Los hackers imponen sus reglas y las víctimas deben elegir entre pagar o arriesgarse a perderlo todo
Imagen creada con inteligencia artificial
Ponete en esta situación: te roban toda tu información personal, la encriptan y te dicen: "Si me pagás 10 mil dólares, no la publico". ¿Qué hacés?
El intendente de Paysandú, Nicolás Olivera, sufrió en carne propia esta situación. Le tiraron abajo la web, no pudo pagar sueldos y los ciudadanos se quedaron sin poder pagar tributos y realizar trámites. Los hackers le exigieron US$ 650 mil para reestablecer el problema. Pero él dijo que "no transaba con delincuentes". Le terminó costando más caro.
Los expertos en ciberseguridad coinciden en que la negociación con estos ciberatacantes es necesaria. En un programa de En Perspectiva, el consultor uruguayo en ciberseguridad, Reynaldo De La Fuente, de Datasec, dijo: "Si te secuestran a tu hija, ¿no negociarías con los secuestradores?".
En Uruguay cada vez hay más expertos en ciberseguridad que entienden cómo hacerlo. Tres de ellos fueron consultados por El Observador.
El experto en ciberseguridad Claudio López describe este proceso como un juego de presiones y estrategias en el que la víctima debe actuar con frialdad, aun cuando su información crítica está en manos de un desconocido.
Los atacantes han perfeccionado su método hasta convertirlo en un modelo de negocio, con plazos, descuentos y tácticas de intimidación diseñadas para forzar el pago. Mauro Eldritch, integrante de Birmingham Cyber Arms, advierte que los cibercriminales operan con reglas claras y que las negociaciones no siempre benefician a la víctima. "Las reglas las ponen ellos", asegura.
Pablo Giordano, CTO de Hacknoid, sostiene que la negociación con atacantes es un proceso estructurado y que, en la mayoría de los casos, se puede reducir considerablemente el pago exigido. "Salvo algún caso donde sabían lo que habían cifrado, en la mayoría de los casos se consigue pagar un 20-25% del precio inicial", afirma.
El proceso comienza con un mensaje directo del atacante. En la pantalla de la víctima aparece una nota de rescate con instrucciones claras: contactar al grupo criminal a través de un canal en la dark web. No hay discusiones telefónicas, no hay correos electrónicos, solo un chat anónimo que marca el inicio de la negociación.
El hacker se presenta con una oferta inicial y un contador regresivo. En ese momento, solo el atacante y la víctima conocen la situación. López explica que el delincuente suele dar un plazo de 48 horas y adjuntar una prueba de que efectivamente tiene en su poder información sensible. A partir de ahí, la empresa tiene dos opciones: ignorar la demanda y asumir las consecuencias o entrar en una negociación que puede extenderse por días.
Según López, la estrategia de los atacantes está calculada para que la víctima sienta que es su única oportunidad de evitar una catástrofe. "En la primera etapa, el atacante y la víctima son los únicos que saben del ataque. En la segunda, el atacante amenaza con divulgarlo y generar un escándalo. Ahí la presión aumenta", advierte.
Giordano destaca que en los últimos años la infraestructura de comunicación de los atacantes ha mejorado notablemente. "Antes era por mail, ahora tienen chats online 24x7, mucho más fácil de contactar", señala.
Mientras la víctima trata de bajar el monto, el atacante juega su propia carta de presión. Si la primera amenaza no funciona, introduce nuevos factores de miedo. "Ya contacté a tu competencia, están interesados en tu información", es una de las frases habituales en este tipo de negociaciones.
Algunos grupos han ido más allá. Eldritch menciona a BlackCat como uno de los pioneros en tácticas de presión más agresivas. "Analizan el marco legal en el que opera una empresa y denuncian la fuga de datos ante los entes reguladores para que les apliquen multas millonarias", explica.
