En un artículo de opinión titulado “Economics of Ransomware – To Pay Or Not To Pay?”, publicado por SecurityWeek, Gordon recomienda a las empresas que paguen el rescate porque, en primer lugar, “no se puede ganar; no hay victoria posible; no a menos que se cuente con recursos ilimitados y paciencia. Pero no es así, y usted no es lo suficientemente listo para burlarse de ellos. Me imagino a algunas personas pensando que su programa de copia de seguridad es tan inteligente que sólo necesitan soportar la pérdida de un sistema o conjunto de sistemas. ¿Está seguro de que esos datos no están infectados también?”.
“La prevención es clave, pero después de que el ransomware ha sido subido a sus sistemas, hay poco que hacer”, escribe Gordon, añadiendo que las tecnologías disponibles en el área de detección y prevención son hoy en día: (1) generalmente ineficaces a pesar de las promesas de los proveedores, (2) absorben tantos recursos que son virtualmente inutilizables, o (3) de un pequeño número de proveedores con los que probablemente usted no hace negocios.
“En segundo lugar, pagar el rescate no es prohibitivamente caro, especialmente si se compara con los daños/costes asociados con la detonación de la carga útil del ransomware. Los delincuentes han hecho suyo el arte y la ciencia de la fijación de precios, encontrando el punto en el que el coste marginal equivale al rendimiento marginal”. Gordon, que es economista, considera esto algo hermoso porque “los criminales detrás de los programas de rescate son también economistas aficionados”.
Como nota al margen de la recomendación de “sólo pagar”, Gordon señala que “hay que tener dinero disponible en el formato del momento para poder pagar, porque no se podrá pagar si no se dispone de la divisa adecuada”. “En esta columna estática, no voy a prescribir una moneda que tener a mano porque la moneda cambia con frecuencia. Así que sus asesores tendrán que estar al tanto de esto. A veces son tarjetas de regalo, pero a menudo son criptodivisas. Pero piénselo bien, porque el consejo clave es el siguiente: vuelva al trabajo lo antes posible”.
“Tiene que pensar en esto como una multa por exceso de velocidad. Usted cometió un error (y probablemente lo hizo), recibió una multa y debe pagarla. Combatirlo es demasiado caro, toma demasiado tiempo y conlleva demasiados riesgos. El costo y la vergüenza duelen un poco, pero la alternativa es mucho peor. Lo importante es entender su error – es una herida autoinfligida – y asegurarse de que no vuelva a ocurrir”, escribe Gordon, cuya conclusión final es: “A fin de cuentas, recomiendo a las empresas y organizaciones de todos los tamaños a que dejen los juicios morales sobre ransomware en manos del gobierno. Deje la ‘lucha’ en manos de las empresas a las que se les paga por luchar, y que están equipadas para ello. Sólo pague. Pague y siga adelante con su vida”.
