Cómo negociar con los 'hackers'

HACKER INFORMATICO. DREAMSTIME EXPANSION

Hannah Murphy. Financial Times

Actualizado: 02/11/2019 01:14 horas

Cuando una empresa es objeto de un ciberataque casi siempre hay forma de recuperar los archivos. De hecho, el 80% de las compañías afectadas suelen negociar con los atacantes.

"Hemos accedido a su red", comienza el archivo de texto. Este mensaje es un chantaje en el que, en lugar de pedir dinero a cambio de liberar a un ser querido, se piden fondos digitales para la liberación de datos que pertenecen a un fabricante de EEUU.

La compañía es una de las muchas afectadas por un secuestro de archivos -en el que los hackers inhabilitan los archivos o sistemas de una víctima y sólo los liberan si se paga lo que piden-. Los hackers suelen despedirse con este mensaje: "Ningún sistema es seguro". Puede que tengan razón.

El auge de estos secuestros digitales ha ido de la mano de la dependencia cada vez mayor de las empresas tanto de tecnología como de datos y del desarrollo de las divisas digitales que permiten a los delincuentes hacer transacciones sin dejar huella. Pero ¿qué debería hacer una empresa si es víctima de los hackers?

¿Qué hacer si un 'hacker' accede a su red?

Las empresas deben actuar con rapidez para detectar posibles daños. Hay distintos tipos de ransomware -algunos mucho más dañinos que otros- y los rescates que se piden van desde unos cientos a millones de dólares. Los más dañinos suelen ser los que infectan todos los sistemas, incluida la información del back-up. Los expertos creen que las compañías deberían evaluar si es posible mitigar el problema sin tener que pagar a los hackers. ¿Puede solventarse el problema restaurando los datos de la copia de seguridad?; ¿pueden los expertos en seguridad intentar descifrar los datos de los hackers?

La decisión está entre pagar un rescate -opción que el FBI desaconseja- y evaluar el coste que supone no pagar. Existe el riesgo de que después de pagar, la compañía no recupere sus datos. "Plegarse a un chantaje es siempre el último recurso, aunque a veces una empresa se enfrenta a una decisión existencial; pagar o dejar de existir", explica Joshua Motta, cofundador y consejero delegado de Coalition, un grupo de ciberseguros que cuenta entre sus clientes a inmobiliarias, dentistas y autoridades locales.

Motta asegura que su compañía gestiona unos seis casos de extorsión a la semana. De estos, el 80% se negocia con los hackers, el 10% se recupera la última copia de seguridad y el 10% restante renuncia a los datos.

Se puede contratar a las empresas que tengan más experiencia en responder a este tipo de crisis después de que los atacantes pidan un rescate o antes de que se produzca como medida preventiva. "Recurrir a profesionales siempre es una buena idea si la empresa no puede recuperar sus sistemas ni tiene un plan para luchar contra un ransomware", explica Jen Miller-Osborn, subdirector de inteligencia de la empresa de ciberseguridad Palo Alto Networks.

¿Cómo se desarrollan las negociaciones?

Normalmente por correo electrónico, aunque los hackers utilizan cuentas que no se pueden rastrear. Los expertos aseguran que las compañías deberían pedir a los hackers el equivalente digital a una "prueba de que hay vida", algo parecido a cuando se pide a los secuestradores que manden una foto de la víctima con un periódico que muestre la fecha del día.

En caso de ransomware, esto implicaría pedir a los atacantes que permitan que la compañía descodifique una parte de los archivos incautados. "Conviene pedir que, como gesto de buena voluntad, demuestren que son capaces de descodificar un archivo", explica Richard Henderson, responsable de inteligencia del grupo de ciberseguridad Lastline. "Si se niegan, podría significar que simplemente no pueden. Ha habido muchos casos en los que un atacante mentía a la empresa cuando ya había borrado todos los datos e intentaba convencer a la víctima de que podía recuperarlos", explica.

En lo que se refiere al estilo de la negociación, los expertos son capaces de detectar a las personas con las que suele resultar más fácil negociar. "Hacerse el duro puede resultar contraproducente", apunta Motta. Él recomienda "utilizar el tiempo como un mecanismo de negociación, por ejemplo, diciendo que podemos pagar todo lo que nos piden sólo si se nos concede mucho tiempo, pero que podemos pagar una parte si exigen una respuesta inmediata por nuestra parte. "El atacante suele preferir tener una parte a no tener nada. Hay que pensar que suelen hackear a empresas de cierta envergadora", explica Motta.

¿Cómo suele ser el pago del rescate?

Aunque no es tan dramático como en las películas. el pago suele tener lugar enviando moneda virtual a un monedero digital anónimo, aunque los expertos también han tenido casos de métodos más difíciles de rastrear. Casi ninguna empresa tiene criptodivisas en su balance, por lo que es conveniente que cuenten con un fondo de emergencia o puedan recurrir a un tercero.

¿Cómo evitar que vuelva a repetirse?

El primer paso para evitar posibles ataques es asegurarse de que tenga las últimas actualizaciones en seguridad. Otra medida sería contar con copia de seguridad de los archivos más importantes y mantenerlos alejados del resto. "Tener un programa de back-up y comprobarlo con frecuencia", explica Jerry Bessette, responsable del equipo de respuesta a incidentes de Booz Allen.

Las empresas también pueden crear test de estrés y llevarlos a cabo cada cierto tiempo para asegurarse de que funcionan. "Lo ideal es que una empresa invierta en un plan para protegerse de ataques que tengan respuestas distintas", explica Rob Robinson, responsable de seguridad global en Telstra Purple.

Enlace original del artículo: https://www.expansion.com/economia-digital/2019/11/02/5dbcc9d0468aebfd788b4631.html