FacebookTwitterLinkedIn

Reportando ransomware a las autoridades

Tomas Meskauskas Escrito por el (actualizado)

Tabla de contenido

  1. ¿Deberían notificarse los incidentes de ransomware?
  2. Más Razones.
  3. ¿Cómo informar un incidente de ransomware?
  4. Si es víctima de ransomware, informe de este incidente a las autoridades locales.

Ser víctima de un ciberataque, y mucho menos de un ataque de ransomware, requiere tomar varias decisiones difíciles. De un informe reciente de Europol se desprende claramente que informar del incidente a las autoridades es una de esas decisiones difíciles. El informe destacó lo poco que se informa sobre los incidentes de ransomware y, a menudo, las autoridades solo se enteran de los incidentes a través de los medios de comunicación en lugar de la víctima.

Es fácil exigir que las víctimas de delitos los denuncien por numerosas razones legales y éticas, y mucho menos para ayudar a las autoridades a atrapar a quienes cometen delitos. La realidad es que ser víctima de un crimen tiene un nivel de estigma asociado. Puede ser vergonzoso admitir que fue engañado o estafado. Para las organizaciones que son víctimas de ataques de ransomware, este estigma parece ser una de las principales razones por las que el delito específico no se denuncia.

Informar incidentes de ransomware a las autoridades

El panorama actual de amenazas de ransomware ha evolucionado para incluir varias bandas de ransomware o incluso bandas que han formado “carteles” que se dirigen específicamente a grandes organizaciones, ya sean empresas privadas o agencias gubernamentales. Este cambio, que se produjo a principios de 2019 seriamente, ha dado como resultado que grandes organizaciones, como algunas compañías Fortune 500, se agreguen a listas cada vez mayores de víctimas. Garmin, Canon, y Konica Minolta son solo algunas de las víctimas de alto perfil que han sido impactadas masivamente por una banda de ransomware.

El estigma de ser víctima de ransomware ha adquirido un nuevo significado, ya que las empresas temen el impacto que tendrá un ataque de este tipo en sus relaciones con los clientes y las partes interesadas. Esta puede ser una de las razones detrás de la subnotificación del delito. Cualquier incidente cibernético no solo afecta el resultado final y la recuperación puede ser una perspectiva costosa, sino que es de esperar un daño a la reputación. Los expertos consideran que ser transparente con respecto a un incidente de ransomware puede ayudar a reparar el daño a la reputación de manera más efectiva que cuando se intenta esconder el asunto debajo de la alfombra. El resto de este artículo está dedicado a por qué los incidentes de ransomware deben informarse a las autoridades y, lo que es más importante, cómo hacerlo.

¿Deberían notificarse los incidentes de ransomware?

La respuesta corta es , pero las respuestas cortas hacen poco para transmitir la importancia de la pregunta en primer lugar. La respuesta más fácil de dar es que para muchas organizaciones que deben adherirse a ciertas leyes de cumplimiento, o un conjunto de estándares, y las violaciones de datos deben ser reportadas. Hace un año, se podía argumentar que un incidente de ransomware no equivalía a una violación de datos ni planteaba de manera diferente un incidente cibernético en el que la información confidencial perteneciente a clientes o usuarios registrados de un servicio se ha visto comprometida. Al comienzo de 2020 se rompió el debate académico sobre si un ataque de ransomware era una violación de datos o no.

En enero de 2020, comenzaron a surgir informes de noticias de que la banda de ransomware Maze amenazaba con liberar los datos robados de las víctimas antes de que se ejecutara el ransomware y se encriptaran los datos.

Los ataques de ransomware incluyen la exfiltración de datos.

Pronto, las amenazas se hicieron realidad cuando Maze comenzó a publicar datos que habían robado a través de lo que se llamaría un "sitio de filtración" ("leak site"), normalmente alojado en uno de los rincones de la web oscura. Esto colocó incidentes específicos de ransomware firmemente en la categoría de violación de datos y debía tratarse como tal. Para muchas leyes y estándares de cumplimiento, existe el requisito de informar los incidentes a las autoridades correspondientes especificadas en la legislación.