Giordano confirma que esta estrategia ha cambiado por completo la dinámica del ransomware. "Antes te cifraban los datos y, si tenías backup y no querías pagar, no pasaba nada. Hoy se aseguran que pagues robándote la data y amenazando con publicarla", advierte. Según el experto, hay casos en los que las empresas lograron recuperar toda la información con respaldos y aun así pagaron algo para minimizar el riesgo de filtraciones.
Negociar con un atacante no es un proceso improvisado. Eldritch explica que un error común es intentar regatear o adoptar estrategias propias de abogados y fuerzas de seguridad. "Ser un buen negociador en estos casos implica demostrar voluntad de pago, no hacerles perder el tiempo y, sobre todo, no traer mañas de abogados o policías. Si intentás amedrentarlos, duplican el precio o directamente cortan la negociación", advierte.
Giordano coincide en que la táctica más efectiva es insistir en que la organización no puede pagar el monto exigido. "Básicamente es protestar un poco, decirles que es imposible pagar eso, que la organización es chica o no tiene el presupuesto. Algunos hemos pagado solo el 10% del precio original", comenta.
Además, destaca que cada caso es diferente y que no existe un manual único de negociación. "Hay en internet varios manuales y guías de cómo negociar, pero siempre cada caso es único y hay que tomar en cuenta el tipo de ataque, qué grupo lo está haciendo y la postura de ciberseguridad de la empresa", señala.
Aun cuando una empresa decide pagar el rescate, nada garantiza que recuperará su información. López advierte que muchos atacantes no tienen la capacidad técnica para descifrar los archivos que cifraron. "El cifrado es fácil de hacer, pero muchas veces el descifrado es un desastre. Hay chats entre atacantes y víctimas donde el hacker dice 'no sé qué hacer' porque no logra que el sistema vuelva a la normalidad", señala.
Giordano confirma que, aunque la mayoría de los grupos con los que ha negociado han devuelto los datos tras el pago, hay riesgos. "Normalmente te ofrecen la posibilidad de descifrar algún archivo que vos les envíes como prueba", explica.
En los últimos años, algunos grupos han abandonado el cifrado de archivos y se han enfocado exclusivamente en la extorsión. López explica que esta estrategia responde a una realidad: "Las empresas no están pagando por recuperar archivos, están pagando por evitar que se haga pública su información".
Giordano agrega que este modelo de ataque ha obligado a muchas organizaciones a negociar, incluso cuando cuentan con respaldos de seguridad. "Aunque tengas TODO en respaldos, al menos te comés una semana sin que la empresa funcione en un buen porcentaje, en el mejor de los casos. Hemos visto públicamente casos grandes donde les llevó mucho más restablecer todo", comenta.
El ransomware ha evolucionado hasta convertirse en una industria global con distintos niveles de organización. Algunos grupos operan como estructuras empresariales con afiliados, analistas financieros y hasta negociadores especializados. "Estos grupos están extremadamente profesionalizados y operan casi como empresas normales. Tienen áreas de soporte, negociación y hasta 'servicio al cliente' para asegurarse de que las víctimas puedan pagar", describe Giordano.
También destaca el auge del Ransomware as a Service (RAS), donde atacantes sin experiencia pueden comprar herramientas listas para ejecutar ataques. "Está muy de moda el Ransom As A Service, que permite que terceros puedan comprar un paquete para infectar a alguien y obtener toda la gestión centralizada", explica.
Negociar con un ciberatacante no es una tarea sencilla. López, Eldritch y Giordano coinciden en que no hay reglas fijas ni garantías de éxito. "En la práctica, cada empresa hace lo necesario para sobrevivir", reconoce Giordano.
En un escenario donde las empresas enfrentan la presión de multas, la pérdida de datos y el riesgo reputacional, la negociación se vuelve un juego de manipulación en el que cada decisión puede marcar la diferencia entre una pérdida asumible y una catástrofe financiera. En este tipo de pactos, la ventaja siempre la tiene el que logra mantener la calma.
