Juana D.N es la propietaria de una Pyme, una pequeña empresa de servicios, con menos de diez empleados. Tenía y tiene aún actualmente un servicio externalizado de informática que funcionaba razonablemente bien hasta que un día, allá por el año 2016, el sistema se paralizó por completo.
“No podíamos acceder al servidor”. Un e-mail, aséptico y lacónico les llegó tres días después de que se iniciara la peor pesadilla de su vida empresarial. Le pidieron 500 euros por rescatar la información. Tenía que pagar en Bitcoins. Juana, con sede en Madrid, se trasladó al ABC de Serrano. Lo recuerda así: “billetito de 50 euros a billetito de cincuenta euros, así hasta diez veces, creé un monedero de bitcoins, y luego hice una transferencia al monedero de los piratas informáticos”. Al día siguiente habían restaurado el sistema, “pero no del todo, se habían perdido algunos archivos que nunca pudimos recuperar”.
Desde aquella experiencia, Juana ha adoptado mayores medidas de ciberseguridad en la empresa; ha incrementado el coste que destina a esta partida, y sobre todo, no deja de repetir a sus empleados que tengan mucho cuidado con los correos que abren. Porque fue un correo lo que infectó el sistema, un ataque de ransomware en toda regla.
Lo que pagó fue una auténtica ganga, nos cuentan fuentes del ámbito empresarial que se han visto en situaciones semejantes: “Ahora están pidiendo del orden de 5.000 o 6.000 euros a Pymes del mismo estilo de la que hablas”. Y hay casos en los que solicitan 2.000 euros por cada servidor, e incluso 1.000 euros por cada cliente cuyos datos quedan comprometidos a empresas más grandes.
Al rebufo de esta nueva situación ha surgido un nuevo sector de negocio para las aseguradoras, el seguro que permite abonar el precio de un eventual rescate.
Pagar o no pagar, esa es la cuestión. Con tan Shakesperiano título, encabeza un interesante artículo Paul Anderson, director para Irlanda y el Reino Unido de Fortinet, donde descubre la cruda realidad. La actividad del Ransomware se multiplicó por siete en el segundo semestre del 2020. “Aquí ha habido mucho debate sobre el tema de la criminalización de los pagos de ransomware en un esfuerzo por reducir el número de ataques. El consejo oficial del Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) sigue diciendo a las organizaciones que no paguen rescates. Es probable que este debate continúe dividiendo en dos a la opinión pública; sin embargo, no debemos ignorar que el pago de rescates puede ser problemático”.
Las pólizas que cubren el rescate, un negocio que no es ni bonito ni rentable en un mundo en el que los ciberdelincuentes piden paciencia a las personas que guardan cola para pagar
Ninguna aseguradora va a reconocer nunca en España que ofrece estos servicios, pero los suscriben, aunque las pólizas se supone que deben de ser secretas. El problema es que los clientes hablan demasiado y al final todo se sabe. Es como el tema de las meigas gallegas, todo el mundo niega su existencia en su cartera de ofertas, pero haberlos haylos, como existe también la figura del intermediador, la persona que negocia para que te bajen el precio, y puede trabajar tanto para el particular como para la aseguradora.
No es un negocio ni bonito ni rentable: “En el mundo de los seguros hay una clara preocupación por este aumento desproporcionado de los ciberataques", revela un insider del sector. Y afirman que este tipo de pólizas llevan camino de ser menos rentables que los seguros de ahorro con intereses garantizados firmados hace dos décadas, la ruina de las aseguradoras.
