Los miembros de la Counter Ransomware Initiative (CRI) han publicado una nueva guía para alentar a las organizaciones a considerar otras opciones antes de realizar pagos de ransomware a los ciberdelincuentes. La nueva guía tiene como objetivo minimizar el impacto general de un incidente de ransomware y ayudar a reducir la cantidad de rescates pagados por las víctimas, así como el tamaño de los rescates cuando las víctimas deciden pagar. La guía desaconseja firmemente que las empresas realicen pagos, pero reconoce que puede haber ocasiones en las que una víctima considere pagar. Sin embargo, el gobierno del Reino Unido, por ejemplo, no respalda ni tolera que nadie pague rescates. Un estudio de Chainalysis de principios de este año informó que los actores de ransomware recaudaron más de mil millones de dólares en pagos en 2023. Los pagos de ransomware en general han ido en aumento desde 2019, cuando Chainalysis comenzó a registrar el mercado. El CRI señaló que el pago no garantiza el acceso a los datos y dispositivos, e incluso la adquisición de la clave de descifrado puede no poner fin al incidente. El director de Resiliencia Nacional del NCSC, Jonathon Ellison, dijo: «El ransomware sigue siendo una amenaza urgente y las organizaciones deben actuar ahora para aumentar la resiliencia». El Reino Unido y 38 países, incluidos Australia, Canadá, Japón, Estados Unidos y Nueva Zelanda, se unieron a organismos internacionales de seguros cibernéticos para respaldar la guía del CRI. «El respaldo de esta guía de mejores prácticas por parte de ambos países y de los organismos internacionales de seguros cibernéticos representa un poderoso impulso para que las organizaciones mejoren sus defensas y mejoren su preparación cibernética», dijo Ellison. Recomendaciones de orientación de la iniciativa contra el ransomware El CRI dijo que se alienta a las organizaciones a prepararse, como parte de su plan de continuidad del negocio, y a desarrollar e implementar sus políticas, procedimientos, marcos y planes de comunicación antes de cualquier incidente de ransomware. La guía aconseja a las organizaciones: Considerar el entorno legal y regulatorio en torno a los pagos de ransomware. Informar el incidente a las autoridades lo antes posible. La presentación oportuna de informes puede ayudar en las investigaciones policiales y permitir a las autoridades brindar la asistencia necesaria a las organizaciones de víctimas. Evaluar todas las opciones y garantizar que la diligencia debida sea parte del plan de respuesta y recuperación. Consultar a expertos cuando sea posible, como aseguradoras, autoridades técnicas nacionales y autoridades policiales. o empresas de respuesta a incidentes cibernéticos familiarizadas con incidentes de ransomware. Revise las alternativas al pago de un rescate. Las decisiones sobre el pago deben basarse en una comprensión integral del impacto del incidente y si es probable que el pago cambie el resultado. Reúna información relevante para evaluar el impacto y las obligaciones legales. Esto incluye considerar la situación técnica, como la disponibilidad de copias de seguridad, e implementar soluciones para gestionar la interrupción del negocio. Evaluar el impacto del incidente para estar mejor preparado para discusiones de cobertura instantánea. Las organizaciones también deben evaluar el riesgo para la vida, los datos personales o la seguridad nacional si los datos se publicaran. Se debe verificar cualquier afirmación sobre la naturaleza y la cantidad de datos robados. Registrar la toma de decisiones para crear un rastro auditable Involucrar a las partes interesadas necesarias de toda la organización en las decisiones, incluido el personal técnico y los tomadores de decisiones de alto nivel Investigar la causa raíz del incidente y hacer los preparativos necesarios para evitar un ataque repetido La guía no es vinculante por naturaleza y no anula leyes y regulaciones específicas que puedan aplicarse en las jurisdicciones miembros de CRI. En 2023, los miembros del CRI se comprometieron a no pagar rescates por ransomware y a que los fondos del gobierno central no deberían utilizarse para pagar rescates a los ciberdelincuentes. La nueva guía llega cuando comienza el Mes de Concientización sobre la Seguridad Cibernética, que se centra en la importancia de que las empresas desarrollen su resiliencia cibernética. La Orientación se acordó durante la reunión anual de la Cuarta Cumbre de la Iniciativa Internacional Contra el Ransomware (CRI) el 1 de octubre de 2024, en el Instituto del Servicio Exterior en Arlington, Virginia.