Abordando el problema del ransomware sin prohibir los pagos de rescate.

Antes de la elección general de 2024, el gobierno del Reino Unido estaba considerando la implementación de reglas más estrictas relacionadas con los pagos de rescate por ransomware, incluso la posibilidad de prohibir estos pagos por completo. La razón de esta medida sería una acción decisiva para desmantelar el modelo de negocio de los extorsionistas cibernéticos. Sin embargo, el mensaje sobre los pagos de rescate resulta, por lo menos, contradictorio. En el Reino Unido, el NCSC ha dejado claro que las empresas no deberían pagar rescates, aunque las pólizas de seguros recomendadas por el esquema Cyber Essentials del gobierno dicen lo contrario, ya que cubren pagos por extorsión. Esto, a su vez, financia directamente la actividad criminal cibernética y permite que prospere.

El debate sobre si pagar o no el rescate es complejo. En Francia, por ejemplo, el hospital CHCSV optó por no pagar a pesar de sufrir una grave interrupción operativa. En contraste, otras organizaciones, como Change Healthcare en EE. UU., decidieron pagar $22 millones a los atacantes. Este desenlace difiere entre el sector público y el privado, ya que cuando las entidades públicas optan por pagar, esos fondos provienen del dinero de los contribuyentes. Por este motivo, varios estados en EE. UU. han prohibido el pago de rescates por parte de organizaciones públicas.

En el Reino Unido, sin embargo, hay poca transparencia sobre los pagos de rescates. A diferencia de EE. UU., que cuenta con datos gubernamentales oficiales al respecto, en el Reino Unido la información sobre pagos suele provenir de informes de la industria. Reportes indican que un 85% de las pequeñas y medianas empresas (PYMEs) han pagado un rescate, mientras que un 69% ha hecho lo mismo en el último año. No pagar un rescate puede resultar más costoso a largo plazo, como lo demostró MGM Resorts, que no pagó a sus atacantes pero luego enfrentó gastos que ascendieron a $110 millones. De manera similar, el incidente de WannaCry en 2017 impactó a miles de hospitales del NHS, con costos de recuperación que alcanzaron los £92 millones.

Mientras que las víctimas de ransomware continúan debatiendo sobre pagar o no, se estima que el mercado de seguros cibernéticos en el Reino Unido alcanzará los $1.35 mil millones en 2024, y $20.88 mil millones a nivel global, ya que las empresas buscan asegurarse ante esta amenaza. Los aseguradores, generalmente, tienden a optar por la opción menos costosa: pagar el rescate. Sin embargo, esto contribuye a perpetuar la pandemia global de cibercrimen, y según Chainalysis, los pagos por ransomware superaron la marca de $1 mil millones en 2023.

Aunque algunos sostienen que el ransomware se ha vuelto más común gracias a una mejor orientación por parte de los criminales cibernéticos, cabe preguntarse si no es una coincidencia que el crecimiento del sector de seguros coincida con el aumento de actividades delictivas digitales.

Con respecto a la respuesta adecuada ante ataques de ransomware, la opinión general es que pagar debe ser el último recurso, salvo en situaciones donde haya un riesgo para la vida. Las decisiones motivadas por la facilidad de pago o por evitar interrupciones en el negocio no justifican el acto de pagar, ya sea que el pago salga de la caja de la empresa o de un seguro.

Una prohibición total de los pagos de rescate podría ser una medida en la dirección correcta, pero solventa solo una parte del problema y podría parecer una estrategia de 'whack-a-mole', donde los atacantes podrían cambiar sus tácticas. Alternativas como la regulación de la industria de criptomonedas y el cierre de corredores de vulnerabilidades podrían ser más efectivas. Por ejemplo, dado que la mayoría de los cibercrímenes se monetizan a través de criptomonedas, regular este sector podría ser una mejor opción que simplemente prohibir los pagos.

Además, se sugiere que las decisiones sobre el pago de rescates se trasladen a un organismo independiente, garantizando que las elecciones se basen en el riesgo y no en el costo. No obstante, sigue siendo incierto si una entidad como un tribunal podría tomar decisiones rápidas en estas situaciones.

La transformación digital se aceleró durante la pandemia, y los ataques cibernéticos basados en extorsión han crecido, impulsados por la criptomoneda. El principal desafío para los aseguradores es la falta de datos, lo que provoca que adapten continuamente sus requerimientos y aumenten las primas de forma acelerada. Cabe señalar que tener un seguro puede hacer que un negocio sea visto como un objetivo más atractivo, ya que los criminales cibernéticos saben que podrían obtener su pago.

Por ello, es vital que las empresas mantengan una postura sólida de ciberseguridad, lo que les ofrecerá la mejor protección posible, ya tengan o no un seguro. Asimismo, los aseguradores que comprenden el riesgo a través de datos suelen exigir a las empresas la adopción de tecnologías y procesos que reduzcan este riesgo, tales como sistemas de respaldo en la nube y autenticación multifactor.

La relación entre los seguros cibernéticos y la ciberseguridad se presenta como inseparable; ambos sectores están evolucionando hacia una sinergia que, sin embargo, enfrenta un obstáculo significativo: la financiación del cibercrimen a través de los pagos de rescates por parte de los aseguradores, los cuales deberían detenerse a menos que haya circunstancias excepcionales.