Desde la Comisión desafíos del futuro del Senado de Chile, uno de sus integrantes escribió esta columna titulada «Dilemas del Ransomware».
Esta entrada salió primero en TrendTIC
Un ransomware o ‘secuestro digital” es una acción maliciosa que restringe el acceso a determinadas partes, sean estos equipos, programas o archivos del sistema infectado y/o amenaza con exponer información sensible que ha sido sustraída (extorsión), pidiendo un rescate a cambio de una clave o llave de encriptación para eliminar esta restricción, o no exponer lo sustraído.
Dilemas del Ransomware
Introducción.
El ransomware se ha transformado en un serio problema de ciberseguridad, quizás el más temido pues sus resultados pueden ser devastadores. Un secuestro digital, o una exposición de información sensible puede tener efectos catastróficos en el desempeño de una institución, o incluso a nivel personal.
En la actualidad es uno de los mayores riesgos de ciberseguridad con una creciente expansión por lo rentable que resulta ser, así como por su disponibilidad como “servicio” en la denominada dark web. Sus ejecutores van desde hackers tipo lobo solitario hasta organizaciones de hackers pertenecientes al crimen organizado, o incluso reparticiones adscritas a algún gobierno extranjero.
Las cifras involucradas en pagos de rescates por ransomware solo en el primer semestre de 2021, rozaron los US$ 600 millones, con un marcado crecimiento respecto de años anteriores. Las cifras para 2022 sin duda superan con creces el guarismo anterior. Y ello sin dejar de mencionar los años asociados a los efectos del secuestro, que superan los US$ 20 billones y en aumento para más que multiplicar por 10 el daño al 2031, de acuerdo a los especialistas.
Vea también: Subway sigue receta para duplicar aperturas y crecer en Perú
El impacto de un ataque de ransomware va mucho más allá de la organización cuyos sistemas están capturados. Perjudica a todos aquellos que dependen de los bienes y servicios de la organización que los delincuentes han atacado.
En general se trata de un proceso que puede tener múltiples vectores de entrada, y demorar meses en activarse y llegar al desagradable resultado final.
Hay ejemplos diversos sobre ataques de ransomware a diversas instituciones, que van desde sistemas de energía (por ejemplo, el Colonial Pipeline en USA, el HSE (salud) en Irlanda, por mencionar algunos conocidos), los cuales han tenido tratamientos diversos con el fin de revertir sus efectos.
El secuestro digital tiene implícito el pago de un rescate, en la práctica significa que hay un lucrativo negocio tras el ransomware, cuyos beneficiarios por definición de la acción son delincuentes, los cuales pueden destinar su botín a otras actividades delictuales, terroristas o peor aún, financiar desarrollos bélicos que podrían poner en riesgo la seguridad de millones.
La exposición de datos que justifican la extorsión puede ser también filtrados prematuramente a la red con el fin de generar daño reputacional y hacer creíbles las amenazas.
Ahora bien, el pago de un rescate se transforma en una acción que deposita la confianza en el delincuente, que gracias al pago y mediante el uso de medios de desincriptación, se podrá restaurar la condición inicial de los sistemas, o que la información sustraída no será expuesta. Ciertamente es una apuesta de alto riesgo, de resultado incierto, y que puede dar paso a nuevos ataques a la misma institución: ¡si pago una vez, lo hará de nuevo!.
Los efectos de un ataque de ransomware que compromete el normal funcionamiento de una institución, ciertamente lleva a la alta dirección a evaluar las consecuencias y los daños que puede causar en la operación normal de la institución, y considerar las medidas que deben tomarse para mitigar los efectos, recuperar la información, y controlar el eventual daño económico y eputacional del evento. Las evaluaciones toman debida consideración del marco legal vigente, las instrucciones de los reguladores y cumplimiento normativo, las coberturas de seguros, los efectos tributarios, de la exposición en la cadena de valor de la disponibilidad de los sistemas y del efecto de un ataque en los “stakeholders”.
