Están proliferando los puestos especializados en ciberseguridad, lo que no es sorprendente dada la evolución del panorama de amenazas y el devastador impacto del ransomware en muchas empresas.
Entre estas funciones, los negociadores del ransomware son cada vez más cruciales. Estos negociadores operan en la primera línea de la ciberdefensa, interactuando directamente con los ciberdelincuentes para mitigar el impacto de los ataques de ransomware en las organizaciones.
Los negociadores de ransomware poseen una combinación única de experiencia técnica, conocimiento psicológico y habilidades de negociación que les permiten navegar por el entorno de alto riesgo de la negociación de ransomware. Su trabajo consiste en comprender los entresijos de los ataques de ransomware, evaluar la gravedad y el impacto potencial en la organización y negociar los términos que puedan minimizar los daños y recuperar los datos cifrados.
En esta exclusiva y perspicaz sesión de preguntas y respuestas, hablamos con Andrew Carr, director de programas de posgrado en ciberseguridad y profesor adjunto de ciberseguridad en la Universidad de Utica.
Carr pasó varios años en funciones de supervisión en organizaciones líderes, con experiencia en análisis forense digital, tácticas, técnicas y procedimientos de actores de amenazas, negociaciones de ransomware, aplicación de la ley de privacidad de datos en caso de vulneración, consideraciones de auditoría financiera para incidentes cibernéticos, investigaciones de robo de propiedad intelectual y rastreo de criptomonedas.
Obtuve mi licenciatura y maestría en ciberseguridad en la Universidad de Utica. Mis especializaciones específicas fueron en forense digital y, por tanto, a lo largo de los años he tenido varias certificaciones en forense digital que han caducado. Actualmente tengo las certificaciones GIAC Certified Incident Handler y CipherTrace Cryptocurrency Tracing Certified Examiner. También he participado en más de 1000 horas de formación en la disciplina de informática forense y respuesta a incidentes.
Boletín del sector
Manténgase al día sobre las tendencias más importantes e intrigantes del sector en materia de IA, automatización, datos y mucho más con el boletín Think. Consulte la Declaración de privacidad de IBM.
Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
Mi primer puesto fue como analista forense digital para un laboratorio criminal regional en Nueva York. Antes de eso hice prácticas en el laboratorio criminalístico de un departamento de policía local, así que no seguí el camino que siguen muchas personas al empezar en un puesto de infraestructura. Tenía un gran interés por la medicina forense que se desarrolló durante mi licenciatura, y me metí de lleno en ella en cuanto me gradué y nunca miré atrás.
Una negociación típica comienza cuando ambas partes buscan el resultado más favorable para su bando, respetando la integridad de la otra parte y el proceso. Las negociaciones de ransomware, lamentablemente, suelen empezar con el negociador y su cliente en el lado perdedor desde el principio.
En estas situaciones, el grupo de ransomware suele tener una ventaja significativa al intentar controlar la cadencia y el enfoque de las comunicaciones debido a las necesidades urgentes de la organización afectada de recuperar archivos cifrados o suprimir datos exfiltrados. Corresponde al negociador intentar recuperar el máximo control posible de la situación y usar la comunicación estratégica para recuperar el control de la cadencia, obtener información valiosa sobre el robo de datos y, en última instancia, asegurar un acuerdo que ofrezca a su cliente el mejor resultado posible dada la situación.
Es una batalla cuesta arriba en todo momento, pero con suficiente conocimiento y experiencia, los negociadores a menudo pueden asegurar términos aceptables para sus clientes y minimizar su exposición al riesgo.
La habilidad más valiosa que he aprendido es la capacidad de resolver problemas rápidamente. La respuesta a incidentes se produce a un ritmo vertiginoso y a menudo se trata de ataques y herramientas novedosos. Aprendes rápidamente que debes pensar críticamente y resolver las cosas sobre la marcha.
Lo mismo ocurre en las negociaciones de ransomware. A menudo se intenta sopesar simultáneamente las necesidades de una organización, como el descifrado, la exfiltración de datos y el conocimiento del vector de ataque, con los riesgos inherentes de las sanciones federales y los orígenes y afiliaciones de los grupos de amenazas. A menudo, nos encontramos con un nuevo grupo y tenemos que resolver problemas tanto desde la perspectiva de la negociación como del pago para encontrar formas de garantizar que nuestro cliente pueda volver a sus operaciones normales sin exponerlo al riesgo de infringir sanciones. Puede ser una tarea desalentadora sin las personas adecuadas involucradas.
Una sólida comunicación y habilidades de redacción son esenciales para tener éxito en negociaciones de ransomware. A menudo se comunica sobre grandes sumas de dinero y temas altamente técnicos en plazos acelerados con personas cuyo idioma nativo es diferente al suyo. Por lo tanto, su comunicación debe ser concisa, precisa y bien entregada. Incluso los pequeños problemas en sus comunicaciones pueden crear problemas importantes más adelante en el proceso de negociación.
Esas mismas habilidades son importantes desde el punto de vista de la interacción con el cliente. Una organización suele estar en su punto más bajo durante una negociación de ransomware, y las personas suelen estar agotadas, estresadas y confundidas. Es importante que el negociador de ransomware transmita confianza liderando la discusión, anticipando las necesidades de la organización y manteniendo el mismo estilo de comunicación claro que le convierte en un buen negociador.
Las organizaciones confían en nosotros para que hagamos lo que es mejor para ellas, y siempre debemos asegurarnos de que se sientan escuchadas y comprendidas, a la vez que les ayudamos a comprender plenamente un proceso que puede ser completamente ajeno a ellas.
El éxito de las negociaciones de una organización sobre el ransomware depende realmente de la experiencia de las personas que negocian en su nombre. Es imperativo que una organización busque una empresa con experiencia en negociaciones. Intentar negociar por su cuenta puede tener graves consecuencias que podrían evitarse recurriendo a las personas adecuadas. Los proveedores de seguros de ciberseguridad, los bufetes de abogados cibernéticos y los proveedores de respuesta a incidentes de buena reputación generalmente pueden brindarle recomendaciones de calidad sobre quién sería una buena opción para sus negociaciones, pero la clave es involucrarlos lo más rápido posible.
El ransomware es una parte desafortunada de la nueva realidad del panorama empresarial, pero hay personas que pueden ayudarle a navegar por el difícil camino a través de él.