Y es que los ciberdelincuentes están fortaleciendo sus estructuras hasta crear verdaderas empresas donde, afirma un experto “tienen personas trabajando desde las nueve de la mañana hasta las cinco de la tarde, pagan sueldos a sus trabajadores, les remuneran las horas extras, disponen de secretarias y tienen servicio técnico”. Hasta se permiten el lujo de pedir algo de “paciencia” a las víctimas dispuestas a pagar, porque no dan abasto ante el exceso de trabajo. Es lo que le ocurrió al dueño de una empresa de una ciudad española recientemente: “la contestación que nos dieron es que tenían otros clientes prioritarios"
Y es que los usos y costumbres de los "malos" se van modificando a velocidades de vértigo. Como recuerda Paul Anderson en Newstatesman.com, “tradicionalmente, los atacantes de Ransomware han sido unos pocos codificadores altamente capacitados que desarrollan cepas de malware sofisticadas y se centran en ganar dinero únicamente con los pagos de rescate. Ese enfoque ha evolucionado a un modelo de servicio con su promesa de flujos de ingresos recurrentes de múltiples fuentes. Los atacantes se han dado cuenta de que pueden ganar más dinero vendiendo o alquilando estas cepas en la web oscura al delincuente común y llevándose una parte de los pagos de rescate de la víctima. Como resultado, en los últimos seis meses de 2020 hubo un crecimiento constante de lo que ahora se clasifica como ransomware-as-a-service (RaaS), según el Global Threat Landscape Report”.
Sigue leyendo si quieres saber detalles del extraño culebrón protagonizado por Axa en Francia, la aseguradora que dejó de pagar rescates en el país de origen, y también si quieres conocer la opinión de expertos del ámbito de la ciberseguridad y también de las compañías aseguradoras.
"Pagar una póliza de seguros de ciberataque puede ocasionar una falsa sensación de seguridad", afirma Antonio Fernandes
Ante este panorama, no es de extrañar que AXA anunciara que dejaría de cubrir pagos por Ransomware en Francia. El seguro de AXA XL se anunciaba como un instrumento para “ofrecer completas coberturas de seguro de secuestro, rescate, extorsión y otras situaciones de crisis como extorsión cibernética, extorsión de productos, secuestros aéreos, retención ilícita, amenazas, desaparición, secuestros exprés, crisis de rehenes, secuestro de menores, agresión y violencia en el lugar de trabajo”.
Resulta complicado dilucidar si es legal para las aseguradoras pagar un rescate en España
Una semana después de anunciar su cambio de política de combate de este tipo de ataques, es decir, dejar de reembolsar los pagos realizados por las víctimas de los ciberdelitos en Francia, los piratas informáticos, en lo que se entendió como una maniobra de venganza, lanzaron el primer ataque a sus sistemas “que ha afectado a su división Assistance de Asia, así como a las operaciones de sus áreas de TI en Tailandia, Malasia, Hong Kong y Filipinas”.
¿Es legal o no es legal pagar un rescate en España? La respuesta debería ser clara y contundente, pero no lo es. La hemos formulado tanto a la Policía Nacional como al INCIBE. Por parte del INCIBE no ha habido contestación después de cuatro días de espera.
Juan María Cobo Pimentel, Inspector y Jefe del Grupo de Ciberataques de la Policía Nacional, nos ha dicho esto: “Es la pregunta del millón. No sabría decirte. Dependerá de diversas circunstancias. Solo te puedo decir un dato práctico, que estén persiguiendo fiscalías o juzgados de Instrucción a empresas que haya pagado el rescate, no me consta, y es más, no veo tampoco interés en hacerlo. Desde el punto de vista de la dogmática jurídica es muy difícil calificarlo; si hablamos de terrorismo o blanqueo de capitales sería otra cosa, pero yo lo veo más como colaboración con un grupo criminal, pero claro, no olvidemos que la persona a la que atacan y piden el rescate es una víctima”. Y añade: “Estaríamos en un punto en el que realmente depende de lo que se vaya a argumentar contra esa empresa que paga desde un juzgado de instrucción o de una fiscalía. Y también puede depender de las cantidades".