En resumen, un Ransomware es un tipo de incidente de ciberseguridad de la mayor gravedad que puede tener consecuencias catastróficas, que ponen a prueba la resiliencia de la institución afectada, y provocan un dilema ético sobre la forma de actuar en estos casos.
Finalmente, este artículo permite explicar y justificar en términos amplios la prohibición del pago de rescates por este tipo de ataques, apelando a la necesaria resiliencia que deben tener los sistemas informáticos.
Cómo opera un Ransomware
En palabras muy simples un ransomware, es la principal pesadilla que se hace realidad dentro del ciberespacio; es lo más cercano a un ciberataque bélico por las consecuencias potenciales y daños que puede ocasionar, desde lo operacional, lo reputacional, e inclusive lo físico. Atenta contra los DDHH de las personas, y dependiendo de lo que es comprometido, puede clasificarse como un acto de ciberterrorismo, de efectos devastadores en una sociedad altamente dependiente de la tecnología y las comunicaciones.
Y su manifestación efectiva suele tomar un tiempo desde la infección, la que puede venir incluida en un correo con algún anexo, un phishing, un link sospechoso, el uso de una memoria portable, o en un robo de algún elemento físico indispensable. En fin, son múltiples los mecanismos que puede utilizar un programa que aproveche una vulnerabilidad para hacer lo suyo.
Vea también: ¿Qué es una base de datos en la nube y cuáles son sus riesgos?
Y puede manifestarse de muchas formas: bloqueo de sistemas, negación de acceso a datos, negación de servicios, comunicaciones, etc. Literalmente, encripta la data con una clave (o llave de encriptación) , la que se puede desencriptar con el uso de otra llave.
Ocurrida la “toma” del sistema o de su información, por algún medio visual o escrito informa sobre la forma de resolver el asunto. En el caso de la extorsión, se suele dar una “prueba de vida”, es decir algún segmento de información sensible, que solo puede estar dentro de los sistemas propios… Para ambos casos, la solución es el pago de un rescate, normalmente en criptomonedas por ser virtualmente imposibles de rastrear el destino. Sin embargo, podrían darse otras condiciones como la autodenuncia por alguna situación puntual (un tipo de negocios considerados ilícitos o inmorales por los atacantes), una declaración pública útil a sus propósitos (nosotros ( la victima) apoyamos tal o cual causa), una donación altruista, u otras.
El Momento de la Verdad
Manifestada la “toma”, surge la evaluación de los pasos a seguir, considerando las multiples variables que permitan obtener un resultado aceptable y superar el ciberataque:
- Informar a las autoridades competentes (sectoriales) del evento conforme a los protocolos establecidos para estos efectos.
- Aplicar los protocolos previstos en este caso para reaccionar al ataque
- Evaluar los riesgos y consecuencias:
- Plazos de respuesta
- Legales y Normativas
- Tributarias
- Patrimonial
- Impacto en terceros (cadena de suministros, usuarios, dependientes)
- Impacto en stakeholders
- Reputacional
- Ética de decisiones
- Decisión final
La decisión final
El efecto de un ransomware ciertamente estará determinado por el trabajo previo que realice la institución con el propósito de tener la máxima RESILIENCIA, donde estará la clave del éxito o contención del ransomware sin pagar el rescate. Es en este concepto, donde deben focalizarse los esfuerzos de las instituciones para minimizar las vulnerabilidades.
Una adecuada resiliencia, trabajada y testeada minimizará los potenciales efectos de un ataque tipo ransomware, ya sea detectándolo y neutralizándolo en etapas de evolución, o en su defecto con la mejor restauración posible que pueda lograrse sin el pago de un rescate
Construyendo Resiliencia
Una definición amplia establece que:
- Resiliencia: Capacidad de las redes o sistemas de información para seguir operando luego de un incidente de ciberseguridad, aunque sea en un estado degradado, debilitado o segmentado; y la capacidad de las redes o sistemas de información para recuperar sus funciones después de un incidente de ciberseguridad”.
