Claves para negociar con los ciberdelincuentes
- Actualidad
Los ciberdelincuentes suelen amenazar con publicar la información robada o exigir un pago para restaurar el acceso a los datos. Una negociación bien gestionada permite a los afectados conocer mejor la situación y el perfil del atacante, cuál es su arma y evaluar el alcance del ataque.
El ransomware sigue siendo la principal amenaza en ciberseguridad. Los atacantes ya no solo bloquean datos: amenazan con publicarlos, contactan con clientes o exigen pagos en criptomonedas para restaurar accesos vitales para la organización o el negocio. Y lo hacen desde una posición de fuerza, sabiendo que muchas de estas entidades no tienen planes de contingencia y el reloj juega en su contra.
Pagar no garantiza el fin del problema, ya que el 35% y el 40% de las veces que una organización cede a la presión de un ciberataque y paga un rescate, los delincuentes no cumplen su parte del trato. Ni devuelven el acceso, ni restauran los datos o los terminan publicando de todas formas. Así lo advierte Lazarus Technology, que asegura que negociar no es claudicar, sino gestionar bien para ganar tiempo, obtener información y recuperar el control.
Una negociación bien llevada puede revelar información clave
A pesar de que la recomendación general siempre ha sido no negociar con ciberdelincuentes, desde Lazarus recuerdan que una negociación bien gestionada permite a los afectados conocer mejor la situación y el perfil del atacante, evaluar el alcance del ataque, cuál es su arma y determinar si la información ha sido robada o solamente cifrada.
La compañía recomienda que, antes de tomar cualquier decisión, las empresas adopten una estrategia de negociación basada en el control del tiempo y del mensaje. Por un lado, retrasar el proceso para evaluar la capacidad interna de recuperación y minimizar el impacto, Y, por otro, evitar respuestas que den información clave a los atacantes o que les hagan sospechar que se está ganando tiempo.
Una empresa bien asesorada puede saber cómo negociar y así obtener datos cruciales. Por ejemplo, si los ciberdelincuentes aún tienen acceso a la infraestructura, cuánto tiempo han permanecido en el sistema y si realmente poseen la información que dicen tener. Un recurso utilizado es mostrar cierta colaboración, pero con dudas técnicas, del tipo “no sé usar criptomonedas”. Lo otro es pedir una prueba de vida: que el atacante descifre un archivo como señal de que tiene la clave de acceso a la información. O bien ganar algo de tiempo con el argumento de que se necesita la aprobación de su seguro o del Consejo de Administración. Todo esto permite saber con certeza si los delincuentes están dentro o no y que, en paralelo, los equipos de ciberseguridad puedan trabajar para restaurar backups, cortar la exfiltración o montar entornos alternativos.
El CEO de Lazarus Technology, Manuel Huerta, comenta que “el objetivo de la negociación no es pagar, sino obtener información que ayude a la empresa a recuperarse y reforzar su seguridad. Es una partida de ajedrez en la que cada movimiento debe ser calculado, evitando que los atacantes tengan el control absoluto de la situación”.
