¿Pagar el rescate del ransomware? Lo que recomiendan los expertos

Un ataque de ransomware cifra tus archivos y exige un pago, normalmente en criptomoneda, para devolverte el acceso. La pregunta que se hacen empresas y particulares en ese momento crítico es siempre la misma: ¿pago? La respuesta no es simple, pero existe un consenso claro entre las autoridades de ciberseguridad y los expertos forenses: no pagar es la opción recomendada siempre que sea posible. En este artículo explicamos por qué y qué alternativas reales existen.

Por qué los expertos recomiendan no pagar

Las razones para no pagar el rescate son sólidas y están respaldadas por organismos como el FBI, INCIBE y ENISA:

• No hay garantía de recuperación: entre el 20 y el 40 % de las víctimas que pagan no reciben una clave funcional, o reciben herramientas de descifrado que fallan en archivos dañados durante el cifrado.
• Financia la delincuencia: cada rescate pagado costea el desarrollo de nuevas variantes de ransomware y el reclutamiento de más afiliados en los esquemas RaaS (Ransomware as a Service).
• Incentiva futuros ataques: las organizaciones que pagan quedan marcadas como “víctimas que pagan”, lo que aumenta la probabilidad de sufrir un segundo ataque en los meses siguientes.
• Riesgos legales: en algunos países, pagar a grupos sancionados internacionalmente (grupos norcoreanos, iraníes) puede constituir una infracción de la normativa de sanciones económicas, con consecuencias legales para la empresa pagadora.
• Los datos pueden seguir expuestos: muchos grupos modernos realizan doble extorsión: cifran los datos y los exfiltran. Pagar el rescate de cifrado no garantiza que no publiquen los datos robados.

Cuándo algunas organizaciones deciden pagar de todos modos

A pesar de las recomendaciones, algunas organizaciones se ven en situaciones en las que pagar parece la única opción viable:

• Sistemas críticos sin copia de seguridad: hospitales, plantas industriales o infraestructuras que no pueden operar sin los datos cifrados y carecen de backups recientes.
• Riesgo para la vida o la seguridad: en contextos donde la falta de datos puede poner en peligro vidas humanas de forma inmediata, algunas administraciones han optado por pagar como último recurso documentado.
• Coste de recuperación desproporcionado: cuando el tiempo de inactividad supera con creces el importe del rescate y no existe otra vía de recuperación rápida.

Incluso en estos casos, se recomienda negociar el importe (muchos grupos aceptan reducciones del 30–60 %), involucrar a las fuerzas de seguridad y contar con asesoramiento jurídico antes de realizar cualquier pago.

Herramientas gratuitas de descifrado: el proyecto No More Ransom

Antes de plantearse pagar, es imprescindible consultar el portal No More Ransom (nomoreransom.org), iniciativa conjunta de Europol, la Policía Nacional Neerlandesa, Kaspersky e Intel Security. El portal ofrece descifradores gratuitos para más de 150 familias de ransomware.

El proceso es sencillo:

1. Sube un archivo cifrado y la nota de rescate al portal.
2. La herramienta Crypto Sheriff identificará la variante de ransomware.
3. Si existe descifrador disponible, se te indicará cómo descargarlo y usarlo gratuitamente.

Complementariamente, el servicio ID Ransomware (id-ransomware.malwarehunterteam.com) identifica más de 1 000 variantes y enlaza con los descifradores existentes.

Obligaciones legales: notificación a INCIBE y AEPD

En España, un ataque de ransomware que afecte a datos personales constituye una brecha de seguridad bajo el RGPD y la LOPDGDD. Las obligaciones son:

• Notificación a la AEPD en 72 horas: las empresas que traten datos personales deben notificar la brecha a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas desde su detección, salvo que sea improbable que suponga riesgo para los afectados.
• Notificación a los afectados: si la brecha supone un riesgo alto para sus derechos y libertades, deben ser informados sin dilación indebida.
• Comunicación al INCIBE-CERT: el Instituto Nacional de Ciberseguridad (incibe.es) ofrece asistencia técnica gratuita a empresas y ciudadanos ante incidentes de ciberseguridad.

No notificar en plazo puede acarrear sanciones de hasta 10 millones de euros o el 2 % de la facturación anual global, la cifra que sea mayor de las dos.

Recuperación desde copias de seguridad

La estrategia más eficaz frente al ransomware es disponer de copias de seguridad aisladas (air-gapped) o con protección frente a escritura no autorizada. El esquema recomendado es la regla 3-2-1: 3 copias, en 2 soportes distintos, con 1 fuera de las instalaciones o en la nube inmutable.

Al restaurar desde backup tras un ataque es fundamental:

• Identificar y aislar el vector de entrada antes de restaurar, para evitar una reinfestación inmediata.
• Verificar que los backups no estén también cifrados (algunos ransomware esperan semanas antes de activarse para contaminar los backups).
• Restaurar en un entorno limpio y actualizado antes de reconectar a la red de producción.

Recuperación forense de datos cifrados sin pagar

En casos específicos, los laboratorios de recuperación pueden rescatar información sin la clave de descifrado:

• Archivos no cifrados: muchas variantes omiten archivos muy pequeños, carpetas del sistema o ciertas extensiones. Un análisis forense puede recuperar estos datos intactos.
• Versiones previas en VSS: si el ransomware no eliminó las instantáneas de volumen de Windows (Volume Shadow Copies), es posible recuperar versiones anteriores de los archivos.
• Errores de implementación criptográfica: algunos ransomware menos sofisticados usan generadores de números aleatorios débiles o reutilizan claves, permitiendo a los investigadores derivar la clave sin pagarla.
• Carving de fragmentos no sobreescritos: técnicas de recuperación permiten a veces rescatar fragmentos de documentos o bases de datos desde zonas del disco no alcanzadas por el cifrado.