La definición invita a pensar cómo debe plantearse la ciberseguridad, y que debe ser vista como un edificio de 8 pisos ( modelo OSI), donde si no se protege la entrada, o se ingresa con los pies con barro, por más que se limpie, la basura llegará a los pisos superiores.
Construir resiliencia demanda un trabajo metódico y constante que se inicia con la adecuada confección de un Sistema de Gestión de la Seguridad de la Información (SGSI) , el que debe incluir desde los pasos iniciales de ciber higiene, las políticas y procedimientos sobre el manejo de la información (encriptación o accesibilidad a información sensible) , sus respaldos y las pruebas reales de recuperación efectiva desde los mismos (son efectivos los respaldos, cuales son los procedimientos de reposición, en que tiempos, que tan compatible es con los cambios de hardware, y un largo etc.), sus sistemas de firewall, antivirus, sistemas de análisis de datos, sistemas de encriptación así como medios seguros de almacenamiento de datos fuera de línea (desconectados físicamente). A lo anterior se debe sumar la constante capacitación, las pruebas de operaciones, la respuesta de los usuarios a pruebas de engaños simulados (por ej.: phishing controlado), los simulacros y ejercicios de pruebas periódicas de los sistemas frente a escenarios de ataques. En otras palabras, mejoramiento continuo.
Vea también: Ley de Atención al Cliente: ¿cómo convertirla en una oportunidad?
La resiliencia es parte vital de la ciberseguridad, y en esto están todos los usuarios de los sistemas involucrados, pues la mayoría de los ciberataques, desafortunadamente tienen una componente humana importante, que puede ser simple negligencia o esconder intencionalidad. Un simple descuido, un procedimiento no aplicado o una confianza excesiva de seguridad tiene la potencialidad de derivar en un ransomware.
Es importante destacar que construir resiliencia es un proceso interno de cada institución, cuya responsabilidad radica en los cuadros administrativos superiores, y que pueden implicar inversiones importantes, las que obviamente darán sus frutos al hacer menos vulnerables los sistemas y equipos. A mayor preparación, mejor ciberseguridad.
Por último, es importante destacar que se está dando un fenómeno interesante en la industria aseguradora mundial, al estar emigrando del negocio de la cobertura de los riesgos cibernéticos por los altos riesgos que ello implica (casi contratar un siniestro, con primas impagables o simplemente considerándolos insegurables). Esto es una señal muy potente que implica que las instituciones no tendrán como canalizar sus riesgos económicos por medio de pago de primas de seguros, y deberán enfrentar este tipo de siniestros con recursos propios. (análogo a la restricción para seguros por sismos para construcciones de adobe).
El dilema del rescate
El secuestro digital tiene una intencionalidad ineludible: obtener un pago para liberar la información de los sistemas o no proceder a su exposición, según se el caso de extorsión planteada.
Un secuestro siempre tiene una connotación de ilegalidad, de un acto que atenta contra las personas o los medios físicos (por ej.: secuestro de aviones), y en ese sentido, aunque no media una acción física, sino virtual, los modelos son absolutamente equivalentes. Por su parte, la extorsión o blackmailing, también es un fenómeno ilegal, que amenaza con disponibilizar a terceros información que se cataloga de sensible.
La alternativa dada por el ciberdelincuente es una: para recuperar la funcionalidad o no exponer, se debe pagar un rescate para el acceso a una llave de desencriptar, o una eventual posible prueba de que el material sensible de exponer ha sido destruido.
La decisión de pagar por un rescate, por aquello que legítimamente es propio, pudiera parecer económicamente aceptable, pero se topa con una realidad que debe tomarse en cuenta:
¡No es una negociación!
En efecto, el secuestrador extorsionador está en una posición de evidente ventaja: él sabe sobre lo que está afectando y como lo está haciendo. Sabe de los efectos que puede tener, y de los recursos a los que puede aspirar. El secuestrado o extorsionado, no sabe nada, o lo poco que puede saber
no le es de utilidad inmediata, pues se requiere un análisis forense posterior para determinar origen.
