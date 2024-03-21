Los roles especializados en ciberseguridad están proliferando, lo cual no sorprende dado el escenario cambiante de amenazas y el devastador impacto del ransomware en muchas empresas.
Entre estos roles, los negociadores de ransomware son cada vez más cruciales. Estos negociadores operan en la primera línea de la defensa cibernética, interactuando directamente con los delincuentes cibernéticos para mitigar el impacto de los ataques de ransomware en las organizaciones.
Los negociadores de ransomware poseen una combinación única de experiencia técnica, insight psicológico y habilidades de negociación que les permiten enfrentar el entorno de alto riesgo de la negociación de ransomware. Su trabajo implica comprender las complejidades de los ataques de ransomware, evaluar la gravedad y el impacto potencial en la organización, y negociar términos que puedan minimizar los daños y recuperar los datos cifrados.
En esta exclusiva y perspicaz sesión de preguntas y respuestas, hablamos con Andrew Carr, director de programas de posgrado en ciberseguridad y profesor asistente de ciberseguridad en la Universidad de Utica.
Carr pasó varios años en puestos de supervisión en organizaciones líderes, con experiencia en análisis forense digital; tácticas, técnicas y procedimientos de actores de amenazas; negociaciones de ransomware; aplicación de la ley de privacidad de datos con respecto a eventos de filtración; consideraciones de auditoría financiera para incidentes cibernéticos; investigaciones de robo de propiedad intelectual; y rastreo de criptomonedas.
Obtuve una licenciatura y maestría en ciberseguridad por la Universidad de Utica. Mis especializaciones específicas fueron en análisis forense digital y, por tanto, a lo largo de los años he tenido varias certificaciones en análisis forense digital que han caducado. Actualmente, poseo las certificaciones GIAC Certified Incident Handler y CipherTrace Cryptocurrency Tracing Certified Examiner. También he participado en más de 1000 horas de capacitación dentro de la disciplina de análisis forense digital y respuesta a incidentes.
Mi primer puesto fue como analista forense digital para un laboratorio criminalístico regional en Nueva York. Antes de eso, hice una pasantía en el laboratorio criminalístico de un departamento de policía local, por lo que no seguí el camino de muchas personas al comenzar en un rol de infraestructura. Tuve un gran interés en el análisis forense que se desarrolló durante mi carrera, y me dediqué a ello tan pronto como me gradué y nunca retrocedí.
Una negociación típica comienza cuando ambas partes buscan el resultado más favorable para cada quien, respetando la integridad de la otra parte y el proceso. Desafortunadamente, las negociaciones de ransomware a menudo comienzan con el negociador y su cliente en el lado perdedor de la ecuación desde el principio.
En estas situaciones, el grupo de ransomware a menudo tiene una ventaja significativa al intentar controlar la cadencia y el enfoque de las comunicaciones debido a las necesidades urgentes de la organización afectada de recuperar archivos cifrados o suprimir datos exfiltrados. Depende del negociador intentar recuperar el mayor control posible de la situación y utilizar la comunicación estratégica para recuperar el control de la cadencia, obtener insight valioso sobre el robo de datos y, en última instancia, asegurar un acuerdo que proporcione a su cliente el mejor resultado posible dada la situación.
Es una lucha cuesta arriba de principio a fin, pero con suficiente insight y experiencia, los negociadores pueden conseguir con frecuencia condiciones aceptables para sus clientes minimizando su exposición al riesgo.
La habilidad más valiosa que he aprendido es la capacidad de resolver problemas rápidamente. La respuesta a incidentes se produce a un ritmo vertiginoso y a menudo se trata de ataques y herramientas novedosos. Uno aprende rápido que debe pensar críticamente y resolver las cosas sobre la marcha.
Lo mismo ocurre en las negociaciones de ransomware. A menudo, se intenta sopesar simultáneamente las necesidades de una organización, como el descifrado, la exfiltración de datos y la información del vector de ataque, con los riesgos inherentes de las sanciones federales y los orígenes y afiliaciones de los grupos de amenazas. A menudo, nos encontramos con un nuevo grupo y tenemos que resolver problemas tanto desde la perspectiva de la negociación como del pago para encontrar formas de garantizar que nuestro cliente pueda volver a las operaciones normales sin exponerlo al riesgo de infringir las sanciones. Puede ser una tarea desalentadora sin las personas adecuadas involucradas.
Las sólidas habilidades de comunicación y redacción son esenciales para tener éxito en las negociaciones de ransomware. A menudo hay que comunicar sobre grandes sumas de dinero y temas altamente técnicos en plazos acelerados con personas cuyo idioma nativo es diferente al nuestro. Por lo tanto, la comunicación debe ser concisa y precisa y entregarse bien. Incluso los pequeños problemas de comunicación pueden crear problemas importantes más adelante en el proceso de negociación.
Esas mismas habilidades son importantes desde el punto de vista de la interacción con el cliente. Una organización suele estar en su punto más bajo durante una negociación de ransomware, y las personas suelen estar agotadas, estresadas y confundidas. Es importante que el negociador de ransomware transmita confianza liderando la conversación, anticipando las necesidades de la organización y manteniendo el mismo estilo de comunicación claro que le convierte en un buen negociador.
Las organizaciones confían en nosotros para que hagamos lo mejor para ellas, y siempre debemos asegurarnos de que se sientan escuchadas y comprendidas, al tiempo que las ayudamos a comprender completamente un proceso que puede ser completamente ajeno a ellas.
El éxito de las negociaciones de una organización ante un ataque de ransomware depende realmente de la experiencia de las personas que negocian en su nombre. Es imperativo que una organización busque una empresa con experiencia en negociaciones. Intentar negociar por cuenta propia puede tener graves consecuencias que podrían evitarse si se dispone de las personas adecuadas. Los proveedores de seguros de ciberseguridad, los bufetes de abogados cibernéticos y los proveedores de respuesta a incidentes de buena reputación generalmente pueden brindar recomendaciones de calidad sobre quién sería una buena opción para las negociaciones, pero la clave es involucrarlos lo más rápido posible.
El ransomware es una parte desafortunada de la nueva realidad del escenario empresarial, pero hay personas que pueden ayudar a transitar el difícil camino que lo atraviesa.