L’auge del programari de segrest (ransomware) està transformant la feina en ciberseguretat: les amenaces cada vegada més professionalitzades obliguen les organitzacions a incorporar perfils altament especialitzats capaços d’actuar sota la màxima pressió.

El negociador de programari de segrest, nova professió en auge en l’àmbit de la ciberseguretat, se situa a la primera línia quan una empresa pateix el xifratge dels seus sistemes o l’exfiltració d’informació delicada.

La seva funció no és tècnica en el sentit tradicional, però és determinant per limitar l’impacte operatiu, financer i reputacional d’un atac.

En un escenari on el temps juga en contra de la víctima, aquest perfil actua com a intermediari estratègic entre l’organització afectada i els operadors del programari de segrest.

El paper del negociador en un atac de programari de segrest

Quan es materialitza un atac, l’organització sol enfrontar-se a sistemes inaccessibles, interrupcions crítiques del negoci i amenaces de publicació de dades robades.

En aquest moment entra en joc el negociador de programari de segrest, la missió principal del qual és gestionar la comunicació amb els atacants i reconduir una situació clarament desfavorable.

A diferència d’altres processos de negociació empresarial, el punt de partida aquí és asimètric, ja que el grup delinqüent controla els actius xifrats i marca inicialment el ritme de la interacció.

Aquest professional analitza el tipus de codi maliciós utilitzat, l’historial del grup d’amenaces, els seus patrons de comportament i la credibilitat de les seves promeses.

Estudis recents indiquen que, el 2024, més del 70 % dels atacs de programari de segrest van incloure tàctiques de doble o triple extorsió, i van combinar xifratge, robatori de dades i pressió pública.

Amb aquesta informació, el negociador cerca recuperar marge de maniobra, alentir les exigències i obtenir proves sobre l’abast real del compromís de seguretat.

Diferències davant d’altres perfils de negociació

El negociador de programari de segrest no opera sota les normes habituals d’una negociació comercial. No hi ha un terreny neutral ni un interès compartit per preservar la relació a llarg termini.

L’interlocutor és un actor delinqüent que fa servir la urgència i la por com a palanques de pressió. En molts casos, l’exigència econòmica inicial supera amb escreix la capacitat real de pagament de la víctima, especialment a petites i mitjanes empreses.

La tasca del negociador consisteix a reconduir aquesta dinàmica, ajustar expectatives i fer servir la comunicació estratègica per reduir les demandes, guanyar temps i obtenir informació clau.

Dades del sector mostren que, en mans expertes, les demandes inicials es poden reduir de mitjana entre un 30 % i un 60 %, encara que l’objectiu final no sempre és el pagament sinó minimitzar danys i facilitar la recuperació operativa.

Coneixement tècnic i anàlisi del risc

Tot i que no executa tasques forenses, el negociador ha de comprendre en profunditat com funcionen els atacs de programari de segrest.

Necessiteu interpretar informes tècnics, conèixer vectors d’entrada habituals i entendre les implicacions de l’exfiltració de dades en termes reguladors.

El 2023 i 2024, les sancions per incompliment de normatives de protecció de dades després d’incidents de programari de segrest es van incrementar de manera notable, especialment en sectors regulats com el financer i el sanitari.

Part de la seva feina consisteix a avaluar els riscos associats a qualsevol decisió, inclòs el possible pagament.

La procedència del grup atacant, els seus vincles amb països sancionats i l’ús de criptomonedes subjectes a control regulador són factors que s’han de valorar amb cura per evitar conseqüències legals addicionals.

Resolució de problemes sota pressió extrema

La resposta a incidents es desenvolupa a un ritme accelerat i amb informació incompleta.

El negociador de programari de segrest ha de prendre decisions ràpides en un entorn d’alta incertesa, on cada missatge enviat pot alterar el curs de la negociació.

Aquesta capacitat de resolució immediata de problemes es basa en l’experiència acumulada davant de múltiples escenaris i en el coneixement de tàctiques recurrents dels grups criminals.

En molts casos, els atacs provenen de variants noves o d’actors emergents, cosa que obliga a interpretar senyals febles i ajustar estratègies sobre la marxa.

L’objectiu és permetre que l’organització recuperi la seva operativitat normal en el menor temps possible, i reduir al màxim l’exposició a riscos addicionals.

Habilitats comunicatives i gestió emocional

Més enllà del coneixement tècnic, les habilitats toves són decisives. La comunicació escrita ha de ser clara, precisa i curosament calibrada, atès que es discuteixen quantitats elevades de diners i condicions tècniques complexes, sovint en idiomes que no són nadius per a cap de les parts.

Un error de to o ambigüitat pot escalar el conflicte o tancar vies d’acord.

La interacció amb l’organització afectada és igualment crítica. Les empreses solen travessar un dels moments més delicats durant un atac de programari de segrest, amb equips esgotats i una forta pressió interna i externa.

El negociador ha de transmetre seguretat, ordenar la conversa i ajudar a comprendre un procés que resulta aliè per a la majoria dels directius, i mantenir sempre una comunicació transparent i estructurada.

L’eficàcia d’una negociació depèn molt de l’experiència de l’equip que la lidera. Intentar gestionar un atac de programari de segrest sense suport especialitzat incrementa el risc d’errors estratègics i de conseqüències legals o financeres evitables.

Per això, les organitzacions solen recórrer a proveïdors de resposta a incidents, despatxos legals especialitzats i asseguradores de ciberseguretat per coordinar una estratègia integral.

El negociador de programari de segrest, nova professió en auge en l’àmbit de la ciberseguretat, se situa a la primera línia quan una empresa pateix el xifratge dels seus sistemes o l’exfiltració d’informació delicada.

La seva funció no és tècnica en el sentit tradicional, però és determinant per limitar l’impacte operatiu, financer i reputacional d’un atac.

En un escenari on el temps juga en contra de la víctima, aquest perfil actua com a intermediari estratègic entre l’organització afectada i els operadors del programari de segrest.