Es importante señalar que, a pesar de la evolución de los ataques de ransomware que ahora incluyen la exfiltración de datos, a veces denominada “doble extorsión”, no todos los ataques de ransomware son también violaciones de datos. El factor determinante será si los datos se extrajeron o no. La evolución más reciente en las tácticas son las bandas de ransomware que emplean centros de llamadas para amenazar aún más a las víctimas: en muchos países, este alto nivel de abuso puede considerarse un delito y, por lo tanto, también debe informarse a las autoridades policiales.

Más Razones

Si una víctima está obligada a denunciar el ransomware debido a la legislación, existe un fuerte argumento para denunciar el incidente. Hay varias otras razones para informar sobre incidentes de ransomware, independientemente de las leyes que estipulen que deberían hacerlo. En primer lugar, la información que obtienen los funcionarios encargados de hacer cumplir la ley desde la denuncia del incidente hasta los hechos proporcionados por especialistas forenses en ciberseguridad es de gran ayuda para atrapar a los involucrados.

Debido a los altos niveles de anonimato otorgados a los ciberdelincuentes mediante el uso de tecnologías como la Dark Web y otros servicios de anonimato, capturar a los involucrados puede ser una tarea difícil. Uno que al principio puede resultar casi imposible. Sin embargo, con el tiempo, los investigadores pueden reconstruir quién está detrás del ataque o, en muchos casos, una serie de ataques. Informar el incidente permite a los investigadores acceder a información vital necesaria para hacer exactamente eso.

Cuantos más datos se recopilen sobre el incidente de ransomware, mejor

En segundo lugar, cuantos más datos se recopilen, mejor en términos de concienciación y educación. Este es el caso con respecto a la aplicación de la ley y otras autoridades encargadas de la defensa contra el ciberdelito que pueden emitir alertas. Por lo general, estas alertas contienen información sobre las tácticas utilizadas por pandillas específicas, los vectores favoritos de contagio y las medidas que pueden tomar otras organizaciones para ayudar a evitar ser víctimas de la cepa de ransomware específica cubierta en la alerta. Para que estas alertas sean eficaces en la lucha contra las bandas de ransomware, la información debe ser de la más alta calidad y las víctimas que informan sobre incidentes ayudan a garantizar que se difunda la información correcta.

Por último, es importante discutir el carácter internacional del ciberdelito. Las organizaciones de ciberdelincuentes, como las bandas de ransomware, se centrarán en organizaciones fuera de su país de origen por varias razones. En Rusia, como ha sido bien documentado, el gobierno hace la vista gorda ante los ciberdelincuentes que atacan a organizaciones extranjeras, ya que los ataques no dañan la política de relaciones exteriores del gobierno, o incluso podrían promover objetivos específicos.

Tales influencias geopolíticas pueden dificultar que los organismos encargados de hacer cumplir la ley puedan llevarlos ante la justicia, pero no es imposible. Muchos organismos encargados de hacer cumplir la ley trabajan juntos para combatir el ciberdelito, incluidas organizaciones internacionales como Interpol y Europol. Los incidentes informados ayudan a cerrar el círculo sobre los ciberdelincuentes, lo que lleva a la incautación de servidores y arrestos si los ejes de la organización viajan al extranjero. Los gobiernos también pueden imponer sanciones a los estados que se cree que albergan a los ciberdelincuentes.

Las razones anteriores ciertamente plantean el caso de que informar incidentes de ransomware beneficia a las agencias de aplicación de la ley, pero ¿qué pasa con la organización que se ve afectada? Cuando se informa de incidentes, la policía es capaz de proporcionar valiosos consejos de remediación que fácilmente podrían resultar beneficiosos para la rápida recuperación de una organización. Además, varias agencias de aplicación de la ley han establecido asociaciones con firmas de seguridad privadas para poner a disposición de los afectados desencriptadores gratuitos. Informar un incidente puede ayudar a los líderes empresariales a obtener el desencriptador que necesitan para recuperarse de un ataque. Asociaciones como No More Ransom buscan crear una base de datos de información de ransomware junto con desencriptadores para ayudar a todos los afectados.

