Los ciberdelincuentes consiguieron robar el pasado año en todo el mundo más de mil millones de euros a lo largo de 2023, y alcanzaron un récord histórico. Según un informe publicado recientemente por la firma de análisis de blockchain Chainalysis que ha recogido datos de todo el mundo. España fue el octavo en el mundo más ‘ciberatacado’ durante el pasado año, según el estudio Thread Landscape Report, en el que figuran los datos del segundo trimestre, en el que aparece reflejado que España sufrió un total de 47 incidentes de ransomware reportados en los últimos seis meses. Unas cifras que se traducen en un aumento del 12% respecto al semestre anterior.
Estados Unidos es el país que lidera la clasificación mundial, seguido de Reino Unido y Canadá, muchas son las empresas españolas de las que se conocieron ataques a lo largo del pasado año. Así, reportaron haber sufrido un secuestro de sus sistemas mediante un ataque de ransomware entidades como Euskaltel, el Hospital Clinic de Barcelona, Globalcaja, la compañía Alcobendas Seguros, el Ayuntamiento de Sevilla, Telepizza, el despacho de Sagardoy Abogados, el Concello de Cangas, en Galicia.
RANSOMWARE, UN NEGOCIO CRECIENTE
La mayoría a través del grupo de ciberdelincuentes LockBit, especializados en ransomware, aunque la firma de ciberseguridad Recorded Future ya ha señalado que el «crecimiento astronómico en la cantidad de actores de amenazas que llevan a cabo ataques de ransomware», y ha contabilizado hasta 538 nuevas variantes de este tipo de ciberataque en 2023, lo que apunta al surgimiento de nuevos grupos independientes.
Con este tipo de ataque, los cibercriminales consiguen bloquear el acceso a los datos o archivos de las víctimas hasta que pagan una tarifa de extorsión, generalmente a través de criptomonedas. Según el informe, en 2023, los piratas informáticos casi duplicaron los fondos robados en 2022 y superaron los récords anteriores registrados durante el auge del ransomware en la pandemia.
El aumento de este negocio criminal cibernético se constata cuando se comparan los 567 millones de dólares (529 millones de euros) en los que la misma compañía, Chainalysis, cifró el negocio del ransomware a nivel mundial en 2022. Este tipo de infracciones han aumentado porque también existe un avanzado comercio en la Dark Web por el que los piratas informáticos desarrolladores le venden su producto malicioso a otro hackers que acaban aumentando el listado de actores de amenazas, es decir, de ciberdelincuentes.
Con este tipo de ataque, los cibercriminales consiguen bloquear el acceso a los datos o archivos de las víctimas hasta que pagan una tarifa de extorsión, generalmente a través de criptomonedas
Además, los grupos de atacantes especialistas en ransomware se han envalentonado y cada día se atreven más a lo que los expertos llaman «caza mayor, es decir, que realizan menos ataques a lo largo del año, pero cada vez consiguen cobrar pagos mayores, con los que han llegado a ingresar de una sola vez hasta un millón de euros. Menos empresas están pagando rescates más altos.
Chainalysis pone un ejemplo de este tipo de ataques con el sufrido por la popular aplicación de transferencia de archivos MOVEIt, utilizada por más de miles de organizaciones en todo el mundo. La banda de ransomware Cl0p acumuló más de 100 millones de dólares en pagos de rescate con este único ataque. Por su parte, según datos de la empresa especializada en respuesta a incidentes Coveware, que se dedica a negociar con bandas de ransomware en nombre de las víctimas, solo el 29 por ciento de estas pagaron un rescate en el cuarto trimestre de 2023, una caída dramática de las tasas de pago entre el 70 y el 80% para la mayor parte de 2019 y 2020.
