En Canadá, donde vivo, es temporada de impuestos, ese breve periodo de tiempo en el que se deben presentar las declaraciones de impuestos personales y, en algunos casos, corporativas. Para muchos, el proceso es lo suficientemente abrumador como para justificar la contratación de un profesional. Después de todo, confías en que completará y entregará tu documentación con precisión y puntualidad.

Imagina que, unos meses después, recibes una notificación del gobierno informándote de que tus impuestos están vencidos y que estás sujeto a intereses y cargos por demora. Tu confusión se convierte en pánico al descubrir que el dinero que creías destinado a impuestos ha desaparecido, y el contador, que ya había pagado hace tiempo, ya no devuelve las llamadas.

Resulta que el contador malversó fondos de muchos clientes, incluyéndote a ti, antes de irse de la ciudad. Si hubieras sabido de antemano sus intenciones delictivas, no lo habrías contratado, y mucho menos le habrías pagado, ¿verdad?

En el mundo de la ciberdelincuencia, tanto particulares como organizaciones pagan regularmente a delincuentes con resultados igualmente preocupantes. Siendo justos, algunas víctimas recuperan sus datos y finalmente reanudan sus operaciones con normalidad. Pero a pesar de todas las garantías y seguridades que los grupos de ransomware puedan ofrecer, no hay una forma confiable de confirmar que los datos exfiltrados fueron eliminados para garantizar que no se usen indebidamente en el futuro.

El problema radica en que los delincuentes de ransomware intentan equilibrar dos objetivos opuestos:

• Buscan establecer una reputación de credibilidad para dar a las víctimas cierta garantía, por modesta que sea, de que las promesas hechas durante las negociaciones del rescate se cumplirán. Esta reputación, o marca, también ayuda a atraer a los afiliados más productivos: aquellos grupos o individuos que identifican, violan y comprometen los datos de las víctimas en nombre de los grupos de ransomware.

  
  

• Con motivaciones económicas, también buscan maximizar los ingresos que obtienen de las víctimas. Tras el pago de una demanda de rescate, los datos robados siguen teniendo valor para atacar a las personas o empresas que contienen. Se puede obtener dinero extorsionando a estas nuevas víctimas, mediante esquemas de transferencias fraudulentas de fondos o campañas de phishing dirigidas.

Cuando se enfrentan a la poco envidiable posición de negociar con ciberdelincuentes, a las víctimas les conviene más estar informadas sobre su comportamiento que sobre lo que prometen. Veamos un par de ejemplos recientes para ilustrar los riesgos que conllevan.

LockBit

LockBit es uno de los grupos de ransomware más exitosos de la historia, con ingresos que posiblemente superen los mil millones de dólares. Este éxito criminal suele atraer la atención de las fuerzas del orden internacionales, y a lo largo de 2024 se realizó un esfuerzo conjunto para identificar a los responsables del grupo y desmantelar su infraestructura.

Una victoria significativa se produjo el 20 de febrero de 2024 cuando la Operación Cronos, un grupo de trabajo de la Agencia Nacional contra el Crimen (NCA) del Reino Unido, el FBI y las fuerzas del orden de otros nueve países, confiscó la infraestructura de LockBit. La acción incluyó la identificación de cientos de afiliados de LockBit, lo que mermó su credibilidad ante los afiliados y, sin duda, puso a muchos de ellos muy nerviosos, temerosos de que las fuerzas del orden pudieran intervenir pronto.

Surgió un intrigante juego del gato y el ratón que culminó en mayo, cuando el grupo de trabajo identificó públicamente a Dmitry Khoroshev como administrador y desarrollador principal de LockBit. Quizás más importante aún, también confirmaron que LockBit no borraba de forma rutinaria los datos robados tras el pago de los rescates.

Con esta revelación en mente, las víctimas deben preguntarse: ¿por qué negociar y pagar un rescate cuando los grupos de ransomware no cumplen su parte del trato? LockBit seguramente no es el único que incumple sus promesas.

PowerSchool

PowerSchool es un proveedor de soluciones de software en la nube para escuelas y distritos escolares de primaria y secundaria que da soporte a más de 60 millones de estudiantes y más de 18.000 clientes en todo el mundo. A principios de enero de 2025, la compañía anunció que había sido víctima de un ataque informático, comprometiendo los registros de estudiantes de más de 6.500 distritos escolares en Estados Unidos, Canadá y otros países.

Nos dijeron que no se preocupen: PowerSchool había contratado expertos para negociar con los atacantes, había pagado el rescate e incluso había recibido garantías (¡con pruebas en vídeo, nada menos!) de que los datos robados de los estudiantes habían sido eliminados.

Pero no todas las historias tienen finales felices, y confiar en que los ciberdelincuentes cumplirán su palabra es, en el mejor de los casos, ingenuo. De hecho, agencias como el FBI y la CISA desaconsejan explícitamente el pago de rescates. Efectivamente, tan solo unos meses después del pago del rescate, la Junta Escolar del Distrito de Toronto se vio extorsionada. En un comunicado del 7 de mayo, PowerSchool confirmó que los mismos datos, supuestamente eliminados, estaban siendo utilizados nuevamente para extorsionar a varios distritos escolares.

Por qué pagar no compensa

Hay muchas razones para cuestionar si pagar una extorsión es lo correcto. El dinero financia I+D criminal, lo que resulta en ataques cada vez más sofisticados que, en algunos casos, pueden incluso poner vidas en peligro. Pagar un rescate para recuperar datos robados conlleva numerosos problemas éticos y posiblemente legales. Pero quizás el problema más fundamental sea este: los delincuentes no son confiables. Una vez transferido el dinero, no hay garantía de que cumplan ninguna promesa hecha durante las negociaciones.

Reflexión final

En medio de una crisis, pagar un rescate puede parecer la vía más rápida para resolver el problema. Pero, como demuestra el incidente de PowerSchool, entregar dinero a delincuentes no garantiza la protección de sus datos, ni la de sus estudiantes, clientes o empleados.

Ahora es el momento de evaluar sus ciberdefensas. Invertir en prevención puede ahorrarle la agonía de decidir si pagar o no una extorsión en el futuro. Porque, al igual que no contrataría a sabiendas a un contable corrupto, no debería poner su confianza, ni su dinero, en manos de ciberdelincuentes.

Para obtener más información sobre los ataques de ransomware y cómo proteger su organización, explore nuestro Enfoque en Ransomware. Hemos recopilado una colección de artículos, casos prácticos y estrategias para ayudarle a mantenerse informado y preparado.