Lo único que sabe el secuestrado o extorsionado, es el hecho que se encuentra con una nota de rescate simple, que en resumen señala:
¡Siga las instrucciones que se le han dado”.
Frente a lo anterior, surge la primera gran pregunta:
¿Se puede confiar en el delincuente que ha desarrolado este ataque?
En pocas palabras, la duda es si cumplirá el agresor su ofrecimiento o simplemente se hara del botín y transformará su oferta en un engaño adicional.
La experiencia, señala que esta es una condición de bajo éxito, ya sea porque la clave entregada aplica parcialmente, no es habida o no funciona, condiciones que podrían llevar el ataque a una condición de Wiper, es decir un limpiador de sistemas y datos, que eliminan todo o lo hace inservible.
Vea también: Security Report 2023 anticipa un aumento de los ciberataques
Por otra parte ¿Cómo confiar en un delincuente? Qué puede haber detrás que el solo hecho de acceder a las demandas gatille nuevos futuros ataques.
¿Si ocurrió una vez, que asegura que no volverá a ocurrir?
Los dilemas del pago
Llegar a sufrir un ransomware y concluir que se debe correr el riesgo de pagar para evitar un mal mayor, es reconocer que los esfuerzos y procedimientos para asegurar una adecuada resiliencia han sido en vano.
Se podrá argumentar de muchas maneras con ejemplos que es preferible el riesgo del pago, antes de enfrentar consecuencias catastróficas. Y se exponen casos extremos, como el de un servicio de hospital, que al estar capturado puede generar riesgos mayores en sus pacientes que dependen de dicha infraestructura hospitalaria (acceso a fichas, historial médico, equipos de exámenes, dispositivos extracorpóreos, etc.), generando así un dilema ético de optar por pagar y no poner en riesgo a la salud de miles. O el caso de exponer información personal crítica y relevante que podría comprometer a muchas personas o instituciones y genera un daño reputacional de proporciones.
Para otros, el no correr el riesgo de no pagar puede significar simplemente el término de la actividad con las consecuencias y externalidades negativas que conlleva la no continuidad operacional por efectos del secuestro.
Ejemplos de esta naturaleza abundan, y algunos parecieran justificar el riesgo de tranzar para salvar el tema. “El camino al infierno está plagado de buenas intenciones dice el viejo dicho popular”.
El no pago de rescates es una recomendación permanente de ciertas autoridades como el FBI y el Departamento del Tesoro (USDT) y Seguridad Interior (Homeland Security) en Estados Unidos. Lomismo que otras autoridades europeas donde el fenómeno es creciente. Incibe España señala:
En ningún caso el pago del rescate es una opción aconsejada, El no pagar, esta en la línea de no negociar con “terroristas”, o su equivalente en el ciberespacio.
Pagar, ha sido visualizado como una invitación a que nuevos actores y nuevas herramientas aún más sofisticadas se sumen para aumentar el lucro proveniente de los ataques, en un juego que dista de ser ético, ni menos legal, por los daños colaterales que conlleva.
En todo caso, es importante señalar que cualquier ataque de ransomware o extorsión por exposición de datos, ya son delitos tipificados por la legislación y por tanto son sujetos de persecución legal, aunque los resultados puedan ser inciertos, pues el ciberespacio no conoce fronteras, aun cuando la legislación vigente y los acuerdos internacionales de cooperación policial permiten ampliar la persecución de cibercriminales de manera transfronteriza.
En resumen, la recomendación es no pagar rescates, lo que implica un cambio de paradigma que es el tomar seriamente la necesidad de ciberseguridad, y minimizar los riesgos para no ser víctimas de un ransomware.
La Ilegalidad del pago de rescate
Se podría argumentar, que la decisión final del pago debiese corresponder finalmente a la víctima, y que no debiere ser criminalizado por ello, en función que un pago posibilitaría la recuperación de sistemas y datos. Se podría asimilar a lo que haría un padre frente al secuestro de un hijo, por todos los riesgos implícitos.
