Se le llama “detener la hemorragia”: la ventana crucial para evitar que una base de datos entera sea saqueada por delincuentes o que una línea de producción se detenga por completo.
Cuando una llamada llega a la firma de ciberseguridad S-RM, con sede en Whitechapel High Street, en el este de Londres, una empresa o institución hackeada puede tener solo unos minutos para protegerse.
S-RM, que ayudó a un cliente minorista de alto perfil a recuperarse de un ciberataque perpetrado por el grupo Scattered Spider, se ha convertido en un éxito discreto, a menudo recomendado de boca en boca.
Muchos de los empleados sénior de la compañía son multilingües y tienen una presencia en línea mínima, lo que revela currículums escasos pero impresionantes que sugieren carreras basadas en la inteligencia corporativa o gubernamental.
S-RM afirma ahora contar con el equipo de respuesta a incidentes cibernéticos más grande del Reino Unido. Su servicio de respuesta inicial está compuesto por alrededor de 150 expertos en todo el mundo. Tiene clientes que la mantienen con un contrato de retención, víctimas derivadas por compañías de seguros y “visitantes ocasionales”: personas que de repente se dan cuenta de que su negocio está bajo ataque y llaman a los primeros resultados de sus motores de búsqueda.
En el caso de la víctima de Scattered Spider –que, según informa The Guardian, no fue Marks & Spencer ni la Co-op, dos minoristas que fueron atacados en 2025–, una llamada de 30 minutos en Teams con un minorista se convirtió en “una llamada de 24 horas con un equipo rotatorio de expertos”, según Ted Cowell, director de la división de cibernegocios de S-RM.
“En promedio, respondemos a nuestros clientes en seis minutos. Esto es fundamental porque, a menudo, las primeras horas de un incidente cibernético ofrecen la mayor oportunidad para determinar el resultado del caso y su impacto”, explica. “Lo que puede comenzar como una intrusión en la red puede luego metastatizar en un escenario de malware o ransomware a gran escala”.
Cowell, graduado en Cambridge y hablante de ruso, señala que controlar el ataque durante un período de “reconocimiento” puede resultar en un resultado radicalmente diferente en comparación con una respuesta lenta. Los delincuentes a menudo necesitan tiempo después de su primera penetración en los sistemas de una empresa para determinar qué es lo más valioso. Este breve período de tiempo puede, por lo tanto, permitir a los expertos prevenir los ataques más perjudiciales para las operaciones. “La exfiltración” –el robo de datos críticos– y el cifrado, por el cual las empresas pueden ser bloqueadas fuera de sus propios sistemas, pueden ser los más dañinos.
“A veces podemos evitar que explote”, afirma Cowell. Los equipos se centran en “detener la hemorragia” limitando o cortando el acceso del atacante a los sistemas. Esto es lo que el equipo de S-RM pudo hacer con la víctima de Scattered Spider: detener la detonación de malware en los sistemas.
El negocio va bien a medida que crece la industria del cibercrimen, pero esto conlleva desafíos éticos. S-RM y sus pares de la industria han enfrentado críticas por ayudar a facilitar el pago de rescates a delincuentes que secuestran empresas por dinero.
“El apoyo a la extorsión” es una parte importante del trabajo de S-RM. Esto significa que sus especialistas están presentes cuando se negocian los rescates, a veces llevando a cabo la negociación en nombre de un cliente. Cowell parece evitar las críticas por alimentar al crimen organizado al ayudar a las empresas a pagar rescates, o al actuar para las aseguradoras que venden pólizas que cubren los pagos de rescates.
“Recibimos instrucciones del tomador de la póliza, del asegurado”, explica.
“Nuestra ambición es orientar las decisiones de ‘no pago’ siempre que sea posible”, continúa, añadiendo que las empresas adoptan cada vez más ese enfoque y no pagan rescates.
“Nuestro papel es facilitar el pensamiento estratégico”, dice. “Dar a los clientes una estructura para ordenar sus ideas. Probablemente nunca se hayan enfrentado a una situación como esta antes”.
“La decisión de la empresa sobre qué hacer es suya. Solo ofrecemos la plantilla de una crisis, cómo se desarrollan las cosas basándonos en nuestra experiencia”.
“¿Por qué deberíamos pagar a estos criminales?” es un desafío que el equipo de Cowell plantea al personal de alto nivel de las empresas afectadas. “Una de las cosas que a menudo enseñamos a las juntas directivas es que el ransomware es una empresa criminal organizada”.
Estos grupos nefastos tienen, explica, “marcas que mantener”. Los grupos de ransomware establecidos, por lo general, cumplen con un acuerdo. S-RM también tiene una imagen cada vez más detallada de cómo estos grupos se han comportado en negociaciones anteriores.
Cuanto más establecido esté el grupo, más probable es que cumpla con cualquier acuerdo alcanzado, ya sea eliminando datos robados o proporcionando claves para descifrar archivos críticos. S-RM ofrece un resumen de quién es quién en términos de confiabilidad, patrones de negociación, comportamientos, e incluso se extiende a las preocupaciones sobre las sanciones.
Sin embargo, esto rara vez se aplica. Intentar imponer sanciones a grupos vinculados a estados es un juego de “golpear al topo”, dice Cowell. Si los llamados “actores de amenaza” aparecen en las listas de sanciones, tienden a disolverse y reformarse bajo una nueva apariencia. El riesgo de poner dinero, aunque sea indirectamente, en manos de enemigos del estado es, por lo tanto, otra consideración para las empresas que enfrentan un ciberataque.
Aun así, las empresas a veces deciden pagar. Puede ser racional para sus circunstancias específicas, y en última instancia “siempre es su decisión”, dice Cowell.
A medida que el código moral corporativo de pagar rescates madura y las decisiones de no financiar el crimen organizado se vuelven más comunes, los servicios de restauración y recuperación se han convertido en una parte más importante del mercado de respuesta a la ciberseguridad. Cada vez es más prioritario simplemente volver a poner los sistemas en funcionamiento lo antes posible, y el análisis forense de cómo alguien entró en un sistema pasa a un segundo plano.
En los últimos años, el papel de inteligencia cibernética del gobierno del Reino Unido también ha cambiado significativamente. El Centro Nacional de Seguridad Cibernética “se ha transformado enormemente en los últimos cuatro o cinco años”, dice Cowell. El NCSC se ha puesto al día con sus equivalentes nórdicos y ahora se comunica proactivamente con las víctimas, diciéndoles que podrían ser el objetivo basándose en la inteligencia.
“Era más un receptor de información”, que pedía información a empresas como S-RM, que la proporcionaban voluntariamente con el consentimiento del cliente, dice Cowell.
“[Ahora] están desempeñando un papel más sólido, tomando la iniciativa y reuniendo a las personas para facilitar el intercambio de información. Vimos el impacto de eso con los ataques de Scattered Spider”, añade.
