En el marco de Black Hat Europe 2025, Max Smeets de Virtual Rotes presentó un análisis profundo sobre el funcionamiento de los grupos de ransomware, específicamente el llamado LockBit. Su investigación revela cómo este grupo operó con un total de 194 afiliados entre 2022 y 2024, de los cuales 110 lograron llevar a cabo ataques cibernéticos hasta la etapa de negociación con sus víctimas. Curiosamente, de estos, 80 afiliados lograron cobrar sus demandas de extorsión, lo que pone de manifiesto la complejidad del modelo de negocio del ransomware.
Uno de los puntos más destacados por Smeets fue la importancia de la reputación, tanto para las empresas afectadas como para los grupos de ransomware. Las empresas deben cuidar su imagen ante los clientes, ya que incluso el más leve indicio de una filtración de datos puede tener consecuencias devastadoras en su reputación. El estudio señala que las empresas que optan por pagar la extorsión suelen recibir más cobertura mediática que aquellas que no lo hacen, lo que puede insinuar una pérdida de control y generar desconfianza entre los consumidores.
Desde un enfoque financiero, algunos expertos argumentan que pagar el rescate puede ser, en ocasiones, la solución más rentable. La recaudación total de costos en un incidente cibernético puede exceder ampliamente el monto del rescate, como evidencian los ataques a Caesars Palace y MGM. Pagar el rescate podría ser el método más rápido y eficaz para que una empresa vuelva a estar operativa.
Sin embargo, no todo son ventajas. Existen riesgos significativos involucrados en el pago de rescates. No hay garantía de que la clave de descifrado entregada funcione y, además, las víctimas que acceden a las demandas de rescate pueden convertirse en objetivos recurrentes para los atacantes, validando así este modelo de negocio delictivo.
Por otro lado, los propios operadores de ransomware también valoran su reputación. Para mantener su «marca», deben ser considerados como agentes confiables que cumplen con su parte del trato. La reputación se convierte, por tanto, en un componente crítico en la dinámica de extorsión. Si los potenciales clientes de un grupo de ransomware recibieron informes negativos sobre su desempeño y capacidad para cumplir, podrían desaconsejar el pago.
El impacto de la labor de las fuerzas del orden también puede influir en esta percepción. Operativos dirigidos a desmantelar grupos como LockBit han buscado generar desconfianza en torno a su capacidad para eliminar los datos robados tras el pago, lo que podría llevar a sus afiliados a buscar alternativas más confiables.
Una conclusión importante de la presentación fue la forma en que las aseguradoras afectan el precio del rescate. Comprender la póliza de ciberseguro de una empresa, incluido si cubre el pago de rescates, otorga a los ciberdelincuentes herramientas valiosas para decidir cuánto pedir. Por lo tanto, las empresas deben considerar asegurar la información sobre sus pólizas de ciberseguro, segregándola completamente del resto de su red para evitar ser vulnerables a un ataque.
Fuente: WeLiveSecurity by eSet.
