La negociación con grupos de ransomware es una práctica tan extendida como incómoda dentro de la industria de la ciberseguridad. Aunque muchas veces ocurre fuera del foco público, se ha convertido en una realidad operativa para organizaciones cuyos datos y sistemas quedan secuestrados. Para quienes asumen ese rol, la tarea implica moverse en una zona “moral” gris, donde el objetivo es salvar a la víctima sin alimentar un ecosistema criminal basado en la extorsión. El sitio Cyberscoop publicó recientemente un informe donde aborda los desafíos de la negociación, a través de la experiencia y testimonios de diversos proveedores.

Los negociadores enfrentan dilemas constantes: evitar violar sanciones internacionales, no financiar actores maliciosos y, al mismo tiempo, responder a la presión extrema de empresas sin muchas opciones. El problema se agrava por la falta total de estándares, certificaciones o mecanismos de rendición de cuentas. Como resume Jon DiMaggio, de XFIL Cyber, se trata de uno de los pocos ámbitos de la ciberseguridad que aún opera como el “Lejano Oeste”, sin reglas claras ni supervisión estructurada.

Las diferencias entre proveedores son notorias. CrowdStrike y Mandiant, por ejemplo, optan por no negociar rescates directamente. Mandiant se limita a explicar escenarios y compartir inteligencia sobre la reputación de los grupos criminales, mientras que CrowdStrike sostiene una postura firme contra el pago, aunque reconoce que en casos extremos algunas víctimas sienten que no tienen alternativa. Palo Alto Networks Unit 42, en cambio, sí participa en negociaciones, pero establece un límite claro: no ejecuta pagos, separando deliberadamente la negociación del acto financiero.

Este trabajo también exige cruzar líneas psicológicas y éticas complejas. Analistas como Sean Nikkel, de Bitdefender, advierten que tareas como interactuar con criminales, analizar datos robados o seguir foros de la dark web pueden llevar a los profesionales más allá de su “zona de confort”. A esto se suma la opacidad, ya que las negociaciones suelen mantenerse en secreto, lo que según DiMaggio, aísla a las víctimas, confunde a las autoridades y fortalece la posición de los atacantes, que aprovechan ese silencio para inflar exigencias.

Aunque muchos expertos reconocen que cierto nivel de confidencialidad es necesario, también coinciden en que la falta de intercambio de experiencias provoca que las organizaciones repitan los mismos errores. No existen hoy certificaciones profesionales para negociadores de ransomware, ni marcos aceptados para compartir datos de forma anonimizada. Sin esa información, advierte DiMaggio, cada caso se enfrenta “a ciegas”, mientras los criminales mantienen la ventaja estratégica.

En el plano operativo, la negociación requiere habilidades blandas, empatía y control emocional. Kurtis Minder, quien participó en cientos de negociaciones, subraya que entender la psicología del atacante es clave. Sin embargo, el escenario se ha vuelto más volátil, porque algunos grupos ya no buscan solo dinero, sino también notoriedad, validación y atención mediática, lo que ha derivado en amenazas físicas, intimidación a ejecutivos y presiones contra familiares, incrementando el riesgo de promesas incumplidas incluso después del pago.

El problema de fondo es más complejo. Según datos del Tesoro de EE.UU., el ransomware generó US$ 2.100 millones en pagos en tres años, impulsando un mercado paralelo de servicios de negociación que no está exento de conflictos de interés. Algunos proveedores cobran en función del rescate reducido, un modelo que, según varios expertos, desdibuja la línea entre ayudar a la víctima y beneficiarse del delito. Para DiMaggio, mientras no existan reglas claras, auditoría y supervisión, la industria seguirá atrapada en una contradicción peligrosa: proteger a las víctimas sin dejar de financiar, indirectamente, a quienes las atacan.