Existe la recomendación clara de no pagar tanto por parte del INCIBE como desde las Fuerzas de Seguridad del Estado, y hay hasta un un decálogo de consejos, pero es muy difícil, afirman fuentes del sector, criminalizar o juzgar a una empresa que solo tiene dos opciones ”o pagar o tener que cerrar, y dejar a las familias en la calle” y eso es lo que les ocurre a las pymes como a la de Juana. Pero… ¿A dónde van a parar las decenas de miles de euros que perciben todos los días los extorsionadores?
Antonio Fernandes, asesor y divulgador de Seguridad, ha hablado para Escudo Digital: “El pago de un rescate ha de ser la ultima opción siempre, porque no olvidemos que tras los receptores de este dinero lo que hay que son mafias con otros negocios aparte de la ciber, como trata de blancas, drogas, armas…”
"La ciberseguridad es una inversión en el futuro del negocio. Los seguros, sean ciber o no, son un juego de azar en el que apuestas en tu contra”.
Y ese no es el único de los inconvenientes de tener contratado un seguro que cubra rescates: “Puede ocasionar una falsa sensación de seguridad, puede ser cierto que cuando ocurre un incidente, el seguro se haga cargo del pago y del envío del equipo de incidencias. Pero es cuestión de tiempo que vuelva a ocurrir otro ataque, y volvamos a estar en esta situación”.
Lo primordial, afirma este experto, “es poner las contramedidas para evitar esta situación, tener las personas y la tecnología que nos permitan evitar en la medida de lo posible el secuestro de datos y posterior extorsión. La ciberseguridad es una inversión en el futuro del negocio. Los seguros, sean ciber o no, son un juego de azar en el que apuestas en tu contra”.
Un seguro, añade, sería solo “una milla extra cuando tienes todo lo demás cubierto: estrategia, tecnología, procesos y personas”.
Ninguna compañía de seguros, salvo Axa, reconoce abiertamente cubrir estos costes. Solo AON, que no es una compañía de seguros, sino una correduría, ha accedido hablar con Escudo Digital.
Y de lo que ha hablado es de los seguros que cubren los daños derivados de sufrir un ciberataque. Nada que ver con el tipo de póliza a la que se referían los cibercriminales rusos Wizard Spider cuando hablaban con los responsables de la cadena de moda británica de ropa Farr Face. Sufrieron un ataque el pasado mes de marzo y tuvieron que cerrar más de 200 tiendas tras sufrir un ciberataque con ransomware. Los rusos filtraron la conversación que mantuvieron por chat, para ir motivando a próximas víctimas. “ Lo que pedimos es inferior a la cobertura de su póliza de 10 millones. Creo que es momento de llamar a su aseguradora". La cantidad solicitada era de ocho millones de dólares.
Después de mucho negociar, pagaron dos millones. Probablemente también tuvieron que negociar a dos bandas, y una de ellas sería la aseguradora, porque ninguna empresa suele cumplir, desgraciadamente, al 100% todo lo exigible en materia de ciberseguridad cuando se produce el ciberataque.
Hemos hablado con Claudia Beatriz Gómez, Executive Director Financial & Professional Solutions de Aon, quien nos ha explicado los dos productos de seguridad que ofrecen: Cyber y Crime, nada que ver con rescates; “Son dos seguros diferentes. Por un lado, Cyber cubre los riesgos derivados de la información (confidencialidad, privacidad, integridad y disponibilidad) y de los sistemas TI que soportan dicha información, fundamentalmente debidos a ciberataques, mientras que Crime cubre todo el espectro del riesgo de robo o fraude, ya sea por medios tradicionales o electrónicos. Por lo tanto, la prestación es distinta en uno y otro caso. En el primer caso, las prestaciones son gastos derivados de un incidente de seguridad o privacidad, indemnizaciones a terceros y pérdida de ingresos por interrupción del sistema informático, mientras que en el caso de Crime, lo que se cubre es la pérdida económica directa (es decir, el dinero o activo tangible objeto de robo)”.
