Sector y Asociaciones

El panorama del ransomware está cambiando

FlorCid 28 septiembre, 2022

Macarena Bandres, Risk Management Cyber Leader en

Marsh España

Los últimos meses han mostrado indicios de que el panorama del ransomware puede estar cambiando. El primero es un cambio en las tácticas de los autores de las amenazas, que cada vez de forma más frecuente, pasan de cifrar los datos a exfiltrarlos. Al mismo tiempo, hay indicios de que las organizaciones víctimas de estas amenazas son cada vez menos propensas a pagar rescates.

Sin embargo, como el panorama de las ciberamenazas cambia constantemente, quizá la única certeza sea que los ciberdelincuentes buscarán nuevas formas de amenazar a las empresas para obtener beneficios económicos.

Del cifrado de datos a la fuga de información

A medida que la normativa y las medidas de ciberseguridad evolucionan, también lo hacen las tácticas y la tecnología de los ciberdelincuentes. En los últimos años, el método dominante de los autores de estas amenazas ha sido la doble extorsión de datos, en la que cifran los datos de una organización y amenazan con hacerlos públicos a menos que se pague un rescate. Pero en los últimos meses, algunos ciberdelincuentes están modificando ese enfoque.

Desde finales de 2021, varios grupos han empleado métodos de extorsión sin ransomware. Por ejemplo, el grupo Lapsus$ se dio a conocer tras una serie de ataques de alto perfil contra objetivos que van desde organismos gubernamentales hasta grandes empresas. Lapsus$ no cifró, sino que se centró únicamente en el robo de datos confidenciales. Siguiendo sus pasos, surgió un nuevo grupo llamado Karakurt. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU. (CISA) ha publicado recientemente consejos sobre Karakurt, que también roba los datos de las víctimas y exige el pago de un rescate bajo la amenaza de publicar la información robada en Internet.

Hay varias razones posibles para este cambio de táctica. Un punto de vista optimista podría ser que el cifrado ya no representa la amenaza que suponía antes, ya que las organizaciones han mejorado sus soluciones de copia de seguridad, reduciendo la necesidad de pagar un rescate para descifrar los datos. También puede ser que los autores de las amenazas quieran pasar desapercibidos tras los ataques de gran repercusión en infraestructuras críticas, como el del oleoducto Colonial “Colonial Pipeline” en Estados Unidos, que atrajo una importante respuesta de las fuerzas de seguridad. También puede ser que sea más barato, más fácil y quizás igual de efectivo saltarse el cifrado y pasar directamente a la extorsión.

«A medida que la normativa y las medidas de ciberseguridad evolucionan, también lo hacen las tácticas y la tecnología de los ciberdelincuentes».

Esta tendencia podría tener un efecto notable en los tipos de reclamaciones de pólizas de ciberriesgos que se llevan a cabo. El abandono de la encriptación probablemente se traduzca en menos pérdidas por interrupción de la actividad empresarial. Sin el cifrado, las operaciones cotidianas de una empresa pueden continuar. Sin embargo, la infiltración en el sistema, el robo de datos y la extorsión probablemente seguirán dando lugar a importantes pérdidas financieras a las que respondería una póliza de riesgos cibernéticos o, dependiendo de las características específicas de la póliza.

Como los ciberdelincuentes se centran en el robo, es más probable que busquen datos que serían especialmente embarazosos si se filtrasen. Cuanto más sensibles sean los datos, mayor será el riesgo de que la empresa víctima se convierta en objeto de litigio por parte de los interesados y sus abogados, además de enfrentarse potencialmente a acciones regulatorias.

A pesar de estos cambios aparentes, la necesidad de una respuesta sólida a los incidentes no ha disminuido. Las organizaciones seguirán necesitando investigar y contener el compromiso y evaluar los datos que han sido robados y su impacto potencial en los interesados, la empresa y los clientes. Cuando se trate de datos personales, puede ser necesario realizar notificaciones reglamentarias, especialmente cuando se trate de datos sensibles.