Vea también: Gobernador regional de Loreto va tras LATAM y AJE por inversión
La pregunta obvia que surge es:
¿Se debe declarar ilegal el pago de rescate por un Ransomware?
La respuesta podría ir en un sentido de eximir la prohibición, atendiendo de que no se puede criminalizar la acción de una víctima frente a la agresión sufrida. Y quizás pueda ser un atenuante a considerar. Como podría evaluarse en una corte una decisión funcionaria de acceder a un pago con el único fin de evitar un mal mayor, que arriesga una sancion legal o penal por dicho acto.
Pero entonces, surge la contra argumentación:
¿Hizo lo suficiente la institución para evitar ser víctima de las consecuencias de un ransomware?
La respuesta no es simple, sin embargo la misma prohibición de pagar un rescate debe ser el inductor a la toma de decisiones drásticas que eviten mayores perjuicios.
Más ciberhigiene, más capacitación, más protección, más ejercicios, más evaluaciones, más pruebas, más conciencia operacional, y claridad de las consecuencias de no cumplir o fallar.
Las instituciones tienen obligaciones diversas hacia sus “stakeholders” y obligaciones legales, normativas y tributarias de todo tipo que cumplir. Un secuestro puede tener efectos devastadores y por ello debe focalizar sus esfuerzos, no en considerar pagar un rescate, sino en evitar llegar a la condición de ser extorsionada, y de ocurrir, demostrar una resiliencia efectiva.
¿Entonces, acaso no estamos frente a un dilema ético fente al pago de un rescate?
¿Es correcto o incorrecto pagar un rescate?
La respuesta se deriva de otras preguntas más profundas.
¿Acaso estamos dispuestos a vivir en una sociedad que se considere correcto pagar a aquellos que exhiben comportamientos delictuales? ¿Es acaso lo que queremos transmitir a las generaciones venideras?
Declarar ilegal el pago de un rescate es un poderoso mensaje a los delincuentes, en el sentido que su delito tiene más implicancias que simplemente torcer el brazo a la víctima, sino que además reduce fuertemente el incentivo para cometerlo.
Declarar ilegal, es también forzar a una mayor ciberseguridad en todos sus ámbitos. Con sistemas más resilientes a los ataques, menos incentivos habrá para atacarlos y salirse con la suya.
Afortunadamente hay muchos ataques que hoy pueden ser detectados y neutralizados sin los efectos devastadores que solían presentar en el pasado.
La industria aeronáutica: un antecedente a considerar.
La industria aeronáutica nos presenta un ejemplo que posee algunas similitudes con el ciberespacio, donde los golpes han producido cambios relevantes en la seguridad de ésta generados algunos por situaciones realmente complejas.
Los secuestros de aviones son hoy una rareza, pero hubo un tiempo en que los hijacks, como se los conoce en inglés, fueron una práctica habitual.
Basta remontarse a la década de los 60 cuando los secuestros de aviones de pasajeros se dieron en muchos países, y con distintos fines. Recordar los desvíos de ruta, en Chile de aviones nacionales que debían dirigirse a Cuba, algo que también se repitió en otras latitudes. Los secuestradores en esos tiempos obtenían su gratificación al llegar a destino y tener recepción de héroes, lo que era un incentivo para muchos otros secuestros.
Demás esta decir que ocurrió en otros países del mundo, y algunos pagaron altos precios por su disposición a amparar a los delincuentes secuestradores, con efectos muy devastadores para muchos pasajeros que fueron rehenes de esta situación.
Lo anterior, llevo a la toma de medidas más drásticas como fue el uso de detectores de metales antes de abordar, el uso de escáner para la detección de artefactos explosivos, y una significativa cantidad de otras medidas, que permitieron reducir el ilícito.
La prohibición de transar con los secuestradores llevó a muchos países a tomar medidas drásticas, aún a riesgo de los pasajeros, como fue el caso del Aeropuerto de Entebbe en Uganda a mediados de los 70 que acabó con un grupo terrorista, rescatando a la mayoría de los pasajeros. Esta acción, dura, decidida pero también criticada, llevo a la industria aeronáutica así como a muchos países a tomar medidas drásticas contra el secuestro de aviones, y el trato con terroristas.
