Antes del anuncio de las elecciones generales de 2024, el gobierno del Reino Unido buscaba establecer reglas más estrictas sobre los pagos de ransomware, incluida la posibilidad de prohibir por completo los pagos de rescate. ¿Justificación? Acción decisiva para interrumpir el modelo de negocio de los ciberextorsionadores.
Pero el mensaje sobre el pago del rescate es, cuanto menos, contradictorio. En el Reino Unido, el Centro Nacional de Seguridad Cibernética ha dejado claro que las empresas no deberían pagar el rescate. Sin embargo, las pólizas de seguro recomendadas por el plan Cyber Essentials del gobierno establecen claramente que brindan cobertura para pagos de extorsión. En última instancia, esto financia directamente la actividad cibercriminal y le permite ganar impulso.
¿Cuáles son entonces los beneficios y los daños de la prohibición? ransomware pagos, ¿qué alternativas podrían considerarse y qué papel juega la industria de los seguros cibernéticos para abordar esta amenaza?
Consultor Senior de Seguridad, ESET.
Pagar o no pagar
A principios de este año, el hospital francés CHCSV se negó a pagar una demanda de rescate, a pesar de sufrir graves interrupciones operativas. Mientras tanto, otras organizaciones que fueron víctimas, como Change Healthcare en EE. UU., tomaron una dirección diferente: esta empresa privada de atención médica pagó 22 millones de dólares a los atacantes.
La diferencia aquí es que una de las víctimas pertenece al sector público, mientras que la otra no pertenece al sector público, y cuando las organizaciones del sector público pagan las demandas de rescate, en última instancia provienen del dinero de los contribuyentes. Por esta razón, entre otras, varios estados de Estados Unidos ya han prohibido que las organizaciones del sector público realicen pagos de extorsión.
Sin embargo, parece haber menos transparencia pública en el Reino Unido sobre si las empresas pagan las reclamaciones por ransomware. Si bien EE. UU. tiene datos oficiales del gobierno sobre pagos de ransomware, el Reino Unido carece de informes oficiales porque la mayoría de los datos disponibles provienen de informes de la industria. Por ejemplo, un informe de Censornet reveló que el 85% de las PYMES informaron haber pagado un rescate, mientras que una investigación de Cohesity encontró que el 69% de ellas había pagado un rescate el año pasado.
Pero no pagar puede costar más a las empresas a largo plazo. Por ejemplo, el año pasado, MGM Resorts no pagó a sus atacantes, pero desde entonces ha revelado costos que ascienden a 110 millones de dólares. Asimismo, el incidente de WannaCry, que afectó a miles de hospitales y consultorios del NHS en 2017, costó £92 millones en recuperación.
Mientras las víctimas de ransomware continúan jugando al juego de “¿lo harán, no lo harán?”, según Mordor Intelligence y Fortune Business Insights, se estima que el mercado de seguros cibernéticos del Reino Unido tendrá un valor de 1.350 millones de dólares en 2024 y 20.880 millones de dólares a nivel mundial, con políticas nuevas. . Se establecen constantemente a medida que las empresas luchan por asegurarse contra lo inevitable.
Como era de esperar, las compañías de seguros suelen buscar la opción menos costosa cuando se trata de seguros. el cae Ataque de ransomware: demandas de pago de rescate. Pero hacerlo financia la pandemia mundial de ciberdelincuencia. Por lo tanto, no sorprende que los pagos de ransomware, según Chainalogy, superen la marca de los mil millones de dólares en 2023.
Entonces, si bien algunos creen que el ransomware se está volviendo más frecuente debido a que los ciberdelincuentes atacan mejor, tal vez valga la pena considerar si es una coincidencia que a medida que crece la industria de seguros, también lo hace el panorama de los delitos cibernéticos.
¿Qué otra opción tenemos?
