Negociación con Grupos de Ransomware: Lo que Sabemos y lo que Debes Saber
Análisis de las dinámicas de negociación con grupos de ransomware. Tácticas de los atacantes, estrategias de los negociadores, el rol de las aseguradoras cyber, implicaciones legales y éticas, y estadísticas sobre pagos y resultados.
Un negocio que nadie quiere tener
Negociar con un grupo de ransomware es una experiencia que ninguna organización desea vivir. Pero cuando ocurre, entender las dinámicas de la negociación puede significar la diferencia entre pagar 5 millones y pagar 500.000 (o no pagar nada).
Este artículo no es una guía para negociar. Es un análisis de lo que sabemos sobre cómo funcionan estas negociaciones, basado en los Conti Leaks, informes de firmas de negociación, datos de Coveware, y advisories de agencias de law enforcement. El objetivo es que los profesionales de seguridad entiendan las dinámicas antes de que las necesiten.
El ecosistema de la negociación
Actores involucrados
| Actor | Rol | Interés |
|---|---|---|
| Víctima (CISO, CEO, Board) | Decisor final | Recuperar operaciones al menor coste |
| Firma de negociación | Intermediario profesional | Reducir el monto, gestionar el proceso |
| Aseguradora cyber | Financiador (si hay póliza) | Minimizar el pago, verificar cobertura |
| Abogado (bufete especializado) | Asesor legal | Proteger a la víctima legalmente (OFAC, GDPR) |
| Firma de IR (Mandiant, CrowdStrike) | Asesor técnico | Evaluar alternativas al pago, forense |
| Law enforcement (FBI, NCA) | Investigador | Inteligencia sobre el grupo, posibles claves |
| Negociador del grupo de ransomware | Cobrador | Maximizar el pago, cerrar rápido |
Firmas de negociación especializadas
| Firma | Descripción |
|---|---|
| Coveware (ahora parte de Veeam) | La más conocida. Publica datos trimestrales sobre tendencias de ransomware |
| GroupSense | Negociación + threat intelligence |
| Kivu Consulting | IR + negociación |
| Arete | IR + negociación + recuperación |
| CipherBlade | Especializada en rastreo de criptomonedas + negociación |
Estas firmas cobran una tarifa por sus servicios (normalmente 10.000-50.000 USD) que es independiente del rescate. Su valor: experiencia con grupos específicos, conocimiento de las tácticas, y a veces relaciones previas con los operadores que facilitan la comunicación.
Cómo funciona la negociación
El proceso típico
Día 1: contacto inicial
La víctima (o su negociador) accede al portal de pago del grupo (normalmente un sitio .onion en Tor) e introduce el ID de víctima proporcionado en la nota de rescate. Se abre un chat.
El primer mensaje del grupo suele ser:
- Confirmación de la identidad de la víctima
- Monto del rescate
- Plazo de pago (72h-14 días típicamente)
- Oferta de descifrado de prueba (1-3 archivos gratuitos)
Días 2-5: negociación
La víctima (a través del negociador) inicia el regateo:
- Alegar dificultades financieras
- Solicitar reducción del monto
- Pedir extensión del plazo
- Solicitar pruebas adicionales de descifrado
- Preguntar sobre los datos exfiltrados (si aplica doble extorsión)
Días 5-14: cierre o escalada
- Si hay acuerdo: el grupo proporciona una dirección de wallet Bitcoin/Monero
- Si no hay acuerdo: el grupo publica datos parciales como presión
- Si la víctima no responde: el grupo puede contactar directamente a empleados, clientes o medios
Tácticas de los atacantes
Los operadores de ransomware son negociadores experimentados. Los Conti Leaks revelaron scripts internos de negociación:
Ancla alta: la demanda inicial es deliberadamente alta (normalmente 1-5% del revenue de la víctima) para crear espacio de negociación. La expectativa real es cobrar el 30-50% de la demanda inicial.
Urgencia temporal: countdowns agresivos (72 horas) con incremento del precio si se supera el plazo. La urgencia reduce la capacidad de la víctima de evaluar alternativas.
Descifrado de prueba: ofrecer descifrar 1-3 archivos gratuitamente. Esto demuestra que tienen la clave y aumenta la confianza en que pagarán y recibirán el decryptor. Es el equivalente a una muestra gratuita.
Empatía simulada: "Entendemos que es una situación difícil. Esto es un negocio, no personal." El tono profesional busca normalizar la situación y facilitar el pago.
Presión de publicación: si la víctima se resiste, publicar una muestra de datos robados. "Estos son 5 GB de los 200 GB que tenemos. Si no pagan en 48 horas, publicamos todo."
Investigación de la víctima: los operadores investigan el revenue de la víctima (usando datos públicos, registros financieros robados) para justificar el monto. "Su empresa facturó 500 millones el año pasado. 2 millones es menos del 0,5% de su revenue."
