El ransomware es, sin exagerar, una de las ramas de la industria criminal más rentable de la última década. Grupos organizados paralizan hospitales, gobiernos o bancos en cuestión de horas y exigen pagos millonarios en criptomonedas para devolver el acceso. Frente a ese chantaje, la pregunta incómoda es inevitable: ¿deben las organizaciones pagar o resistir, aunque eso implique pérdidas millonarias o incluso vidas en riesgo?

El debate no es técnico: es estratégico, legal y profundamente ético. Lo que para algunos es pragmatismo, para otros significa financiar al crimen organizado con plata que los contribuyentes o los accionistas nunca aprobaron.

Ransomware: un negocio global consolidado

El ransomware ya no es un ataque aislado, sino un modelo de negocio criminal con franquicias, soporte técnico y acuerdos de reparto de ganancias. Según el Crypto Crime Report de Chainalysis, las ganancias superaron los 4.500 millones de dólares en pagos ilícitos en 2024.

El fenómeno del Ransomware-as-a-Service (RaaS) democratizó el delito: hoy cualquier atacante sin conocimientos técnicos puede alquilar un kit en la dark web, seleccionar víctimas y empezar a extorsionar en horas. Grupos como LockBit o ALPHV/BlackCat operaron con estructuras corporativas completas: portal de soporte al cliente, negociadores dedicados, bonificaciones por rendimiento.

Casos emblemáticos lo demuestran: Colonial Pipeline en EE. UU. (2021) paralizó el suministro de combustible en la costa este durante seis días; hospitales en Irlanda y Brasil debieron suspender cirugías por sistemas cifrados; el gobierno de Costa Rica declaró emergencia nacional en 2022 tras un ataque de Conti que afectó a más de 27 instituciones públicas.

Argumentos a favor de pagar

Aunque la mayoría de los expertos desaconseja hacerlo, existen motivos que llevan a muchas empresas a ceder ante la extorsión:

1. Restaurar operaciones críticas. Cuando un hospital no puede acceder a historiales médicos o un servicio público está paralizado, el tiempo es un factor de vida o muerte literal. La decisión no la toma el CISO: la toma el director médico.
2. Costo de la inactividad. Según IBM, el costo promedio de una brecha de datos alcanzó 4,35 millones de dólares (Cost of a Data Breach Report), y en casos de ransomware el impacto operativo puede superar ampliamente el rescate exigido durante las primeras 72 horas.
3. Presión externa. Clientes, inversionistas o incluso gobiernos pueden exigir una reanudación de servicios en plazos que la recuperación técnica sin clave de descifrado no puede cumplir.

De hecho, informes de Coveware muestran que más del 40% de las organizaciones atacadas terminan pagando, pese a las recomendaciones en contra.

La trampa que viene después del pago

El lado opuesto del debate sostiene que pagar es una trampa peligrosa disfrazada de solución rápida. Y tiene datos para respaldarlo.

Pagar no garantiza la recuperación. Muchos atacantes no entregan la clave de descifrado después del pago, o lo hacen de forma parcial, dejando datos corruptos que de todas formas requieren meses de restauración manual. Además, el pago refuerza el modelo de negocio del ransomware, generando más víctimas en el ecosistema completo. Organizaciones que pagaron han sido atacadas de nuevo dentro del mismo año, precisamente porque quedaron marcadas como "pagadoras confiables" en los foros de la dark web.

El riesgo legal tampoco es menor. La Oficina de Control de Activos Extranjeros (OFAC) de EE. UU. advierte que pagar rescates a grupos vinculados con terrorismo o estados hostiles puede derivar en sanciones civiles o criminales para la empresa víctima, independientemente de su buena fe. Pagar puede resolver un problema e inmediatamente crear otro.

El marco legal y ético

Aquí surge el dilema más espinoso: ¿qué pesa más, salvar vidas o no financiar el delito?

Algunos países discuten prohibir los pagos de rescate mientras otros dejan la decisión en manos de las víctimas. Los seguros de ciberseguridad complican aún más el panorama: durante años cubrieron rescates sin condiciones, pero hoy muchas pólizas limitan o excluyen ese beneficio, conscientes del efecto multiplicador que genera. Si la aseguradora paga, el incentivo para que el atacante vuelva a apuntar a ese sector se multiplica.

El caso latinoamericano

En LATAM, la discusión se vuelve más cruda porque los recursos y los marcos legales son más precarios:

• Brasil: clínicas privadas suspendieron servicios por semanas tras infecciones de ransomware, sin alternativas técnicas viables para recuperar datos sin pagar.
• México: entidades financieras medianas reconocieron haber pagado para evitar filtraciones públicas de datos de clientes, sin reportar el incidente a ninguna autoridad.
• Colombia: gobiernos municipales quedaron paralizados durante semanas, con sistemas de registro civil y servicios públicos offline.

La falta de marcos regulatorios claros deja a las organizaciones en un limbo: pagar puede ser ilegal o éticamente cuestionable, pero no pagar puede significar la quiebra o la pérdida de vidas cuando la infraestructura crítica está involucrada.

Preparación: la única salida real del dilema

Después de años siguiendo este debate, la conclusión es clara: pagar nunca debería ser la estrategia principal, sino el último recurso documentado de una organización que agotó todas las alternativas. El problema es que la mayoría de las organizaciones llegan al momento del ataque sin haber construido esas alternativas.

La verdadera discusión no debería centrarse en "pagar o no pagar", sino en estar preparado para nunca tener que decidirlo. Un programa de backup y recuperación ante desastres con copias aisladas, probadas y verificadas periódicamente cambia por completo la ecuación: si puedes restaurar operaciones en horas sin depender de la clave del atacante, el poder de negociación del ransomware colapsa.

Con copias de seguridad aisladas de la red, planes de respuesta a incidentes ensayados, segmentación de redes que limite el alcance del cifrado y capacitación constante del personal, las organizaciones pueden resistir un ataque sin ceder a la extorsión. No siempre, no con cero daño. Pero con opciones reales sobre la mesa.

Pagar puede parecer la salida rápida, pero es como apagar un incendio con gasolina: resuelve el instante y alimenta las llamas del siguiente ataque.

¿Cuándo fue la última vez que tu organización probó una restauración completa de backups desde cero, no solo verificó que los archivos existían, sino que recuperó un entorno funcional en un tiempo medible? Esa prueba es la única respuesta honesta a la pregunta de si estás preparado para decir que no.