Una pandemia digital ha recorrido el mundo en 2021. Importantes ataques de ransomware han afectado a Colonial Pipeline, el operador del mayor oleoducto de la costa este de Estados Unidos, así como a la mayor empresa de procesamiento de carne de Norteamérica y al sistema sanitario de Irlanda. Los atacantes encriptan los archivos de una organización y exigen un pago para su desbloqueo. Las empresas estadounidenses han perdido en 2021 cientos de millones de dólares debido a ese problema, según el Departamento de Seguridad Nacional. En junio, el asunto llegó a dominar la primera cumbre celebrada entre los presidentes Joe Biden y Vladímir Putin. En 2022, los gobiernos y las compañías contraatacarán, pero la pandemia seguirá causando estragos.

Hartos de los perjuicios económicos causados por el ransomware, los gobiernos van a pasar al contraataque. Muchos países han desarrollado ciberfuerzas ofensivas dirigidas por organismos militares y de inteligencia. Han sido diseñadas pensando en adversarios estatales, pero son perfectamente capaces de hacer frente a oponentes más pequeños.

En marzo de 2021, ocho países occidentales, coordinados por la agencia policial de la Unión Europea, atacaron y desmantelaron la botnet Emotet, una red de servidores secuestrados utilizada por los ciberdelincuentes. El FBI ha llevado a cabo operaciones similares. Estas tácticas agresivas serán cada vez más habituales. De hecho, algunos Estados quizás consideren que la demostración de fuerza contra los delincuentes es una forma de bajo riesgo de demostrar sus capacidades cibernéticas ante los rivales.

En el caso de que los gobiernos no puedan atrapar a los atacantes, la siguiente mejor opción es recuperar los rescates. Casi siempre, los rescates se pagan en criptomonedas depositadas en cuentas anónimas que son difíciles de desenmascarar. A pesar de ello, el gobierno estadounidense logró recuperar la mayor parte del rescate pagado por Colonial Pipeline tras hacerse de algún modo con la contraseña del alijo de bitcoins, la criptodivisa en la que se pagó el rescate. Ese éxito animará a otros organismos policiales a vigilar más de cerca las criptomonedas.

Casi siempre, los rescates se pagan en criptomonedas depositadas en cuentas anónimas que son difíciles de desenmascarar. A pesar de ello, el gobierno estadounidense logró recuperar la mayor parte del rescate pagado por Colonial Pipeline tras hacerse de algún modo con la contraseña del alijo de bitcoins, la criptodivisa en la que se pagó el rescate. Ese éxito animará a otros organismos policiales a vigilar más de cerca las criptomonedas.

La línea que separa la ciberdelincuencia de la ciberguerra es borrosa

Sin embargo, en la mayoría de los casos, los rescates desaparecerán para siempre. Así que algunas empresas están buscando otras formas de reparación. Más de un tercio de los altos ejecutivos encuestados en marzo de 2021 por la reaseguradora Munich Re consideraba contratar una póliza de ciberseguro que cubriera las pérdidas relacionadas con el ransomware. El mercado mundial de los ciberseguros alcanzó un valor de 7.000 millones de dólares en primas brutas en 2020. Se espera que supere los 20.000 millones de dólares en 2025, según la compañía de análisis GlobalData, porque las empresas se están lanzando a protegerse contra pérdidas devastadoras.

Sin embargo, la línea que separa la ciberdelincuencia de la ciberguerra es borrosa: algunos atacantes son agentes libres, otros están respaldados por Estados y otros se sitúan en un terreno intermedio. De modo que las víctimas se arriesgan a perder las indemnizaciones si el ataque es considerado como un acto de guerra, tradicionalmente exento de cobertura. A muchos gobiernos les preocupa que los pagos de los seguros enriquezcan a los ciberdelincuentes y alimenten más ransomware.

Es la mayor operación contra la ciberdelincuencia.

Algunos atacantes se aprovechan incluso del mercado determinando con exactitud la cuantía del seguro de una compañía y adaptando a ella su demanda de rescate, señala James Sullivan, analista del centro de estudios británico Royal United Services Institute. Sullivan afirma que las aseguradoras deben acordar unas normas mínimas de seguridad para que las compañías no elijan proveedores demasiado laxos. Eso también debería incitar a los titulares de pólizas a reforzar sus defensas.

Además, los gobiernos pueden considerar una opción más drástica: ilegalizar los rescates digitales, del mismo modo que muchos países penalizan el pago de rescates terroristas en el caso de secuestros. En la actualidad, las empresas son libres de hacer lo que quieran; algunos ciberrescates son incluso desgravables. Varios estados estadounidenses están tramitando leyes para prohibir esos pagos. No serán los únicos.

Sin embargo, es poco probable que la prohibición de los rescates funcione. La medida penalizará a las empresas más pequeñas, que carecen de los recursos y la experiencia necesarios para reforzar sus redes, y harán que los pagos de rescates pasen a la clandestinidad. Un enfoque más útil sería exigir a las empresas que informen de las intrusiones y los pagos de rescate, puesto que ello obligaría a sacar el tema a la luz. Y, con el tiempo, más empresas se darían cuenta de que el pago de rescates no garantiza la recuperación de los datos.

El ransomware forma parte de un problema mayor. Los ciberdelincuentes son versátiles y sus métodos son adaptables. El acceso ilícito a un sistema puede utilizarse para mantener los datos como rehenes, como en el caso del ransomware, o para organizar un atraco digital. Las bandas de ransomware se están dando cuenta de que inutilizar un oleoducto estadounidense no es la mejor manera de pasar inadvertidas. Si el ransomware se vuelve demasiado arriesgado o menos rentable, los hackers quizás dirijan su atención hacia, por ejemplo, el robo de criptomonedas.

En última instancia, la lucha contra la ciberdelincuencia exige hacer bien lo básico: educar a los empleados para que desconfíen de los correos electrónicos sospechosos, mantener el software actualizado y hacer copias de seguridad de los datos. Un tipo de cambio cultural así de prosaico no resulta tan atractivo como las ciberrepresalias ni tan satisfactorio como la prohibición de los rescates, pero es la única solución a largo plazo.

¡Comparte esta entrada, elige tu plataforma!

Deja una respuesta

Tu dirección de correo electrónico no será publicada.