¿Cómo informar un incidente de ransomware?

Para informar de un incidente, será necesario contactar a la autoridad local pertinente. Antes, esto puede suceder, ya que es necesario recopilar muchos datos forenses relacionados con el incidente. Esto puede hacerlo personal de IT calificado. Tenga en cuenta que la información necesaria para informar sobre un ataque de ransomware será diferente según el hecho de que esté informando sobre un ataque desde el punto de vista de su empresa o simplemente como usuario de una computadora personal. En general, se puede solicitar a las organizaciones que proporcionen la siguiente información al informar el incidente:

  • La información de su organización (industria, tipo de negocio, tamaño) y dónde está ubicado el contacto para comunicarse con las autoridades en el futuro.
  • Fecha y hora aproximadas del ataque de ransomware.
  • Cómo ocurrió el ataque (a través de un enlace de correo electrónico o archivo adjunto, vulnerabilidad explotada, puerto RDP mal configurado, etc.)
  • Una copia o foto de la nota de solicitud de rescate o la pantalla de bloqueo.
  • Nombre de la variante de ransomware (generalmente incluido en la nota de rescate o extensión de archivo encriptado agregada después del encriptado).
  • Cualquier dirección IP relevante que esté conectada a su red que no reconozca.
  • La extensión de archivo de los archivos encriptados.
  • Dirección de correo electrónico, URL o cualquier otro método de comunicación proporcionado por el actor de la amenaza.
  • Copias electrónicas de cualquier comunicación que haya tenido con el actor de la amenaza.
  • La dirección de la billetera bitcoin del actor de la amenaza, a menudo se proporciona en la nota de rescate o en comunicaciones posteriores con el atacante.
  • Monto del rescate exigido y monto del rescate pagado.
  • Pérdidas generales asociadas con el ataque de ransomware, incluido el monto del rescate.

Si es víctima de ransomware, informe de este incidente a las autoridades locales:

Australia Australia
ACSC		 Austria Austria
Polizei		 Belgium Bélgica
Police
Brazil Brasil
Polícia Federal		 Bulgaria Bulgaria
CyberCrime		 Canada Canadá
Centre for Cyber Security
Croatia Croacoa
Ministry of the Interior		 Cyprus Chipre
Cyber Crime Police		 Czech Republic República Checa
Policie
Denmark Dinamarca
Politi		 United Kingdom Inglaterra
Action Fraud		 Estonia Estonia
Politsei
Finland Finlandia
Poliisi		 France Francia
Ministère de l'Intérieur		 Germany Alemania
Polizei
Greece Grecia
Hellenic Police		 Hong Kong Hong Kong
Hong Kong Police		 Hungary Hungría
Rendőrség
India India
Cyber Crime Cell		 Iran Irán
Cyber Police		 Ireland Irlanda
Garda Síochána
Israel Israel
Nomoreransom project		 Italy Italia
Polizia di Stato		 Japan Japón
Cybercrime Project
Latvia Letonia
Policija		 Lithuania Lituania
ePolicija		 Luxembourg Luxemburgo
Police
Malta Malta
Pulizija		 Netherlands Holanda
Politie		 New Zealand Nueva Zelanda
Police
Russia Rusia
Ministry of Internal Affairs		 Scotland Escocia
Police Scotland		 Singapore Singapur
Singapore Police Force
Slovakia Eslovaquia
Ministerstvo Vnútra		 Slovenia Eslovenia
Policija		 South Korea Corea del Sur
National Police Agency
Spain España
Policía Nacional		 Sweden Suecia
Polisen		 Ukraine Ucrania
Cyber Police
United States Estados Unidos
IC3		  
 		  
 
Sobre nosotros

PCrisk es un portal de ciberseguridad que informa a los usuarios de Internet sobre las últimas amenazas digitales. Nuestro contenido es proporcionado por expertos en seguridad e investigadores profesionales de malware. Lea más sobre nosotros.

Nuevas guías para la eliminación de virus
Eliminación de virus y software malicioso

Esta página facilita información sobre cómo evitar infecciones por software malicioso o virus.

Eliminación de virus

Top de guías para la eliminación de virus