A pesar de las medidas, la industria aeronáutica sufrió otro revés con el secuestro de aviones en los eventos del 11 de septiembre, que llevo incluso a considerar la opción de derribar aeronaves con civiles por el riesgo que implicaba un potencial blanco crítico de los secuestradores suicidas.
Y de lo anterior, nuevas medidas de seguridad surgieron para evitar eventos como los antes descritos, tomando los países medidas drásticas desde la perspectiva legal, generando nuevas barreras de seguridad que hoy las tenemos en los aeropuertos y en los mismos aviones y que reducen las posibilidades de éxito. Medidas que han desincentivado el secuestro de aeronaves con distintos fines, ya sea por secuestro o por propaganda. Ello sumado a múltiples acuerdos internacionales que persiguen el secuestro de aeronaves y a sus hechores donde el avión aterrice como destino final. En la práctica, por todos lados se transformó en una actividad ilegal, y no rentable a los objetivos deseados y que es perseguible legalmente en la mayoría de los países.
No sólo la infraestructura terrestre y los servicios estatales, sino también las líneas aéreas o sus proveedores, debieron adaptarse a la nueva realidad de seguridad que fue impuesta por diversas instancias legales, con el fin de mejorar la seguridad de los pasajeros y de la industria aérea.
Los resultados están a la vista: se impuso el no negociar y el tomar medidas para mejorar la seguridad en toda la cadena de la industria aeronáutica mundial.
La prohibición legal del pago por ransomware.
La legislación debiese obligar a las instituciones calificadas como Operadores de Servicios Esenciales, o de Infraestructuras Críticas a:
Prohibir realizar pagos de cualquier tipo por rescate ante ataques de secuestro de datos o ransomware, así como de equipos o de dispositivos, ya sea que dichos ataques causen la inoperatividad de los sistemas o amenacen con exponer información sensible.
Esta obligación obedece a la necesidad de mejorar nuestros estándares de ciberseguridad, y desincentivar la proliferación del delito de Ransomware, pues las instituciones deberán procurar mejoras que eviten la ocurrencia de semejantes ilícitos, asumiendo la debida cuota de responsabilidad que les atañe. ¡Proteja lo que se debe proteger de la mejor manera posible!.
No es mucho más diferente a la protección de las instalaciones físicas por distintos medios. Un valor importante, se guarda en una caja de fuerte, se pone en un recinto cerrado, se usa tecnología diversa, a fin de proteger el activo (CCTV, controles de acceso, guardias, sensores, muros, etc).
Nadie en su sano juicio dejaría una puerta abierta para que entre el ladrón, pero ¿ que pasa con la puerta digital a Internet… la que no se ve?.
La prohibición legal de pagar rescate por ransomware ciertamente es una innovación que puede ser sujeto de discusión, pero es un incentivo a la búsqueda de una efectiva resiliencia de los sistemas y la provisión de servicios, minimizando el riesgo de un ataque y sus consecuencias. A lo anterior se suma el reciente anuncio de parte importante de la industria de los seguros de no asegurar riesgos cibernéticos: ¡Los siniestros atribuibles a ciberdelitos no serán asegurables!
Lo que se está impulsando es la debida responsabilidad del dueño de los activos informáticos para que los mismos sean mejor protegidos, y sigan prestando los servicios correspondientes, a pesar de cualquier siniestro que puede ser razonablemente evitado. Se sanciona el no actuar diligentemente para prevenir un siniestro, siguiendo la idea de un padre preocupado por la salud y seguridad de sus hijos, castigando la negligencia culposa que se hace evidente frente a un secuestro de datos por falta de ocupación de los responsables. Ciertamente existirán atenuantes o agravantes, los que deberán ser tenidos a debida consideración en los procesos sancionatorios.
Este tipo de prohibición impuesta por la vía legislativa sentará un precedente importante, que tendrá como consecuencia un proceso de mejora continua de la ciberseguridad.
