Es común, al hablar de ransomware, entrar en el debate sobre si se debe o no se debe pagar a los ciberdelincuentes por recuperar el control de los datos y sistemas comprometidos en el ataque. Y aunque la recomendación universal en estos casos es no pagar, y luego recordaremos las razones para ello, basta con ponerse por unos segundos en la situación de la otra parte para entender que, en bastantes casos, pagar sea (o al menos lo parezca) la solución más sencilla, en una situación en la que en realidad nada es sencillo.
Desde que era adolescente, la canción Pacto entre caballeros de Sabina me ha generado una profunda disonancia cognitiva. Entiendo que Sabina utiliza el término caballeros como sinónimo sarcástico de crápulas, pero precisamente por eso, me cuesta conceder valor de ley a la palabra que, en un momento dado, te pueda dar alguien poco confiable. En el caso de la canción la jugada salió bien, pero si hablamos de ransomware y ciberdelincuentes, las probabilidades de que algo salga mal están, desgraciadamente, muy presentes.
Hay dos razones muy sencillas y contundentes por las que pagar no es la solución. La primera puede sonar utópica, pero en realidad es una ley básica de mercado: si nadie paga, al final nadie «venderá», mientras que cada rescate satisfecho es un incentivo para que los ciberdelincuentes sigan confiando en el ransomware para extorsionar a sus víctimas.
La segunda razón es a la que aludía con mi referencia a la canción de Sabina, y es a que pagar no nos garantiza nada, ni que recuperaremos nuestros datos, ni que estos no acabaran filtrados en la darkweb, ni que el problema haya quedado solucionado, ni que a partir de ese momento formaremos parte de una lista de personas o empresas que ya han sido víctimas del ransomware y, por lo tanto, ya estamos a salvo de nuevos ataques. Muy al contrario, haber pagado en el pasado es un indicador claro de que podríamos volver a pagar en el futuro.
