Mpolishuk's Blog

Recientemente el departamento del tesoro de los Estados Unidos de Norte América anunció que es ilegal pagar rescates a cibercriminales (Aquí la liga a la información). Esto en esencia obedece a que dicho gobierno considera que al pagarle a los criminales se le puede estar pagando a adversarios que pueden estarse fondeando para actividades adversas a su seguridad nacional. Asimismo, su comunicado indica que aun pagando no hay garantía de recibir la información secuestrada de regreso ni de volver a ser víctimas de este problema en múltiples ocasiones.

¿Qué interpreto de esta acción?

 Lo obvio es que el Ransomware ha crecido brutalmente. Pero, adicionalmente, así como comprar productos de contrabando, las redes de terrorismo internacional y otro tipo de organizaciones del crimen organizado definitivamente han encontrado en esta actividad una forma masiva de hacerse de recursos económicos y de fondeo difícil de perseguir, pues los pagos son prácticamente siempre en efectivo o cripto monedas que no están ligadas a ninguna estructura gubernamental. Esto sin duda es una razón fundamental. Si se cortan los recursos económicos se limita la capacidad de fondear actividades negativas.

Sin embargo, esto no es todo. Prohibir el pago de Ransomware también implica proteger, si, proteger la seguridad de la víctima. Aunque esto puede sonar ridículo, pagar rescates no significa ni garantiza resolver en buen término el problema. La información puede o no ser liberada incluso habiendo recibido el pago.

Por otro lado, con esto se desmotiva a los criminales a seguir haciendo esta actividad, ya que, si saben que no se negociará nada con ellos ni se les pagará nada, provocará que no ataquen a posibles víctimas de ese país, lo cual provocará la disminución de ataques en esa geografía y lamentablemente trasladará esa práctica a otros países.

De la misma manera, esta prohibición no implica que el gobierno no apoye a víctimas de este problema, pero de otra forma, esto es, estructurada, mediante sus instituciones de seguridad y de antiterrorismo, que cuentan con las personas adecuadas, los métodos y herramientas para darle soporte a quien sea afectado y buscarle recuperar su información, e invitan a que se reporten los casos para iniciar el contra ataque de los criminales para evitar más secuestros de manera paralela.

Conclusión

Creo que esta acción provocará un cambio drástico en el mundo. Definitivamente algunas víctimas de Ransomware perderán su información y puede que por ello pierdan su negocio. Por otro lado, veo que esta acción incrementará el interés de todas las empresas y personas de crear un plan contra el Ransomware. Esto implicará desde ser más proactivos en mantener sus aplicaciones y ambientes operativos actualizados, adquirir software para prevenir este tipo de ataques, fomentar más educación para ser cautelosos al abrir correos electrónicos y/o archivos adjuntos, y en empresas de todos tamaños e incluso en particulares provocará el emplear herramientas de filtrado de correo electrónico que bloquea todo mensaje no deseado y que contenga alguna amenaza o táctica para provocar un problema.

Por otro lado, el último nivel de prevención es cuando si se logró hacer el Ransomware, lo ideal es contar con aplicaciones que generan copias de seguridad en todo momento, fuera del ambiente operativo, con la capacidad de “regresar el tiempo” al momento previo del secuestro de la información.

Asimismo, es una buena razón para reevaluar los permisos que cada persona tiene para usar la tecnología. No todos deben tener acceso a todo, sino más bien a la información para hacer su trabajo, y finalmente esto deberá de dar pie al empleo por igual de soluciones de seguridad en la red y el establecimiento de una política de respuesta a incidentes.

Debemos de tener presente que este tipo de actividad criminal no respeta a nadie y cualquiera puede ser una víctima. Lo que es un hecho es que todas las medidas de prevención siempre serán mucho más económicas que el verse afectado por el problema.