Aunque muchos creen que la prevención de las brechas de seguridad es la mejor forma de actuar, todavía no hay garantías de que las organizaciones no sigan siendo vulnerables a los ataques de ransomware aunque tengan un alto nivel de seguridad. La llegada del Reglamento General de Protección de Datos (RGPD) ha hecho que más empresas víctimas de ataques de ransomware se planteen pagar en lugar de enfrentarse a sanciones mayores de la ICO.
El pasado mes de septiembre, Europol, la agencia policial de la UE, afirmó que el RGPD podría provocar un aumento de la extorsión cibernética en su quinto informe de Evaluación de la Amenaza de la Delincuencia Organizada en Internet. En él se afirmaba: «Las empresas pirateadas pueden preferir pagar un rescate menor a un pirata informático por la no divulgación que la elevada multa impuesta por su autoridad competente».
Se dice que algunas grandes empresas tienen reservas de bitcoin por si son víctimas de un ransomware, una táctica con la que muchos gestores de riesgos no se sentirían nada cómodos.
Las multas son alarmantemente altas
Las multas por incumplir la normativa GDPR pueden ser enormes. Las infracciones de artículos específicos del reglamento o si se infringen las obligaciones de una organización pueden dar lugar a multas de hasta 10 millones de euros o el 2% de la facturación global anual, la cifra que sea más alta. Si se determina que la infracción ha vulnerado el derecho a la intimidad de una persona, la multa podría ser de hasta 20 millones de euros o el 4% de la facturación global anual, según cuál sea el importe más elevado. Mientras tanto, en diciembre, un estudio de la empresa de seguridad Sophos reveló que casi la mitad (47%) de los directores de informática del Reino Unido estarían «definitivamente» dispuestos a pagar un rescate si los piratas informáticos robaran los datos de su empresa, en lugar de denunciar la violación y pagar una multa mayor. Otro 30% dijo que «posiblemente» se plantearía pagar si el rescate fuera inferior a la sanción oficial, y sólo uno de cada cinco (18%) dijo que descartaría por completo pagar a los delincuentes.
Más pequeñas empresas dicen no
Descubrió que las pequeñas empresas, con menos de 250 empleados (54%), eran las menos propensas a plantearse pagar una demanda de ransomware, frente a sólo el 11% de las que tenían entre 500 y 750 empleados. En mayo, otra empresa de ciberseguridad, CrowdStrike, advirtió que serían más las que optarían por pagar y, según su director ejecutivo, George Kurtz:
«Si tienes una multa del 4% sobre tus ingresos totales, o tienes un ransomware que puedes pagar y quizá hacerlo desaparecer tranquilamente, creo que va a haber una dinámica interesante en la cantidad que el mercado valore el pago del ransomware empresarial.»
Peligros al pagar
Pero, el consejo aceptado es siempre no pagar nunca, ya que la empresa podría quedar aún más expuesta y ser objeto de nuevos ataques, además de no recibir una clave para desbloquear los datos. El año pasado, una investigación de Imperva CyberEdge Group reveló que el 55% de los encuestados se vieron comprometidos por ransomware en 2017 y que, de los que pagaron, el 49% pudo recuperar sus datos, es decir, los descifró, mientras que el 51% no lo hizo.
Pagar tampoco garantiza la privacidad. Como demuestra la bien documentada brecha de Uber de 2016, cuando la empresa pagó unos 100.000 dólares (75.000 euros) a los piratas informáticos, los detalles siguieron saliendo a la luz. En EE.UU., la empresa fue multada con 148 millones de dólares en septiembre por no notificar a sus conductores la filtración y, en noviembre, las operaciones europeas de la empresa fueron multadas con 385.000 libras. Por supuesto, la decisión de pagar ya se ha tomado antes y se seguirá tomando si la empresa considera que es la única forma de seguir operando. Puede ser una decisión extremadamente difícil, y si alguna vez hay que dar prioridad a este asunto, es ahora. Resiliencia operativa : un enfoque con visión de futuro La resiliencia operativa se ha convertido en un área clave de desarrollo para muchas organizaciones, que desean centrarse más en reducir el impacto de los ataques de ransomware que en confiar únicamente en las medidas de prevención. En esencia, la estrategia garantiza que las empresas puedan seguir prestando servicios críticos a sus clientes cuando se produzcan incidentes graves. Este enfoque requiere una mentalidad centrada en el fracaso, asumiendo que esencialmente todos los incidentes «ocurrirán» en lugar de «podrían ocurrir», sin embargo, al hacerlo, permite a las organizaciones desarrollar contingencias más fuertes que, como se ha dicho, pueden ayudar a disminuir el impacto que los ataques de ransomware pueden tener en las empresas, al tiempo que ayudan a evitar potencialmente grandes multas de la ICO. La FCA cree que la Resiliencia Operativa debe ocupar un lugar destacado en la agenda de los altos directivos y los miembros de los consejos de administración, ya que los reguladores desean que las empresas mejoren su preparación para resistir, absorber y recuperarse de incidentes perturbadores. El reto consiste en implantar estas prácticas en procesos y estrategias ya establecidos.