PAGAR O NO PAGAR EL RANSOMWARE
Según el informe de Chainalysis, la inquietante cifra de los 1.000 millones solo refleja el dinero pagado por el rescate de los datos y los sistemas, y no el impacto económico de la pérdida de productividad y los costes de reparación asociados con los ataques. La firma de blockchain sostiene que «es evidente en casos como el audaz ataque de ALPHV-BlackCat y Scattered Spider a los complejos turísticos de MGM». La compañía no pagó el rescate, pero sí estimó que los daños le costaron a la empresa más de 100 millones de dólares.
en España nunca ha estado tipificado como delito el pago de rescates
Pero los informes hablan de los pagos por el rescate. Hasta conocer el contenido de la nueva Ley de Ciberseguridad planteada en España por el ministro de Transformación Digital y Función Pública, José Luis Escrivá, y si regulará el pago de rescates e impondrá sanciones a las empresas que los realicen, en España los expertos en ciberseguridad nos indican que no está bien visto que las empresas paguen el rescate de un ciberataque de ransomware, pero no es ilegal.
Así nos lo confirma David Soto, de Erni Consulting, que asegura que en España «no hay multas, de hecho es muy difícil poder sancionar a las ‘victimas’. Por pagar rescate no hay falta ni delito, pero sí puede caer una multa cuantiosas a través de la Agencia Española de Protección de Datos (AEPD) según los datos que se acaben filtrando».
En España no pagan rescate las instituciones públicas, en ningún caso, porque no disponen de los fondos y tendrían muchas explicaciones que dar si lo hicieran. Sin embargo, muchas entidades privadas no se arriesgan a tener gastos que acaben con sus balances de cuentas e, incluso, si son medianas o pequeñas empresas, con su negocio de manera definitiva al quedarse sin sus sistemas por un ataque.
se paga por las elevadas pérdidas que genera, a la organización atacada, la ejecución de los planes de respuesta y recuperación, pueden llegar a ser devastadores, así como la pérdida de beneficios, los gastos de investigación del regulador y posibles sanciones posteriores
Según ha publicado la directora FINEX y Ciber riesgos en Willis Towers Watson, Carmen Segovia Blázquez, «en España nunca ha estado tipificado, como tal, el pago de rescates», según apunta «el artículo 576 del Código Penal condena a quienes financien, de cualquier manera, a grupos terroristas. Una formulación muy ambigua que rara vez se ha aplicado». Ese artículo se ha llevado a los tribunales en algún caso de pago a ETA, pero no se aplica en los rescates de ransomware porque según los juristas «no es el espíritu de la ley ni hay corriente jurisprudencial que se pronuncie en este sentido.
Segovia Blázquez razona en su escrito publicado en LinkedIn porqué deciden la empresas pagar el rescate de los cibercriminales, aunque utilizar fondos de la compañía o de la póliza del seguro a tal efecto que se tenga contratado no es tampoco la mejor de las soluciones. Según esta experta, lo hacen por «las elevadas pérdidas que genera, a la organización atacada, la ejecución de los planes de respuesta y recuperación, pueden llegar a ser devastadores, así como la pérdida de beneficios, los gastos de investigación del regulador y posibles sanciones posteriores, y por la entrada de los aseguradores asumiendo ese rescate como una garantía en la póliza», lo cual puede conferir cierta legalidad.
LO DE ESTADOS UNIDOS
Sin embargo, en EE. UU es técnicamente ilegal pagar un rescate durante un ataque de ransomware ( porque el gobierno desaprueba que las entidades estadounidenses financien grupos terroristas o países bajo embargo). Sin embargo allí las empresas también han llegado a sus propias conclusiones, y la mayoría entiende que pagar las multas es menos costoso que mantener la inactividad y perder sus datos debido al ataque, o la pérdida de reputación si se conoce el mismo.
EE. UU es técnicamente ilegal pagar un rescate durante un ataque de ransomware
Aunque éticamente no está bien pagar estos rescates, su pago no garantiza la recuperación ni la recuperación del control de los datos robados, estos van a seguir en poder de los ciberdelincuentes, lamentablemente, y se puede cuestionar, y mucho, las medidas que la compañía tiene, o debería tener implantadas, en materia de ciberseguridad.