13 de octubre 2024
Dólar El Observador | Auspicio BROU Cotizaciones
Compra 40,45 Venta 42,85
12 de septiembre 2024 - 12:39hs

Usted es responsable de una empresa y acaba de recibir una de las peores noticias que pudo haber escuchado en su vida profesional, aquellas palabras que a todo aquel que trabaje con tecnología (quién no) de solo pensarlas le ponen la piel de gallina…”hemos sido atacados con ransomware”.

Lamento decirle que no solo sus sistemas han caído, sino que ha perdido toda la información, su negocio está barranca abajo, y usted con él…pero espere, ¡STOP! todavía queda una última acción, un último manotazo de ahogado. Se que la sola idea lo incomoda, pero analicémoslo tranquilamente por un instante, ¿le parece?

Cómo hemos visto en nuestras columnas anteriores el peor ciberataque que usted puede recibir en su empresa tiene nombre y apellido…Ransomware.

El Ransomware cifra todos sus archivos: documentos Word, Excel, PowerPoint, correos, fotos, imágenes. Le diría que agradezca que puede seguir moviendo el mouse.

ransomwere photoshop.png

Todo se torna ilegible, inaccesible. Ha perdido todo.

”No se preocupe, tenemos respaldos” le dicen, pero quién lo hace está errado, no lo escuche.

Lamento informarle que su información (todos sus documentos) han sido exfiltrados, ya los posee el atacante y, si usted se niega a pagar, seguramente el cibercriminal se comunique con su competencia, e instituciones legales a las que usted deberá responder, ofreciendo la misma.

Por lo cual, si su información reviste algo de confidencialidad, le paso a contar que esta segunda situación es la que deberá realmente atender.

Ok, ¿ahora entendió la gravedad de la situación? Si, ya está todo perdido.

¿Soluciones? Existen dos.

La primera, dar la espalda a la situación y volver a construir todo desde cero desde los cimientos.

¿Costos? A los naturales asociados a adquirir nuevos sistemas apróntese para lo que se viene, la muy factible exposición pública de sus datos. Deberá poseer recursos para responder ante acciones legales de quienes se verán expuestos (sus clientes) y, lo peor de todo, los costos intangibles asociados a su pérdida de imagen.

En Uruguay, sin ir más lejos, seguimos asociando nombres de organizaciones a notorios ciberataques. Lo mismo pasa en el mundo. No es fácil retornar de eso.

Ahora, existe una segunda opción.

Si bien esta nueva alternativa no va de la mano de la ética e incentiva la actividad criminal, sería necesario también contemplar que muchas empresas no podrían recuperarse de un desastre como este y, por consiguiente, se ven atrapadas entre la espada y la pared: Mantener la ética por sobre todo y afrontar pérdidas quizá irrecuperables (que incluso podrían llevar al cierre total del negocio) o sentarse a negociar.

Ahora, ¿Qué sucede una vez que alguien piensa dar este salto al vacío de establecer contacto con los cibercriminales? ¿Qué debo hacer y qué NO debo hacer? ¿Cómo debo proceder? ¿Hay certezas?

La primera recomendación (y quizás más importante de todas): No asuma esta responsabilidad usted (o su empresa). Delegue este procedimiento a personas (profesionales) que sepan lidiar con esta posición, la del negociador.

La Segunda: El negociador deberá jugar, de cara al atacante, el rol de alguien de su empresa. Preferentemente el de un cargo relevante (gerente), que si bien pueda hablar en nombre suyo no posee el poder de la decisión final, las cuales siempre deberá consultar.

De hecho, los ciberdelincuentes le advierten desde un inicio de no solicitar apoyo de negociadores profesionales, bajo amenaza de borrar sus claves de descifrado. Por alguna causa será.

En el primer contacto, seguramente el ciberdelincuente le solicite datos de su empresa y en 24 horas (aproximadamente) volver a contactarlo.

