Ser visto como confiable es bueno para las «empresas» y los grupos de ransomware se preocupan por la «reputación de la marca» tanto como sus víctimas.
11 de diciembre de 2025
•
,
4 min. leer
Black Hat Europe 2025 se inauguró con una presentación de Max Smeets de Virtual Rotes titulada ‘Dentro de la máquina de ransomware. La charla se centró en la pandilla LockBit ransomware-as-a-service (RaaS) y la investigación de Max sobre sus prácticas y operaciones. En su apogeo, entre 2022 y 2024, el grupo tenía 194 afiliados, de los cuales 110 habían logrado llevar un ciberataque al punto de negociación, y 80 de los afiliados lograron que el grupo de ransomware les pagara. (Como recordatorio, el modelo de negocio del ransomware tiene capas: «afiliado» se refiere al equipo que investiga las redes de la víctima e identifica y extrae los datos confidenciales a una banda de ransomware, como LockBit).
La reputación lo es todo.
Un mensaje clave entregado por Max fue sobre la reputación, tanto de la víctima como del grupo de ransomware. La empresa víctima debe mantener su reputación ante sus clientes y cualquier indicio de violación de datos puede dañarla significativamente. Curiosamente, la investigación mostró que la cobertura de los medios es mayor para las empresas que pagan en comparación con aquellas que no pagan la demanda de extorsión y enfrentan interrupciones más prolongadas. La opinión del presentador es que la noticia se centra en el pago y potencialmente da la indicación de que la empresa víctima ha perdido el control y necesita pagar, generando desconfianza y daño a su marca.
Como alguien que conoce el tema desde hace varios años, no estoy de acuerdo con esta opinión, al menos en algunos casos. Desde una perspectiva puramente financiera, pagar la demanda puede ser en realidad la solución más rentable, y hay muchos ejemplos en los que los costos finales de un ciberincidente para quienes no pagan son varias veces mayores que los de quienes sí pagan; basta pensar en los ataques a Palacio de Caesars y MGM. Las empresas tienen una responsabilidad ante los accionistas y, en algunos casos, el método más simple y rápido para recuperar el negocio y volverlo completamente operativo puede ser pagar la demanda de extorsión por ransomware.
Mientras tanto, la recuperación de sistemas puede ser compleja, es necesario adquirir nuevo hardware y es necesario restaurar y analizar las copias de seguridad para garantizar que estén limpias. La clave de descifrado del ransomware que desbloquea la empresa en horas en lugar de días puede minimizar la interrupción del negocio y la pérdida de ingresos. Luego, también tenga en cuenta la influencia de un asegurador, quien también querrá minimizar sus costos y tomar el camino que minimice cualquier reclamo que pueda presentar la compañía víctima.
Por supuesto, las desventajas tanto inmediatas como a largo plazo son igualmente obvias. El pago puede ganar tiempo y reducir la factura, hasta que deja de ser así. Para empezar, no hay garantía de que la clave de descifrado realmente desbloquee los datos. Además, los atacantes pueden considerar que las víctimas que aceptan las demandas de rescate merecen ser atacadas nuevamente y, en última instancia, también pueden validar y reforzar sin darse cuenta el ransomware como un «modelo de negocio» viable.
Los operadores de ransomware también están preocupados por la reputación: deben ser vistos como dignos de confianza y conocidos por cumplir su parte de cualquier acuerdo. Cuando se extraen grandes cantidades de datos confidenciales y se piden rescates, así como sistemas internos encriptados y paralizados, cualquier negociación para desbloquear sistemas y garantizar la seguridad de los datos debe realizarse desde un punto de vista de confianza.
Si el negociador ha escuchado críticas negativas sobre el grupo de ransomware que no proporciona descifradores ni retiene datos, puede aconsejar a la víctima que no pague. Es importante que al entregar el pago de la extorsión el grupo de ransomware entregue exactamente lo esperado, brindando el servicio por el que se les paga de manera profesional. El verdadero desafío para cualquier grupo de ransomware no es el acceso a la red o la exfiltración de datos, sino si la víctima confía en ellos lo suficiente como para pagar la extorsión.
Curiosamente, las operaciones realizadas por las fuerzas del orden para derribar LockBit en 2024 también incluyó una campaña para destruir la confianza en la pandilla, afirmando públicamente que La pandilla no borra los datos exfiltrados. pero agárrate. Esta campaña de desconfianza podría ser suficiente para que los afiliados lleven sus oportunidades y negocios a otro grupo.
¿Qué fija el precio?
Lo que aprendí de la presentación no fue algo que el presentador haya dicho abiertamente: se trata de los datos y el reconocimiento que el afiliado realiza sobre la empresa. Hubo una breve mención de la investigación y de moverse por la red de una empresa en busca de datos confidenciales, incluidos datos financieros que puedan indicar la voluntad de pagar o una cantidad que sería aceptable.
Esto provocó un momento de iluminación: el documento más valioso para un ciberdelincuente podría ser el cronograma que detalla la cobertura del seguro cibernético de la empresa. Entender si la empresa tiene un seguro que incluya el pago de una demanda de extorsión y cuál es el nivel de cobertura proporciona al ciberdelincuente la información sobre dónde fijar la demanda de extorsión, de modo que el riesgo se convierte en una cuestión financiera no para la empresa, sino para la aseguradora.
La conclusión es que la póliza de seguro cibernético y toda la comunicación relacionada con la póliza deben segmentarse con seguridad adicional o estar completamente aisladas de la red de la empresa.
Acerca del autor