Le preguntamos si este tipo de pólizas se contratan, “acordándose de Santa Bárbara”, cuando truena, o mucho antes: "Normalmente se toman medidas, lo cual no quiere decir que estén en el nivel más adecuado. Creemos que hay mucho aún por recorrer en ciberseguridad, sobre todo desde el punto de adopción de determinadas medidas técnicas y desde luego, desde el ámbito procedimental o de preparación ante incidentes. Las graves afectaciones que tienen determinados incidentes –como ransomware o ingeniería social– es en gran medida debido a la falta de concienciación y adecuada preparación para hacer frente a estos incidentes".
Y es que no basta con contratar un seguro, hay que tomar medidas, afirma Claudia Beatriz Gómez, y acordarse de la famosa Santa patrona de los mineros antes de que llegue la tormenta: “Las aseguradoras no aseguran a empresas que no hacen una adecuada gestión del riesgo cibernético. Por eso es tan importante reforzar su postura de ciberseguridad, primero realizando los assessment previos para saber dónde hay que dedicar los esfuerzos de mejoras técnicas y cuánto se debe invertir en ciberseguridad. Las pólizas de seguro no cubren todo y lo que está en riesgo es el propio negocio, tanto en continuidad como en reputación”.
Sigue leyendo si quieres saber hasta qué punto es legal pagar un rescate en España
"El código penal prevé penas de cárcel para aquellas personas que colaboren económicamente con organizaciones relacionadas con el terrorismo"
"
¿Por qué este secretismo absoluto por parte de las grandes empresas del sector? Porque realmente, si nos atenemos a la legislación, y por mucho que la Policía colabore en algunos países con las familias de los secuestrados a la hora incluso de asesorarles a pagar un rescate, una cosa es un ser humano y otra muy distinta una empresa. Y más en un país que ha sido marcado por la huella del terrorismo y la extorsión. Tal vez ni la Policía Nacional ni el INCIBE lo tengan muy claro, pero se pueden obtener algunas conclusiones leyendo el código civil, concretamente estos dos artículos:
- 518 del Código Penal: "Los que con su cooperación económica o de cualquier otra clase, en todo caso relevante, favorezcan la fundación, organización o actividad de las asociaciones comprendidas en los números 1.o y 3.o al 6.o del artículo 515 *), incurrirán en la pena de prisión de uno a tres años, multa de doce a veinticuatro meses, e inhabilitación para empleo o cargo público por tiempo de uno a cuatro años. ¿Y qué dice el artículo 515 del código Penal? que "son punibles en primer lugar las asociaciones ilícitas, teniendo tal consideración: Las que tengan por objeto cometer algún delito o, después de constituidas, promuevan su comisión. Evidentemente al pagar el rescate se está cooperando con una organización criminal".
-
Art: 576, relacionado con el terrorismo:
- 1. Será castigado con la pena de prisión de cinco a diez años y multa del triple al quíntuplo de su valor el que, por cualquier medio, directa o indirectamente, recabe, adquiera, posea, utilice, convierta, transmita o realice cualquier otra actividad con bienes o valores de cualquier clase con la intención de que se utilicen, o a sabiendas de que serán utilizados, en todo o en parte, para cometer cualquiera de los delitos comprendidos en este Capítulo.
- 2. Si los bienes o valores se pusieran efectivamente a disposición del responsable del delito de terrorismo, se podrá imponer la pena superior en grado. Si llegaran a ser empleados para la ejecución de actos terroristas concretos, el hecho se castigará como coautoría o complicidad, según los casos.
- 3. En el caso de que la conducta a que se refiere el apartado 1 se hubiera llevado a cabo atentando contra el patrimonio, cometiendo extorsión, falsedad documental o mediante la comisión de cualquier otro delito, éstos se castigarán con la pena superior en grado a la que les corresponda, sin perjuicio de imponer además la que proceda conforme a los apartados anteriores.
