Pagar Ransomware o No: 7 Criterios Antes de Decidir
Respuesta directa
Pagar rescate ransomware es decisión crítica que mezcla técnica, jurídico, ética y finanzas. En 2026 la recomendación técnica es cada vez más clara: en la mayoría de los casos NO. Pero hay escenarios específicos donde el análisis cambia. Este artículo presenta 7 criterios objetivos.
Por qué la recomendación general es NO pagar
Cinco razones técnicas y legales: (1) variantes como BlackCat hicieron exit scam tras recibir pago — entregaron clave inválida; (2) sanciones OFAC criminalizan pago a grupos sancionados (LockBit, Conti, BlackMatter); (3) seguros cyber 2024+ niegan cobertura para variantes sancionadas; (4) pagar financia ataques futuros y marca a la empresa como pagadora (lista compartida entre operadores); (5) el pago no garantiza no-filtración — casos Maximus, Shell, PwC tuvieron datos publicados aun tras pagar.
7 criterios objetivos antes de considerar pagar
- 1.Verifique estado OFAC de la variante. LockBit, Conti, BlackCat, EvilCorp están sancionados. Pagar = crimen federal en EE.UU. y violación de compliance en muchos países. Verifique antes.
- 2.Evalúe disponibilidad de backup limpio. Backup inmutable intacto = pagar no tiene justificación técnica. El restore es más barato y predecible.
- 3.Calcule el costo real del downtime. Por hora parado × horas estimadas de recuperación. Compare con el valor exigido. En muchos casos el restore es más caro que pagar, pero más ético/legal.
- 4.Pruebe decryptor público primero. Operación Cronos (LockBit), Avast (Akira antiguo), Kaspersky (Conti V3), FBI (BlackCat parcial). El intento antes de pagar es obligatorio.
- 5.Exija prueba de descifrado. El operador debe descifrar 1 archivo de prueba antes de cualquier movimiento financiero. Sin esa prueba, el pago es lotería.
- 6.Involucre al seguro cyber ANTES de negociar. La negociación sin autorización puede invalidar cobertura. Algunas aseguradoras tienen negociadores propios o socios autorizados.
- 7.Calcule impacto reputacional. Pagar puede filtrarse (ej.: informes de Chainalysis rastrean wallets). Cliente pagador es objetivo recurrente en los próximos 12-24 meses.
Preguntas frecuentes
¿Cuánto cuesta un rescate ransomware típico?
Variable. PYME (hasta 100 empleados): US$ 50K-500K. Mediana empresa: US$ 500K-5M. Gran corporación: US$ 5M-50M+. Récords públicos: Change Healthcare US$ 22M (2024), Colonial Pipeline US$ 4,4M (2021).
¿Puedo negociar para bajar el valor?
Sí, típicamente 30-60% de descuento vía negociadores especializados. Pero aun el valor reducido carga todos los riesgos legales.
¿Y si pago pero no recibo la clave?
Sucede. Casos BlackCat post-exit-scam 2024 documentados. El recurso legal es prácticamente nulo — pagó a criminal anónimo vía cripto.
¿Existe seguro cyber que cubra ransomware?
Sí, pero con cláusulas crecientes de exclusión. Verifique póliza ANTES del incidente. Tras incidente, comunicar al seguro en las primeras horas es obligatorio para mantener cobertura.
¿Qué hacer si decidimos pagar?
1) Confirmar vía jurídico/compliance que la variante no esté sancionada por OFAC. 2) Involucrar al seguro. 3) Usar negociador profesional (Coveware, GroupSense, Arete). 4) Exigir descifrado de archivo de prueba. 5) Pagar en escrow si es posible. 6) Continuar restauración paralela con backup, el decryptor público se intenta siempre primero.
¿Decisión de pagar pesando? Análisis técnico gratuito.
Análisis de viabilidad de restore + intento de decryptor público antes de cualquier decisión de pago.