Las compañías están cediendo a las extorsiones en lugar de realizar otras acciones para evitar que sus datos privados sean publicados en Internet.

Existe un perturbador nuevo ángulo sobre los ciberataques que se ha vuelto común en el último año y está demostrando ser costoso para las organizaciones: la extorsión.

En el último año, las empresas han pagado más de un millón de dólares a cambio del silencio de los ciberatacantes que les han robado sus datos privados y que han amenazado con publicarlos en línea, dijo Charles Carmakal, vicepresidente de Mandiant (la unidad de cómputo forense de FireEye), en una entrevista.

“Hemos visto pagos de siete cifras realizadas por organizaciones que temen que sus datos sean publicados”, dijo Carmakal.

Mandiant describió estos ataques en un nuevo reporte emitido la semana pasada, mencionando que, en algunos casos, los atacantes también se han burlado de los ejecutivos.

Los ataques de extorsión son más sofisticados que los ransomware, como Cryptolocker; el malware que cifra los archivos en una computadora y pide pago en bitcoin.

Aunque los ataques de ransomware pueden ser devastadores, el pago demandado usualmente es de algunos dólares, aunque algunos ataques han tenido éxito obteniendo mucho más. Sin embargo, los ataques de extorsión son mucho más meticulosos y pueden ser potencialmente más perjudiciales, especialmente para una compañía grande. Carmakal dijo que algunos de los datos, de ser revelados públicamente, podrían potencialmente sacar a una compañía del negocio.

Así que “la realidad es que muchas personas están pagando”, agregó.

Para Mandiant, que ha investigado grandes fugas de información en Target, Home Depot y Anthem, puede ser difícil aconsejarle a una organización sobre el curso de acción que se debe tomar, mencionó Carmakal. Los atacantes no suelen dar mucho tiempo para permitir una revisión forense completa y averiguar si los atacantes están engañándolos. Y hay farsantes en busca de dinero fácil.

“Lo que necesitamos es prueba de que alguien en realidad tiene acceso a la información”, añadió Carmakal. “Hacemos que envíen una muestra, o llevamos a cabo una investigación tan rápido como nos sea posible”. Si los artefactos forenses revelan que alguien ha estado entrando a hurtadillas, lo que sigue es tomar una decisión muy difícil: aún si la empresa paga, no hay ninguna garantía de que los atacantes no van a liberar la información.

“Absolutamente hay un riesgo si no se paga y hay un riesgo si se paga”, dice Carmakal. “El objetivo de todos es que se pague el rescate y los atacantes se van y borran la información, pero no recibirás la confirmación que quieres de que los atacantes borraron tus datos”.