- 4. El que estando específicamente sujeto por la ley a colaborar con la autoridad en la prevención de las actividades de financiación del terrorismo dé lugar, por imprudencia grave en el cumplimiento de dichas obligaciones, a que no sea detectada o impedida cualquiera de las conductas descritas en el apartado 1 será castigado con la pena inferior en uno o dos grados a la prevista en él».
¿Son organizaciones terroristas aquellas que secuestran oleoductos y paralizan hospitales? Está claro que sí. En Alemania aún andan investigando la muerte de una mujer por un ciberataque a un centro sanitario en Düsseldorf. Y pagando secuestros se les ayuda a seguir creciendo. Al igual que cuando algunas personalidad del País Vasco pagaba a ETA el impuesto revolucionario; el dinero, en este caso no va a parar a ninguna ONG. Los canallas que están detrás de estas organizaciones no son precisamente Robin Hood.
Pero en España y en el resto del mundo no son ni una ni dos las empresas que han pagado rescate a ciberterroristas, desgraciadamente, sino muchísimas más. Algunas lo pagaron con su ruina, como Travelex, que tras abonar 2,3 millones de dólares a los chantajistas, entró en concurso de acreedores y tuvo que despedir a 1.300 personas. Igual que lo pagaron los responsables del oleoducto que abastecía la Costa Este de Estados Unidos antes de recuperar la mitad del dinero.
“¿Cómo va la policía a perseguir a una empresa si paga o no paga? Lo que tiene que hacer es perseguir a los ciberdelincuentes”, ha comentado a este periódico el Consejero Delegado de una compañía relacionada con el ámbito de la alimentación que justifica no solo que se paguen los rescates, sino también buscar seguros para protegerse ante el enorme desembolso que puede suponer un ciberataque.
Sigue leyendo si quieres saber la opinión de Fernando Acero, CISO de Oesía, sobre los seguros cyber, y las probabilidades de que este tipo de servicio pueda desgravar a Hacienda.
"Con el dinero que pagan en rescates a estas compañías pueden mantener infraestructuras monstruosas que les permiten disponer de 9.000 dominios para atacarte", afirma Fernando Acero.
Hemos hablado con un experto en ciberseguridad, el Coronel Fernando Acero, CISO del Grupo Oesia, firme partidario de no pagar rescates, y “señala que hay estadísticas contratadas que afirman que los que han pagado una vez acaban pagando dos y tres veces”. Esta es su postura frente a los seguros:
"Lo primero que hay que hablar es de la gestión del riesgos. El riesgo es el resultado de multiplicar la probabilidad por el impacto. Una vez que has categorizado los riesgos y los has valorado los tienes que gestionar. Puedes hacer varias cosas, lo primero es aplicar tecnología, poner un antivirus, un cortafuegos, etc, que tienen un coste económico; puedes aplicar procedimientos, como obligar a la gente a que revise con un antivirus un USB antes de introducirlo en la red de la empresa. Puedes asumir esos riesgos, pero solo puedes asumir los que tienen un bajo impacto y una baja probabilidad. Y lo otro que puedes hacer es externalizarlos, que es lo que hacen las compañías de seguros. Yo externalizo el riesgo y contrato con una compañía que en el caso de que se materialice se encargan de pagar una cantidades".
"No es tan fácil tener un seguro, has de demostrar que cumples unos requisitos y no es ni barato ni sencillo. Las pruebas pueden ser tan complejas como ver cómo reaccionan todos y cada uno de tus empleados ante un ataque de phishing”, señala Acero.
¿Cuál es el problema de la externalización de los riesgos? "Primero que no cumplen el daño completo" , afirma Fernando Acero, y cuando habla de daños hace referencia a perjuicios “reputacionales y económicos muy grandes, algunos intangibles que nunca van a estar cubiertos por una compañía de seguros. Puede que ayude, pero no soluciona".
Y eso sin tener en cuenta el alto coste de las primas: a principios del 2020 subieron de forma importante, ya que “la ciberseguridad había empeorado. No es tan fácil tener un seguro, has de demostrar que cumples unos requisitos y no es ni barato ni sencillo. Las pruebas pueden ser tan complejas como ver cómo reaccionan todos y cada uno de tus empleados ante un ataque de phishing”.