Tácticas de los negociadores profesionales
Los negociadores de las firmas especializadas usan contra-tácticas:
Ganar tiempo: cada hora adicional permite al equipo de IR evaluar backups, buscar decryptors gratuitos y fortalecer la posición. Los negociadores extienden las conversaciones deliberadamente.
Alegar falta de capacidad de pago: "Somos una organización sin ánimo de lucro", "Nuestro seguro no cubre esto", "No podemos movilizar esa cantidad en Bitcoin". Busca reducir el monto.
Pedir evidencia de datos: si es doble extorsión, solicitar pruebas específicas de qué datos tienen. A veces los atacantes exageran lo que robaron.
Negociar el alcance: "Estamos dispuestos a pagar por el decryptor, pero los datos que publicarán son información pública. Reducir el monto."
Conocimiento del grupo: un negociador que ha interactuado con el mismo grupo en casos anteriores sabe cuánto margen hay. "LockBit normalmente acepta el 30-40% de la demanda inicial. Akira acepta el 20-30%."
Estadísticas de pagos
Tendencias globales
| Año | % de víctimas que pagaron | Pago medio | Fuente |
|---|---|---|---|
| 2020 | 70% | 312.000 USD | Coveware |
| 2021 | 60% | 812.000 USD | Coveware |
| 2022 | 41% | 258.000 USD | Coveware |
| 2023 | 29% | 569.000 USD | Coveware |
| 2024 | ~28% | 479.000 USD | Coveware |
La tendencia es clara: cada vez menos organizaciones pagan. Las razones: mejores backups, más conciencia de que pagar no garantiza recuperación, presión regulatoria, y mejor preparación.
Sin embargo, el volumen total de pagos sigue siendo alto: 1.100 millones USD en 2023 (Chainalysis).
Efectividad del pago
Según Sophos (State of Ransomware 2025):
| Métrica | Valor |
|---|---|
| Organizaciones que recibieron decryptor tras pagar | 96% |
| Datos recuperados en media con decryptor | 65% |
| Organizaciones que recuperaron todos los datos | 47% |
| Organizaciones que experimentaron problemas con el decryptor | 40%+ |
El 96% suena bien, pero solo el 47% recuperó todos sus datos. Los decryptors de ransomware no son productos de software de calidad: tienen bugs, son lentos, a veces corrompen archivos y no siempre soportan todos los formatos.
Coste total vs rescate
El rescate es solo una fracción del coste total de un incidente de ransomware:
| Componente | Porcentaje del coste total |
|---|---|
| Rescate (si se paga) | 15-25% |
| Tiempo de inactividad | 30-40% |
| Remediación y recuperación | 15-25% |
| Costes legales y regulatorios | 5-10% |
| Daño reputacional | Difícil de cuantificar |
| Mejoras de seguridad post-incidente | 10-15% |
Según IBM Cost of a Data Breach Report 2024, el coste medio de un incidente de ransomware (excluyendo el rescate) es de 5,13 millones USD.
Implicaciones legales
OFAC y sanciones (EEUU)
El gobierno de EEUU puede sancionar el pago de rescate a grupos específicos:
- Evil Corp (sancionado por OFAC en 2019)
- Individuos rusos vinculados a ransomware (múltiples sanciones)
- Gobierno de Corea del Norte (Lazarus Group)
Pagar a una entidad sancionada puede resultar en:
- Multas civiles (strict liability: no requiere conocimiento de la sanción)
- Procesamiento criminal en casos graves
- Responsabilidad para los intermediarios (negociadores, aseguradoras, exchanges)
GDPR y NIS2 (UE)
En la UE, el marco regulatorio no prohíbe explícitamente el pago de rescate, pero tiene implicaciones:
- Obligación de notificación: GDPR exige notificar al regulador en 72 horas si hay breach de datos personales. NIS2 exige 24h (alerta) y 72h (informe detallado)
- Responsabilidad del data controller: pagar el rescate no elimina la responsabilidad por la protección inadecuada de los datos
- Multas GDPR: hasta 20M EUR o 4% del revenue global, independientemente de si se pagó rescate
- NIS2 multas: hasta 10M EUR o 2% del revenue para entidades esenciales
Australia y UK
- Australia: el Cyber Security Act 2023 requiere notificación al ASD (Australian Signals Directorate) si se paga un rescate
- UK: NCA desaconseja el pago pero no lo prohíbe legalmente. El ICO (regulador de datos) ha indicado que pagar no reduce las multas por data breach
El rol de las aseguradoras cyber
Cobertura de ransomware
La mayoría de pólizas de seguro cyber cubren incidentes de ransomware, incluyendo:
- Costes de respuesta a incidentes (firma de IR, forense)
- Costes de negociación
- Pago del rescate (con condiciones)
- Costes de restauración y recuperación
- Interrupción de negocio
- Costes legales y regulatorios
- Notificación a afectados
Endurecimiento de requisitos
Desde 2022, las aseguradoras han endurecido significativamente los requisitos para mantener la cobertura:
| Requisito | Estado |
|---|---|
| MFA en todos los accesos remotos | Obligatorio en la mayoría de pólizas |
| EDR en todos los endpoints | Cada vez más común |
| Backups offline/inmutables | Requisito creciente |
| Plan de IR documentado | Estándar |
| Patching regular (SLA definido) | Frecuente |
| Privileged Access Management | Emergente |
| Segmentación de red | Emergente |
Si la organización no cumple con los requisitos de seguridad de la póliza, la aseguradora puede denegar la cobertura o reducir el pago.