Rescates: ¿pagar o no pagar?

Las organizaciones que se enfrentan a un ransomware o a una extorsión de datos deben tomar rápidamente una serie de decisiones clave, entre ellas la de pagar o no el rescate, que se ha vuelto cada vez más complejo en los últimos 12 meses.

La gran mayoría de los pagos de rescates se realizan a ciberdelincuentes con sede en Rusia. Por lo tanto, la oleada de sanciones tras la invasión de Ucrania por parte de Rusia ha aumentado la preocupación entre las empresas, incluidas las compañías aseguradoras, de que podrían infringir las sanciones al pagar o facilitar el rescate. Las organizaciones que se plantean pagar rescates deben asegurarse de que buscan el asesoramiento de expertos y llevan a cabo una exhaustiva due diligence para asegurarse de que no incumplen las leyes de financiación del terrorismo, las normas contra el blanqueo de capitales o las sanciones.

La Oficina del Comisionado de Información del Reino Unido (ICO) y el Centro Nacional de Ciberseguridad (NCSC) de Reino Unido publicaron recientemente una carta conjunta dirigida a los profesionales del derecho sobre el pago de rescates. Subrayaron que el pago de rescates para liberar la información retenida u obtener la promesa de que no se publicarán en línea no reduce el riesgo para las personas afectadas, no es una obligación en virtud de la ley de protección de datos y no se consideraría una medida razonable para salvaguardar los datos.

«La gran mayoría de los pagos de rescates se realizan a ciberdelincuentes con sede en Rusia. Por lo tanto, la oleada de sanciones tras la invasión de Ucrania por parte de Rusia ha aumentado la preocupación entre las empresas, incluidas las compañías aseguradoras, de que podrían infringir las sanciones al pagar o facilitar el rescate».

El ICO y el NCSC subrayaron que la atención de los reguladores se centra en la seguridad de la información y en las medidas adoptadas para proteger los datos, y no en el pago de rescates. El mensaje de la ICO y la NCSC es claro: desean desalentar el pago de rescates.

Esta declaración es un avance positivo porque muchas empresas que no quieren pagar un rescate pueden acabar haciéndolo debido a una preocupación equivocada de que la ICO pueda interpretar el impago como una falta de adopción de todas las medidas necesarias para evitar la publicación de los datos personales robados. Parece que este enigma será ahora cosa del pasado.

Conclusión

¿Significará el paso al robo de datos el fin del ransomware basado en el cifrado? Es poco probable. La ciberdelincuencia es un paisaje que se adapta rápidamente, y los ciberdelincuentes forman parte de un ecosistema muy rentable que evoluciona con rapidez para garantizar unos ingresos continuos. Sigue siendo fundamental reforzar las medidas de seguridad y prepararse para cualquier eventualidad.

Las pólizas de seguros de riesgos cibernéticos nunca han sido tan importantes. El aparente cambio en las tácticas de los actores de las amenazas puede alterar los tipos de reclamaciones de seguros de riesgos cibernéticos presentadas, pero la transferencia de riesgos seguirá siendo un pilar fundamental de la resiliencia cibernética.

La reciente transparencia proporcionada por el ICO sobre el pago de rescates debería aclarar la cuestión de si pagar o no. Sin embargo, pagar o no pagar sigue siendo una decisión legal, operativa, de reputación y estratégica compleja. Las organizaciones deben prepararse activamente y debatir cómo reaccionar ante una petición de rescate antes de que se produzca el suceso.

Aunque cada caso es único, la decisión de pagar un rescate se toma a veces con la falsa expectativa de que es la vía más rápida para recuperar -o la mejor manera de proteger- la información robada. Poner a prueba estos supuestos a través de simulaciones y la implementación de libros de jugadas de ransomware y planes de respuesta a incidentes puede ayudar a identificar las prioridades de la organización y los aspectos prácticos de la respuesta a incidentes.