El apagón masivo sufrido por España ha provocado que la ciberseguridad entre en el debate público. Mientras Red Eléctrica ha negado, de manera preliminar, que la caída del suministro eléctrico fuera consecuencia de un ataque, el presidente del Gobierno, Pedro Sánchez, ha asegurado que no se ha descartado ninguna vía de investigación para llegar al fondo de lo que sucedió el pasado lunes. Sin embargo, hay quienes se están lucrando del llamado "negocio de la extorsión", y no sólo los hackers.
Imaginen despertar una mañana y descubrir que los sistemas informáticos de sus empresas, hospitales, gobiernos, comisarías de policía, red de suministro de electricidad o de agua han sido secuestrados o atacados por ciberdelincuentes. Los archivos aparecen cifrados y la información, retenida como rehén. Frente a esta realidad, comienza el negocio de la extorsión y solo hay una salida: transferir millones en criptomonedas o renunciar a recuperar la operativa normal. Esta pesadilla, que hace apenas una década parecía un escenario de ciencia ficción, se ha convertido en un fenómeno global capaz de generar miles de millones de euros al año.
La mecánica de un ciberataque es siempre la misma cuando se trata de la extorsión. Un grupo de ciberdelincuentes infiltra sus programas maliciosos en redes críticas y, de la noche a la mañana, bloquea el acceso a datos vitales para el funcionamiento de instituciones y empresas.
A continuación, se formula una petición de rescate que suele oscilar entre cientos de miles y varios millones de euros a pagar en criptomonedas. Aunque muchas organizaciones disponen de copias de seguridad, el tiempo y el coste necesarios para restaurar la actividad pueden ser prohibitivos. Aquí es donde entran en acción las aseguradoras especializadas en ciberpólizas, que evalúan que abonar el rescate resulta más económico que indemnizar por la paralización de servicios o contratar costosos servicios forenses.
De este modo, las compañías de seguros se convierten en un actor clave de un mercado que, solo en Estados Unidos, supera los 8.000 millones de dólares anuales. Grandes multinacionales del sector han diseñado coberturas que no solo incluyen el pago de los rescates, sino también la recuperación de datos y la defensa jurídica.
Sin embargo, la práctica habitual de mantener en secreto las cifras reales desembolsadas impide dimensionar con exactitud cuánto de esos recursos termina directamente en manos de los delincuentes. Esta falta de transparencia alimenta la impunidad y refuerza la convicción de los atacantes de que sus esfuerzos serán recompensados.
Mientras tanto, muchas organizaciones descuidan sus defensas básicas. Según el testimonio de un experto en ciberseguridad consultado por Diario16+ y que mantiene su anonimato bajo el seudónimo HMP, la mayoría de las brechas cibernéticas no requieren una sofisticación extrema: basta con encontrar carpetas en la nube mal configuradas o servidores con credenciales por defecto.
La consecuencia es demoledora: más de 10.000 millones de archivos expuestos en Internet, cerca de 10 millones de bases de datos accesibles sin ninguna protección y aproximadamente medio billón registros de clientes vendidos en la web oscura. Para una gran empresa, invertir unos cientos de miles de euros en reforzar la seguridad puede parecer un gasto innecesario frente a la opción de dejar que la aseguradora pague el rescate.
Este círculo vicioso tiene claras víctimas y beneficiarios. Los ciberdelincuentes obtienen recursos para perfeccionar sus ataques y ampliar su alcance; las aseguradoras reducen el volumen de reclamaciones por interrupción de servicios y consolidan un mercado en auge; las empresas optan por la solución más rápida y posponen inversiones preventivas. Y la sociedad, en su conjunto, sufre la erosión de la confianza en las instituciones y la exposición creciente de datos sensibles.
Romper esta dinámica requiere un cambio de enfoque. Es imprescindible obligar a las compañías de seguros y a las víctimas a reportar con total transparencia los pagos de rescate y los costes asociados, de manera que se pueda evaluar el verdadero impacto de estas prácticas. Al mismo tiempo, deberían establecerse incentivos para aquellas organizaciones que demuestren inversiones efectivas en respaldo de datos, cifrado y simulacros de respuesta a incidentes. Asimismo, la regulación del comercio de vulnerabilidades de día cero debe reforzarse para dificultar su acceso a redes criminales. Finalmente, solo una cooperación internacional efectiva, basada en el intercambio de información de inteligencia y la coordinación de sanciones, podrá desincentivar el pago de rescates y debilitar la rentabilidad de esta industria delictiva.
El ransomware ha dejado de ser una simple amenaza técnica para convertirse en un lucrativo ecosistema en el que participan atacantes, aseguradoras y organizaciones afectadas. Si no se adoptan de inmediato medidas valientes y coordinadas, seguiremos financiando con nuestros propios recursos un negocio que pone en jaque la seguridad digital y la confianza colectiva.