Ya es Suficiente: La muerte de una Mujer Destaca la Necesidad de Prohibir el Pago de Rescates
La Crisis del Ransomware
A fines de 2019, declaramos que la amenaza del ransomware había alcanzado un nivel de crisis. Desde entonces, la situación solo ha empeorado, y los ataques contra la atención médica y otras organizaciones del sector público y privado continuaron y se intensificaron durante el curso de la pandemia. Incluso un fabricante de ventiladores fue atacado.
Para agravar el problema está el hecho de que cada vez más grupos han comenzado a robar datos y a utilizar la amenaza de liberarlos como palanca adicional para extorsionar el pago. Actualmente, los datos se roban en aproximadamente 1 de cada 4 ataques, lo que hace que información muy sensible caiga en manos de los ciberdelincuentes y, posteriormente, se publique en línea.
Además, la demanda promedio ha aumentado significativamente y ahora se encuentra entre $ 150,000 y $ 250,000 USD, con demandas multimillonarias que se vuelven cada vez más comunes. La mayor demanda reportada públicamente es de $ 42 millones; se dice que la mayor demanda que no se informa públicamente supera los mil millones de dólares. Por contexto, la demanda promedio en 2018 fue un poco más de $ 5,000. Como resultado de este aumento, los ciberdelincuentes cuentan con mejores recursos y están más motivados que nunca.
Estimamos que se pagarán más de $ 25 mil millones en demandas de rescate durante 2020, con un costo económico en la economía global de casi $ 170 mil millones, y estas son estimaciones extremadamente conservadoras.
En lo que va del año, al menos 219 organizaciones del gobierno de EE. UU., Los sectores de la educación y la salud, incluidos varios hospitales, han sido víctimas de ataques de ransomware y, en un número cada vez mayor de esos incidentes, se están robando y publicando en línea datos confidenciales. A nivel mundial, ha habido más de 170.000 ataques exitosos en 2020.
El impacto de estos ataques fue significativo.
Se expuso información personal.
Se expuso información de salud protegida.
Se perdió la propiedad intelectual.
Se robaron datos de empresas del sector de bases industriales de defensa de EE. UU., Incluido un contratista que apoya la disuasión nuclear Minuteman III.
Las empresas se vieron obligadas a declararse en insolvencia.
Los proveedores de atención médica y otras organizaciones se vieron afectados por demandas colectivas.
Se publicó en línea información confidencial relacionada con casos de abuso infantil y reclamos de TEPT de veteranos.
La información confidencial relacionada con las investigaciones policiales en curso se publicó en línea.
Los enjuiciamientos se retiraron debido a la pérdida de pruebas.
Los pacientes de emergencia fueron rechazados de los hospitales, los registros médicos eran inaccesibles y, en algunos casos, se perdían permanentemente, los procedimientos quirúrgicos se cancelaron, las pruebas pospusieron y los servicios del 911 interrumpidos.
En resumen, estos incidentes representan un riesgo para la seguridad nacional, la seguridad electoral, la propiedad intelectual y la seguridad financiera de las empresas, la información personal de las personas y su salud, seguridad y bienestar.
La primera fatalidad relacionada con Ransomware
Para subrayar aún más los riesgos asociados con estos incidentes, ahora parece haber habido una muerte relacionada con el ransomware. Un hospital en Alemania no pudo aceptar nuevos pacientes después de un ataque y, como resultado, una mujer con una condición potencialmente mortal fue redirigida a otro hospital a 20 millas de distancia y murió como resultado de la demora en recibir el tratamiento. Tal tragedia era completamente previsible. De hecho, mencionamos específicamente la posibilidad en un informe de 2019.
“El hecho de que no hubo muertes confirmadas relacionadas con el ransomware en 2019 se debe simplemente a la buena suerte, y es posible que la suerte no continúe en 2020. Los gobiernos y los sectores de la salud y la educación deben hacerlo mejor. ”-Fabian Wosar, director de tecnología, Emsisoft.
Esta no será la última víctima mortal. A menos que los gobiernos realicen cambios legislativos, es inevitable que se pierdan más vidas.
Los gobiernos deben prohibir el pago de rescates
Los organismos encargados de hacer cumplir la ley de todo el mundo han recomendado durante mucho tiempo que las demandas no se paguen, y por muy buenas razones. Los ataques de ransomware ocurren por una razón y solo una razón: son rentables. Las organizaciones que optan por pagar las demandas ayudan a mantener la rentabilidad de los ataques y, al hacerlo, perpetúan el ciclo del ciberdelito, poniendo a otras organizaciones en la mira.
Al igual que el cambio climático, el ransomware es un problema de acción colectiva y resolverlo requiere que todos hagan lo correcto. En el caso del ransomware, lo correcto es no pagar a los ciberdelincuentes y es hora de que los gobiernos obliguen a las organizaciones a no hacerlo. Hacer que los ataques de ransomware no sean rentables es la única forma de detenerlos. Si fuera ilegal pagar las demandas de rescate, el ransomware dejaría de serlo y nuestras organizaciones del sector público y privado ya no estarían bajo un ataque constante. Los hospitales serían seguros y las vidas no estarían en peligro.
Si bien algunos pueden sentir que una prohibición es innecesariamente extrema, la realidad es que no existe otra solución práctica. Durante el tiempo que las organizaciones han estado usando computadoras, esas computadoras han estado bajo ataque y algunos de los ataques tienen éxito. Siendo realistas, no es probable que eso cambie pronto. La seguridad es, en esencia, un juego permanente de golpear un topo, y es inevitable que no todos los topo serán golpeados. Los organismos encargados de hacer cumplir la ley tampoco podrán reducir el número de ataques mejorando la tasa de procesamiento por delitos cibernéticos desde su nivel actual de entre el 0,05% y el 0,3%. Ciertamente, pueden atrapar y procesar a más ciberdelincuentes, pero probablemente no en la medida en que sería necesario para hacer mella real en los números en el corto plazo.
En resumen, puede ser posible reducir algo el número de ataques pero, sin una prohibición de pagar las demandas, la reducción probablemente sería mínima.
Para ser claros, una prohibición no estaría libre de dolor. Si bien los delincuentes eventualmente se rendirían, no lo harían de inmediato y las organizaciones que fueron atacadas con éxito durante ese período intermedio no tendrían la opción de pagar para recuperar sus datos. Pero es un caso de dolor a corto plazo para obtener beneficios a largo plazo. La alternativa es que nuestros hospitales y otras organizaciones del sector público y privado sean atacadas año tras año, lo que resulta en la interrupción de servicios críticos e, inevitablemente, en la pérdida de más vidas.
Actualmente, las organizaciones están proporcionando a los ciberdelincuentes un flujo de ingresos de miles de millones de dólares, que es financiado en su totalidad por el público, aunque indirectamente, y no tiene ningún sentido permitir que esta situación continúe. La mejor manera de proteger a las organizaciones de los ataques de ransomware y de proteger a las personas de las consecuencias de esos ataques es hacer que sea ilegal que las organizaciones paguen rescates. Esto detendría los ataques y los detendría rápidamente.
Suficiente es suficiente. Los gobiernos deben prohibir los pagos de rescate.
Komentáře