A pesar de estas aguas un tanto turbias, la respuesta correcta a los ataques de ransomware es clara: pagar las demandas siempre debe ser el último recurso. La única excepción debería ser cuando exista riesgo para la vida. Pagar porque es fácil, cuesta menos y causa menos perturbaciones en el negocio no es razón suficiente para pagar, independientemente de si es la empresa la que entrega el dinero o una compañía de seguros.
Sin embargo, aunque una prohibición total del pago de rescates es un paso en la dirección correcta, sólo aborda una forma de ataque y parece una especie de estrategia de “golpear a un topo”. Esto puede frenar el aumento de los ataques durante un breve periodo de tiempo, pero los atacantes inevitablemente cambiarán sus tácticas, tal vez comprometiendo el correo electrónico empresarial o algo de lo que aún no hemos oído hablar.
Entonces, ¿qué más se puede hacer para frenar el aumento de los ataques de ransomware? Bueno, podemos considerar algunas opciones, como cerrar corredores comerciales de vulnerabilidades de seguridad y regular las transacciones de criptomonedas. Para tomar este último como ejemplo, la mayoría de los delitos cibernéticos generan ingresos a través de criptomonedas, por lo que en lugar de simplemente bloquear los pagos, podría ser una mejor opción para regular la industria de las criptomonedas y el flujo de dinero.
Junto con este tipo de cambio regulatorio, los gobiernos también podrían considerar transferir la decisión de pagar o no pagar a un organismo independiente. Esto garantizaría que las decisiones se tomen independientemente del costo y, en cambio, se basen en riesgos que amenazan la vida y la interrupción de servicios vitales. Aunque es un tema de debate si el tribunal, o cualquier otro organismo independiente, puede tomar estas decisiones con la suficiente rapidez.
Seguros y ciberseguridad pueden ir de la mano
La transformación digital se ha acelerado durante la pandemia y, además, los ciberataques basados en extorsión han sido catalizados por las criptomonedas, todo ello en un corto período de tiempo.
Al mismo tiempo, el mayor desafío que enfrentan las compañías de seguros en el entorno digital actual es su falta de… Datos. Esta tormenta perfecta explica por qué las compañías de seguros adaptan constantemente los requisitos y aumentan las primas a un ritmo cada vez mayor.
Pero es importante recordar que ser inseguro puede convertir a una empresa en un objetivo mayor porque los ciberdelincuentes saben que podrían recibir el pago del rescate, lo que alimenta este ciclo interminable. Por lo tanto, es necesario que las empresas adopten una ciberseguridad El modo que les proporcione la mejor protección posible, estén asegurados o no. De hecho, elegir una compañía de seguros que comprenda el riesgo basándose en datos puede ayudar a que la estrategia cibernética de una empresa sea más segura.
Por ejemplo, las compañías de seguros que entienden los riesgos basándose en datos a menudo requieren que las empresas adopten muchas técnicas y procesos diferentes para reducir dichos riesgos, por ejemplo usando Copia de seguridad en la nube Sistemas, autenticación multifactor y soluciones avanzadas de detección y respuesta de endpoints.
De hecho, la lista completa de recomendaciones requeridas por estas aseguradoras suele ser un subconjunto de las que también recomiendan los profesionales de la ciberseguridad y los marcos de ciberseguridad. Mientras las compañías de seguros se centran en reducir la probabilidad de un reclamo financiero, la industria de la ciberseguridad se enfoca en reducir el riesgo de un ciberataque, por lo que seguir estas recomendaciones será inevitablemente un paso positivo para la empresa.
¿Una combinación hecha en el paraíso cibernético?
La relación entre el seguro cibernético y la seguridad cibernética es inseparable, y estas dos industrias se están convirtiendo rápidamente en una unión de conveniencia. Sin embargo, todavía existe un gran obstáculo que impide que este matrimonio sea verdaderamente feliz y pleno. La financiación del cibercrimen mediante el pago de demandas de rescate por parte de las compañías de seguros debe cesar (¡a menos que sea en circunstancias excepcionales!).
Hemos mostrado las mejores herramientas de eliminación de malware.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde mostramos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro