Lo llaman “detener la hemorragia”: la ventana vital para evitar que una base de datos entera sea saqueada por delincuentes o que una línea de producción se detenga.
Cuando llega una llamada a la empresa de ciberseguridad S-RM, con sede en Whitechapel High Street, en el este de Londres, una empresa o institución pirateada puede tener sólo unos minutos para protegerse.
S-RM, que ayudó a un cliente minorista de alto perfil a recuperarse de un ciberataque de Scattered Spider, se ha convertido en un éxito silencioso, a menudo de boca en boca.
Muchos de los altos ejecutivos de la compañía son multilingües y tienen una mínima presencia en línea, lo que revela currículums escasos pero impresionantes que sugieren carreras basadas en la inteligencia en negocios o gobierno.
S-RM ahora afirma tener el equipo de respuesta a incidentes cibernéticos más grande del Reino Unido. Su servicio de primeros auxilios está compuesto por aproximadamente 150 expertos en todo el mundo. Tiene clientes que lo mantienen bajo contrato, víctimas remitidas por las aseguradoras y “walk-ins”: personas que de repente se dan cuenta de que su negocio está siendo atacado y consultan los primeros resultados de sus motores de búsqueda.
En el caso de la víctima de Scattered Spider, que según The Guardian no era Marks & Spencer o Co-op (dos minoristas que fueron atacados en 2025), una llamada de Teams de 30 minutos con un minorista se convirtió en “una llamada de 24 horas con un grupo rotativo de expertos”, dice Ted Cowell, director de la división de negocios cibernéticos de S-RM.
“En promedio, respondemos a los clientes en seis minutos. Esto es fundamental porque las primeras horas de un incidente cibernético a menudo pueden ser la mejor ventana para determinar el resultado de un caso y su impacto”, explica. “Lo que puede comenzar como una intrusión en la red puede luego convertirse en un escenario de malware o ransomware en toda regla. »
Cowell, un hablante de ruso educado en Cambridge, dice que dominar el ataque durante un período de “reconocimiento” puede dar como resultado un resultado radicalmente diferente en comparación con una respuesta lenta. Los delincuentes a menudo necesitan tiempo después de irrumpir por primera vez en los sistemas de una empresa para determinar qué es más valioso. Por lo tanto, este breve período de tiempo puede permitir a los expertos prevenir los ataques más dolorosos desde el punto de vista operativo. La “exfiltración” (el robo de datos críticos) y el cifrado, que permite a las empresas bloquear el acceso a sus propios sistemas, pueden ser los más dañinos.
“A veces podemos evitar que explote”, dice Cowell. Los equipos se centran en “detener la hemorragia” limitando o eliminando el acceso de los atacantes a los sistemas. Esto es lo que el equipo de S-RM pudo hacer con la víctima de Scattered Spider: evitar que el malware detone en los sistemas.
Los negocios van bien a medida que crece la industria del cibercrimen, pero eso conlleva desafíos éticos. S-RM y sus pares de la industria han sido criticados por ayudar a facilitar el pago de rescates a delincuentes que secuestran negocios para obtener dinero en efectivo.
“Apoyar la extorsión” es una parte importante del trabajo de S-RM. Esto significa que sus especialistas están presentes cuando se negocian los rescates y, a veces, llevan a cabo la negociación ellos mismos en nombre de un cliente. Cowell parece dispuesto a evitar las críticas de que alimenta el crimen organizado al ayudar a las empresas a pagar rescates o actuar en nombre de aseguradoras que venden pólizas que cubren el pago de rescates.
“Nosotros somos instruidos por el tomador del seguro, por el asegurado”, afirma.
“Nuestra ambición es orientar las decisiones de ‘no pago’ siempre que sea posible”, continúa, añadiendo que las empresas adoptan cada vez más este enfoque y no pagan rescates.
“Nuestro papel es facilitar el pensamiento estratégico”, dice. “Bríndele a los clientes cierta estructura para organizar sus pensamientos. Probablemente nunca antes hayan estado en una situación como esta.
“La decisión de las empresas sobre lo que hacen es suya. Nosotros simplemente proponemos el modelo de crisis, cómo se desarrollan las cosas según nuestra experiencia.
“¿Por qué deberíamos pagar a estos delincuentes? Es un desafío que Cowell dice que su equipo está planteando a los mejores empleados de las empresas afectadas. “Una de las cosas sobre las que a menudo informamos a las juntas directivas es que el ransomware es una empresa delictiva organizada. »
Estos grupos infames tienen, explica, “marcas que defender”. Por lo general, los grupos de ransomware establecidos respetarán un acuerdo. S-RM también tiene una imagen cada vez más detallada de cómo se comportaron estos grupos en negociaciones anteriores.
Cuanto más establecido sea el grupo, más probabilidades habrá de que cumpla el acuerdo acordado, ya sea eliminando datos robados o proporcionando claves para descifrar archivos críticos. S-RM proporciona información sobre quién está haciendo qué en términos de confiabilidad, patrones comerciales, comportamientos e incluso cuestiones de sanciones.
Sin embargo, esta última solución rara vez se aplica. Tratar de imponer sanciones a grupos vinculados al Estado es un juego de golpear al topo, dice Cowell. Si los llamados “actores de amenazas” aparecen en las listas de sanciones, tienden a disolverse y reformarse en una nueva forma. Por lo tanto, el riesgo de poner dinero, incluso indirectamente, en manos de un Estado enemigo es otra consideración para las empresas que se enfrentan a un ciberataque.
Sin embargo, en ocasiones las empresas deciden pagar. Esto puede ser racional dadas las circunstancias de su empresa y, en última instancia, “sigue siendo su decisión”, dice Cowell.
A medida que evoluciona el código moral corporativo en torno al pago de rescates y las decisiones de no financiar el crimen organizado se vuelven más comunes, los servicios de restauración y recuperación se están convirtiendo en una parte más importante del mercado de respuesta a la ciberseguridad. Es cada vez más una prioridad simplemente hacer que los sistemas vuelvan a funcionar lo más rápido posible, y el análisis forense de cómo alguien entró en un sistema pasa a ser secundario.
En los últimos años, el papel del gobierno del Reino Unido en la ciberinteligencia también ha evolucionado significativamente. El Centro Nacional de Seguridad Cibernética “se ha transformado enormemente en los últimos cuatro o cinco años”, dice Cowell. El NCSC se ha puesto al día con sus equivalentes nórdicos y ahora está contactando proactivamente a las víctimas, diciéndoles que podrían ser atacadas basándose en información de inteligencia.
“Era más bien un recolector de información”, pidiendo información a personas como S-RM, que con gusto proporcionarían con el consentimiento del cliente, dice Cowell.
“(Ahora) están desempeñando un papel más importante, tomando la iniciativa y uniendo a la gente para facilitar el intercambio de información. Vimos el impacto de esto con los ataques de Scattered Spider. », añade.