En esas horas el delincuente hará un análisis de los ingresos de la empresa. Aquí mismo en Uruguay hay sitios públicos donde se encuentra esta información.

Al volver a conectarse con usted le cae la primera cifra de rescate, posiblemente cercana el 5% de sus ingresos anuales.

Tercera: Trate siempre de establecer una relación de confianza con su contraparte, no lo desafíe, recuerde…él es el dueño de la pelota.

Cuarta: desde un primer instante, encargue a un equipo a buscar información del atacante. Busquen en internet su historial delictivo, sus referencias. Vean sus ataques, y que dicen las víctimas.

Quinta: Y esta es vital, asegúrese que su contraparte es quién dice ser. Muchas veces los atacantes publican sus ataques en foros de hackers, lo que puede generar que alguien se haga pasar por ellos. Para esto lo mejor es solicitar una prueba de vida: un archivo descifrado, preferentemente elegido por usted.

Sexta, ligada a la anterior, confirme que el atacante tenga las herramientas necesarias para descifrar la información. Para esto solicite una prueba de descifrado: Entréguele un archivo cifrado (el cual usted conoce su contenido original) y desafíe al atacante a descifrarlo. Esto confirmará que él tiene el poder de hacerlo y, por consiguiente, que usted pueda repetir el proceso utilizando sus mismas herramientas.

Séptima: No se deje presionar. Seguramente el atacante, ante el avance de la negociación (con montos que vienen y van) lo amenazará con hacer pública su información o eliminar las claves para descifrarlo. Tranquilo. Manténgase enfocado y no entre en su juego.

Octava: Así como le mencioné que no desafíe al atacante (bajo el riesgo de que abandone la negociación), NUNCA demuestre desesperación ni ruegue por sus datos. Mantenga la compostura.

Novena: Si es que posee algún tipo de seguro contra este tipo de ataques, NUNCA lo revele.

Décima: NUNCA acepte pagar el rescate por adelantado. Negocie el pago en dos partes, una primera por adelantado, y una posterior una vez que posee la clave de descifrado y pudo probarla.

Décima Primera: Si es que logró exitosamente negociar la situación anterior, considérese por demás victorioso. NUNCA se niegue a pagar la segunda parte. Recuerde que negocia con organizaciones con muchísimos más recursos que usted, y que poseen el poder de hacerlo volver a hacer las cuentas con un ábaco, si es que se lo proponen.

Décima Segunda: Se que lo que le voy a decir va a ir en contra de lo ya expresado, pero en momentos límites, donde la negociación se complique, usted también posee una última bala de plata: menciónele que se encuentra tan decepcionado con el proceso de negociación que está evaluando publicitar los detalles de esta y el posible fracaso final. Para un atacante, mirando al futuro, la mala publicidad puede jugarle en contra en futuros ataques (por esto mismo es que le recomendé investigar al atacante) forzándolo a mantenerse en la negociación y ser más flexible...

Décima Tercera: No tire de la piola. Si ha llegado a negociar con el atacante un rescate por un monto considerablemente menor al inicial (por debajo del 50% original), no se endulce y quiera seguir renegociando. Tenga en consideración que la persona que está del otro lado muy posiblemente sea solo un empleado de la organización cibercriminal al cual le establecieron ciertas metas y márgenes mínimos, al igual que usted. Llevarlos por debajo de estos es algo que él no va a aceptar.

Décima cuarta: siempre esté preparado para retirarse de la negociación si es que los términos que ofrece son inaceptables. Recuerde que el finalizar la negociación sin acuerdo no es conveniente para ninguna de las partes.

Ahora sí, ya posee los tips.

Nuevamente, nunca se embarque en esta tarea solo, solicite el apoyo de profesionales. Al no tener experiencia en este tipo de procesos una persona puede dejarse llevar por los sentimientos, tanto de angustia como de molestia, y su contraparte no tiene el tiempo para lidiar con estos.

Te Puede Interesar