El ransomware es uno de los riesgos cibernéticos más amenazantes y de más rápido crecimiento en la actualidad. A medida que crece, también lo hace el negocio de protegerse contra él, lo que lleva a nuevas profesiones totalmente centradas en abordar estos ataques de malware. El papel de un negociador de ransomware es un buen ejemplo.
Es posible que no haya oído hablar antes de un negociador de ransomware si no está en el espacio de TI. Es todavía una posición relativamente nueva, pero se está volviendo esencial a medida que aumentan las amenazas.
¿Qué es un negociador de ransomware?
El ransomware es uno de los tipos de malware más peligrosos, por lo que los negociadores pretenden minimizar su daño. Se comunican directamente con los atacantes para retrasar y reducir el pago exigido.
Los negociadores de ransomware suelen trabajar para una empresa de seguridad más grande que se encarga de la respuesta a incidentes para otras empresas. Después de enterarse del ataque de ransomware, comienzan a hablar con los atacantes. Al mismo tiempo, otros expertos trabajan entre bastidores para comprender más sobre la situación o comenzar a recuperarse del ataque.
Conseguir que los atacantes acepten mejores condiciones de rescate es el objetivo más obvio de un negociador, pero no es el único. Otra parte crucial de su trabajo es obtener información. Eso incluye saber qué datos tienen, las consecuencias de no cumplir con la demanda de rescate, quién perpetró el ataque y cuál es su motivación. Estas respuestas hacen que sea más fácil responder de forma eficaz.
Cómo funciona una negociación de ransomware
Las negociaciones comienzan cuando alguien recibe una notificación que dice que sus datos están siendo retenidos para pedir un rescate. Los negociadores de ransomware trabajan con el departamento de TI y los especialistas en seguridad de la víctima para determinar el alcance del problema.
El equipo verá qué datos ha afectado el ransomware, si tienen copias de seguridad y con qué tipo de ransomware están tratando. Muchos tipos de ransomware tienen herramientas de descifrado disponibles para recuperar su información sin hablar con el atacante. Si esa no es una opción, los negociadores descubren lo que significaría perder todos los datos afectados. Eso les ayuda a determinar cuánto está dispuesta a pagar la empresa por el rescate.
El negociador se pondrá en contacto con los atacantes si la empresa decide que necesita pagar el rescate. A veces, puede ponerse en contacto con grupos de ransomware a través del correo electrónico, pero normalmente los ciberdelincuentes utilizan una opción de chat en vivo para obtener datos de pago.
Los negociadores de ransomware intentarán obtener información clave mientras hablan con los atacantes. Le preguntarán sobre su historial de descifrado de información después de los pagos, cómo pueden confiar en que lo harán y cómo llegaron al número de sus demandas de rescate. También intentarán rebajar el importe del pago y ampliar el plazo para realizarlo.
Si es necesario, el negociador también supervisará el pago real. La mayoría de los ransomware exigen el pago a través de criptomonedas, por lo que probablemente implique configurar una billetera criptográfica, ya que la mayoría de las empresas aún no tienen una. Después de eso, el negociador se mantendrá en contacto con el atacante hasta que haya restablecido todo.
Por qué es esencial un negociador de ransomware
Tener un negociador dedicado al ransomware puede parecer un poco extremo al principio. A pesar de lo que pueda parecer, es un papel crucial, especialmente para las empresas que tienen más que perder.
Los ataques de ransomware son comunes
La principal razón por la que los negociadores de ransomware son importantes es porque el ransomware se está disparando. Según un 2023Informe estadístico, los ataques de ransomware aumentaron de 304 millones en 2020 a más de 620 millones en 2021.
Nuevas nociones como el ransomware como servicio significan que incluso los delincuentes menos experimentados pueden llevar a cabo estos ataques destructivos. Como resultado, seguirán creciendo y dirigiéndose a una gama más amplia de empresas. Ese notable crecimiento hace que sea demasiado arriesgado asumir que nunca será víctima de un ataque de ransomware.
Tener un negociador de ransomware hace que sea mucho más fácil responder a estos ataques. Con suerte, nunca necesitarás uno, pero si algo sucede, ese toque experto afectará significativamente el desarrollo de las cosas.
Los negociadores informan respuestas efectivas
Los negociadores de ransomware también son importantes porque le ayudan a encontrar el mejor curso de acción. Muchas víctimas no saben por dónde empezar cuando se produce un ataque, pero sacar conclusiones precipitadas puede empeorar las cosas. Tener un profesional que sepa qué información encontrar y cómo acercarse a los atacantes evita esos resultados.
En las primeras etapas, un negociador de ransomware ayudará a las empresas a decidir si necesitan pagar un rescate. También pueden identificar el tipo de malware con el que se está tratando, informando sobre procesos efectivos de descifrado y recuperación.
También ayuda lo que los negociadores aprenden de sus conversaciones con los atacantes. Podrían descubrir que la pandilla utilizó información privilegiada de la empresa, como lo hacen muchos ataques de ransomware, lo que sugiere que se necesitan mejores controles internos para evitar episodios futuros. Alternativamente, pueden averiguar si realmente se puede confiar en que el atacante descifre los datos y aconsejarle que no pague.
Las negociaciones pueden reducir los costos
El proceso de negociación de ransomware también puede reducir el coste de un ataque.Informes de las OSC en línea¿Qué dicen algunos expertos en seguridad ransomware? Por experiencia, la mayoría de los rescates terminan siendo un pequeño porcentaje de las demandas originales.
Las bandas de ransomware a menudo reconocen que un día de pago garantizado más pequeño es mejor que apuntar a lo grande y no obtener nada. También saben que cuanto más se prolonguen las negociaciones, es menos probable que consigan algo. En consecuencia, a menudo están dispuestos a negociar su precio si trabaja con ellos.
Los negociadores saben cómo explicar los aspectos financieros de una empresa y el coste del tiempo de inactividad para conseguir un precio más razonable. Si intentó reducir el pago sin un profesional, es posible que no sepa qué decir o pueda caer en discusiones emocionales, que es menos probable que ayuden.
Las negociaciones pueden ganarle tiempo
Al menos, las negociaciones sobre ransomware le brindan un tiempo precioso. Mientras los negociadores hablan con los atacantes, otros expertos suelen trabajar simultáneamente para encontrar formas de restaurar el sistema afectado. Tener más tiempo para centrarse en la recuperación hace que sea más fácil reducir el impacto de la infracción.
Puede revisar sus diversos sistemas de copia de seguridad de datos para encontrar copias de los datos cifrados durante las negociaciones. El tiempo adicional también brinda a los equipos legales suficiente espacio para notificar a las partes afectadas de acuerdo con las leyes de divulgación de incumplimientos. Es posible que las empresas no tengan tiempo para hacerlo sin un negociador experto.
Los negociadores de ransomware son cruciales
Nadie quiere negociar con delincuentes, pero tener un negociador experto tiene más sentido a medida que crece el ransomware.
El ransomware no va a ninguna parte. Los negociadores no evitarán estos ataques, pero minimizarán su impacto, lo cual es igualmente importante para las empresas de hoy.