La aseguradora como decisor
En la práctica, la aseguradora tiene influencia significativa en la decisión de pagar:
- Recomienda (y a veces impone) la firma de negociación
- Aprueba o deniega el monto del pago
- Verifica que no hay alternativas más baratas (backups, decryptor gratuito)
- Evalúa el riesgo de sanciones OFAC
Algunas organizaciones han reportado fricciones con aseguradoras que priorizan el pago rápido (minimizar costes de interrupción de negocio) sobre la recuperación desde backup (más lenta pero sin financiar criminales).
Consideraciones éticas
El dilema fundamental
Pagar un rescate financia directamente al crimen organizado. Cada pago demuestra que el ransomware es rentable y motiva más ataques. Pero una organización individual que enfrenta la pérdida de sus datos y semanas de inactividad tiene una responsabilidad hacia sus empleados, clientes y accionistas.
No existe una respuesta universalmente correcta. Lo que sí existe es la responsabilidad de prepararse para no tener que enfrentar esta decisión: backups inmutables, detección temprana, planes de IR y seguro cyber.
Posiciones institucionales
| Institución | Posición |
|---|---|
| FBI | Desaconseja pagar. Recomienda reportar el incidente al IC3 |
| CISA | Desaconseja pagar. Proporciona recursos de prevención |
| NCA (UK) | Desaconseja pagar. Proporciona asistencia sin juzgar |
| ENISA (UE) | Desaconseja pagar. Enfatiza preparación y resiliencia |
| INCIBE (España) | Desaconseja pagar. Línea 017 para asistencia |
| CCN-CERT (España) | Desaconseja pagar. Asistencia a administración pública |
Ninguna agencia gubernamental recomienda pagar. Todas recomiendan reportar el incidente.
La tendencia: menos pagos, más preparación
La proporción de víctimas que pagan ha caído del 70% en 2020 al 28% en 2024. Los factores:
- Mejor preparación: más organizaciones tienen backups inmutables
- Conciencia: los boards entienden que pagar no es garantía
- Regulación: presión regulatoria contra los pagos
- Seguro endurecido: aseguradoras exigen mejores controles preventivos
- Law enforcement: más claves recuperadas por operaciones policiales
- Norma social: pagar se percibe cada vez más negativamente
Esta tendencia es positiva a nivel de ecosistema: si menos víctimas pagan, el ransomware se vuelve menos rentable. Pero requiere que las organizaciones inviertan en prevención y preparación, no simplemente que se nieguen a pagar sin alternativas.
Fuentes y referencias
- Coveware. "Quarterly Ransomware Report Q4 2024." Coveware by Veeam, 2025.
- Sophos. "The State of Ransomware 2025." Sophos, 2025.
- Chainalysis. "The 2024 Crypto Crime Report: Ransomware." Chainalysis, 2024.
- IBM Security. "Cost of a Data Breach Report 2024." IBM, 2024.
- OFAC. "Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments." U.S. Treasury, 2021.
- Conti Leaks. Internal negotiation playbooks and scripts. 2022.
- FBI. "Ransomware: How to Report and What to Expect." IC3/FBI, 2024.
- CISA. "Stop Ransomware." https://www.cisa.gov/stopransomware
- ENISA. "ENISA Threat Landscape 2024." ENISA, 2024.
- INCIBE. "Ransomware: Guía de Actuación." INCIBE, 2024.
- CCN-CERT. "Buenas Prácticas frente al Ransomware." CCN-CERT, 2024.
- Mandiant. "M-Trends 2025: Ransomware Economics." Google Cloud Security, 2025.
Preguntas frecuentes
Libros recomendados
Artículos relacionados
Incident Response para Ransomware: Playbook Completo Paso a Paso
Ransomware-as-a-Service (RaaS): Cómo Funciona el Modelo de Negocio del Cibercrimen
Doble Extorsión: Cómo el Ransomware Moderno Roba tus Datos Antes de Cifrarlos
BlackCat/ALPHV: Doble Extorsión y Data Leak Investigation
Conti: De Cobalt Strike a Exfiltración y Cifrado en 72 Horas
LockBit 3.0: Incident Response Completo de Principio a Fin
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.