Puede servir de ayuda para pagar ciertos gastos, pero en el caso de los rescates tenemos que darnos cuenta de que cuando alguien se hace con nuestros datos y nos amenaza con publicarlos en la dark web si no pagamos, si cedemos, ocurren varias cosas, nos recuerda el Coronel: "Primero, damos recursos a los atacantes, estas reconociendo que es un negocio. Llevan ganando desde hace mucho tiempo millones de euros y eso les legitima a seguir haciéndolo y a que lo quieran hacer muchos más actores. Y hay mucha gente que paga porque no está preparada para no tener que pagar”.
La solución, afirma, está clara: “el único remedio es la prevención. Tener los sistemas actualizados, bastionados y al personal concienciado; es decir, hacer más énfasis en la prevención y en las buenas prácticas. Pagar un rescate no es una buena opción, al margen de que sea delito o deje de serlo. En Estados Unidos ahora sí lo es, y es algo que aplaudo”. Y es que "con el dinero que se paga en rescates a los ciberdelincuentes, estos pueden mantener infraestructuras monstruosas que les permiten disponer de hasta 9.000 dominios para atacarte, que es lo que estamos viendo".
Juana, la empresaria que pagó hace seis años, sí estaría dispuesta a pagar en un momento dado una póliza que cubriera los gastos de un rescate. Le preguntamos al respecto y esto es lo que nos contesta: “Sí me lo he planteado. No es una opción a desdeñar. ¿Si no es moralmente correcto? Pues puede ser que no, en el fondo estoy dando de comer a unos delincuentes. O les doy de comer a estos sinvergüenzas o me muero de hambre. Pues pago y ya está. Si tienes dinero pagas, porque es el mal menor ”.
Y hay otro argumento que puede jugar a favor de las aseguradores, aunque es improbable que si en el INCIBE no hablan del tema, Hacienda se pronuncie al respecto: “Yo pagué y me salió bien, pero me jodieron. Aquellos 500 euros no eran deducibles de ninguna manera. No emitieron factura. Porque esas entidades criminales, por muy profesionalizadas que estén, no pagan a Hacienda ni pagarán nunca. Y hay una duda que me asalta: "¿Eso, en un macro rescate, cómo lo justificas?”.
Está claro que Juana y otros muchos, si la póliza para pagar el rescate "les cuela" para Hacienda como las facturas mensuales del Uber, les puede llegar a suponer un atractivo adicional.
Escudo Digital ha hablado con la agencia tributaria, donde no nos han sabido dar una respuesta inmediata al respecto, aunque nos asegurado que nos contestarían. Hemos decidido hablar con Ángel Bahamontes, presidente de la ANTPJ: ”Por supuesto que desgravan los seguros de rescate de Ransomware. Sólo hay que hablar con cualquier asesor. Pero pagar un rescate no es ni será nunca una buena idea. Estás profesionalizando una actividad en la que puede interesarse mucha gente. No hay que olvidar que hay niños de 14 años que dominan Maltego y te pueden destrozar una red. Y eso sin contar con que a veces no sabes ni a quién estás pagando.”
Pero lo que le tiene que quedar claro tanto a Juana como a otros muchos que decidan pagar los rescates es que los ciberdelincuentes no te dejan, tras los destrozos, el salón perfectamente limpito, hayas pagado mediante seguro o sin él: “No es solo probable que te vuelvan a atacar, también que dejen tu sistema comprometido y sigan en sus manos para siempre”, afirma Fernando Acero.
El Ministerio de Hacienda, al cierre de estas líneas, ha contestado a Escudo Digital: "Sí desgrava, si está vinculado con la actividad es deducible en el Impuesto sobre Sociedades. Sería, por ejemplo, como un seguro de incendios que contrata la empresa".