública, policiales y operativas) de todo el mundo, para reunir información que permita defenderse frente a este fenómeno, al tiempo de incrementar la resiliencia frente a ciberdelincuentes maliciosos. Lo interesante de éste grupo de trabajo es que también busca el intercambio de inteligencia de ciberamenazas para promover directrices y buenas prácticas que permitan prevenir, responder y reducir el impacto de éste ataque.

 

Derivado de la generación de inteligencia y el análisis de los diferentes esquemas de operación y patrones en los ataques, han brindado recomendaciones valiosas para poder responder ésta difícil decisión, mencionaremos algunas consideraciones:

  1. 1. Preparación ante ataques e incidentes de seguridad:
    Los planes de prevención son de vital importancia para prepararse para cualquier tipo de incidente, sobre todo aquellos de ransomware, pues al conocer el plan de continuidad de negocio, de comunicaciones, contar con políticas y procedimientos, existe una mayor certeza de las acciones que se deben de realizar antes, durante y después de un incidente de esta naturaleza.
  2. 2. Consideraciones legales.
    Es importante conocer si en el país donde nos encontramos el pago para el sector público o privado es sancionable, en algunas legislaciones puede considerarse como apología del delito, financiamiento al terrorismo, o bien colaboración con el crimen organizado, de ahí, resulta relevante que antes de contratar a un “negociador”, se cuente con una visión amplia de la tipificación delictiva y de los procesos iniciados en otros casos, para no incurrir en faltas graves a políticas contra el lavado de dinero o anticorrupción, u otros delitos graves del ámbito internacional.
  3. 3. Informar del incidente a las autoridades competentes.
    Se tiene la creencia de que debe existir en la legislación un artículo que de forma específica diga que todas las organizaciones con independencia del sector en el que desempeñen sus funciones tienen la obligación de realizar un reporte del incidente o en su caso serán sancionados, y que al no existir lo anterior, no hay un deber de notificar, lo cual es absolutamente falso. En México los artículos 211-Bis 1 al 211 BIS 7 del Código Penal Federal, establecen diversos supuestos en los que el delito de acceso ilícito puede ser investigado y perseguido, además es necesario considerar que en muchos casos existe una grave filtración y exposición de datos personales y de datos personales sensibles que hacen posible la aplicación de sanciones por las autoridades correspondientes. No obstante, la autoridad puede servir de apoyo para las acciones de contención inicial, recopilar evidencia digital y con ello generar políticas criminales que incrementen la resilencia de todas las organizaciones.
  4. 4. Due Diligence:
    Entender riesgos, cumplir obligaciones y evitar negligencia podrán dar un panorama de respuesta y recuperación ante el incidente pues ello también nos dará un primer diagnóstico de nuestra postura operativa y reactiva frente a un incidente.
  5. 5. Alternativas al pago de un ransomware:
    Será necesario considerar el impacto operativo y reputacional del incidente, pues es un hecho que a pesar de ser personas morales, hay una clara victimización, pues hoy en día la información es un activo esencial y que permite el desarrollo de la sociedad de la información, por tanto, hay que preguntarnos si al realizar el pago ¿en realidad nos regresarán la información?, los atacantes ¿habrán dejado una puerta trasera de entrada para posteriormente volver a realizar el ataque? ¿podemos contar con ayuda de expertos nacionales e internacionales para recuperar la operación? ¿existe la pérdida de vidas derivado de la imposibilidad de acceder a la información?, ¿el costo del pago, supera la operatividad y los adeudos que podría generar el no pago?, y aunque este análisis podría requerir de mayor tiempo y consideraciones por parte de muchas áreas, actuando bajo una crisis de alto riesgo, es posible que soslayemos las consecuencias.

 

Tal vez, estemos hablando de un mundo “ideal” o una actuación “ideal”, frente a un estado de necesidad o una crisis severa, sin embargo, actuar de la misma forma en la que hoy lo hemos estado realizando, nos ha llevado a estos escenarios, donde cada día los incidentes aumentan, las empresas enfrentan pérdidas millonarias, las familias sufren el desempleo por la desaparición de sus fuentes de trabajo y en casos más graves, hay pérdida de vidas por incidentes de tipo ransomware.

 

Los grupos de ciberdelincuentes que utilizan esta doble extorsión o bien, operan aquello que conocemos como Ransomware As a Service, operan bajo esquemas de colaboración, comunican información operativa y comparten ganancias, la pregunta es, si ellos pueden y actúan de esta forma, ¿por qué las organizaciones escondemos esta misma información y no operamos bajo el mismo esquema para seguir realizando nuestro trabajo?, ese trabajo que pudo haber llevado generaciones enteras construir.

 

Esta Iniciativa mundial, desaconseja realizar pagos por ransomware, pronunciamiento que México en su momento respaldó, dado que el pago no garantiza la recuperación inmediata ni la eliminación de datos robados, sin embargo, frente a una situación extrema puede no ser la decisión correcta, por ello, resulta esencial realizar una determinación técnica y jurídica de qué información se comprometió, verificar la veracidad de las afirmaciones del atacante, y documentar exhaustivamente las decisiones efectuadas, evidencia y acciones en registros auditables.

 

Finalmente, cualquier respuesta (pague o no se pague) debe centrarse en una investigación exhaustiva para determinar la causa raíz del incidente y medidas de mitigación, pues sin estas acciones, incrementa la probabilidad de reincidencia y por tanto de responsabilidades legales por la ocurrencia de nuevos ataques.

 

 

Mtra. Elizabeth Tenorio
Cybersecurity Legal Officer
Intelligent Networks

Fuentes

×