Al hablar de ransomware, lo normal y lo correcto es mencionar que pagar el rescate no es una buena opción. Y hay varias razones para ello, algunas de índole ético y otras de carácter práctico. Las primeras se resumen en que pagar a los delincuentes hace que su «negocio» sea rentable y, por lo tanto, sustenta su actividad delictiva. Como ocurre con cualquier otra actividad comercial, si no se generan los ingresos necesarios para sostenerla, tarde o temprano termina por desaparecer.
Y si hablamos de las razones de carácter práctico, también podemos resumirlas en que, aunque los ciberdelincuentes nos digan por activa y por pasiva que el pago del rescate supondrá el final de sus acciones, realmente nunca tendremos una garantía real de que es así. ¿Qué nos garantiza que, entre los archivos recuperados al pagar el rescate, no se encuentra de nuevo el mismo patógeno con el que se inició el ataque? Y aún sin ser así, los atacantes ya tendrán constancia de que somos proclives a pagar frente al ransomware, lo que nos pone en su punto de mira para futuros ataques.
Y, sin embargo, bajando de la atalaya y observando la casuística de cada ataque, es imposible negar que, en ocasiones, se puede entender que las víctimas tomen la decisión de pagar frente al ransomware. Y es que en algunas ocasiones, los daños no vienen provocados exclusivamente por la interrupción de las actividades de la víctima, sino por los efectos que puede tener una exfiltración de datos.
Ya lo hemos contado en muchas ocasiones: una de las evoluciones más efectivas y siniestras que experimentó el ransomware fue cuando los ataques dejaron de limitarse al cifrado de los activos digitales, y se añadió la exfiltración de los mismos. Y es que una buena política de backups, sumada a planes de contingencia pueden hacer frente ante el bloqueo, pero no ante las repercusiones de que esos activos puedan caer en malas manos.
Y es eso, precisamente, lo que me hace preguntarme si la versión oficial de lo que ha ocurrido en Lafayette es la historia completa o, por contra, algún detalle se ha perdido por el camino. La historia es sencilla, y no es la primera vez que ocurre algo así (ya te contamos los casos de Weiz, Austria y Florence, Alabama): la pequeña ciudad de Lafayette, Colorado, ha sido víctima de un ataque de ransomware, una circunstancia y consecuencias que se detallan en la página web oficial de la localidad.
Y en dicha página se indica que, tras tomar las medidas necesarias para evitar la propagación del patógeno y al estudiar consecuencias y costes de intentar recuperar la normalidad, finalmente optaron por pagar el rescate, de 45.000 dólares, por obtener las claves necesarias para poder recuperar todos los activos digitales secuestradas en esta acción de ransomware. Una acción en la que han participado tanto el personal de las instituciones de Lafayette como expertos en ciberseguridad.
Y mis dudas tienen que ver con que, por norma general, los estudios que he leído al respecto indican que, al final, el coste económico que supone recuperarse de un ataque de ransomware tiende a ser superior cuando se paga, al que hay que afrontar cuando se opta por recuperar los activos a partir de copias de seguridad. Así pues, y aunque solo son teorías, se me ocurren dos posibilidades:
- En realidad no disponían de copias de seguridad.
- Además del cifrado, los atacantes exfiltraron los activos digitales.
Ninguno de ambos puntos se aclaran en el comunicado, si bien también es cierto que la cuantía del rescate es bastante inferior a las vistas en otros casos similares. Además, según se indica en la comunicación oficial, no ha sido un ataque dirigido de manera específica, lo que hace pensar que podría tratarse de una campaña masiva, de las que buscan llegar al mayor número de potenciales víctimas, y que afectan de igual manera a empresas, profesionales y particulares.
Lo que, por lo tanto, apunta a la primera de las dos teorías… y realmente sorprendería que fuera así, pero no tanto. Desgraciadamente las copias de seguridad tienden a ser una medida que no se tiene en cuenta hasta que es demasiado tarde. Y un ataque de ransomware suele ser un recordatorio tardío de lo importantes que son los backups.
La entrada Ransomware en Lafayette, la ciudad que decidió pagar el rescate es original de MuySeguridad. Seguridad informática.