El fin de la extorsión: una compañía se niega a pagar el rescate de un ransomware y dona el dinero a la investigación contra el cibercrimen

El pago del rescate es la primera opción para muchas empresas atacadas por ransomware, un tipo de ciberataque que toma el control de la información, pero Checkout.com ha optado por un camino poco habitual. La compañía de tecnología financiera y pagos digitales ha confirmado que no cederá ante las demandas de los atacantes que la han hackeado y que, en lugar de transferir dinero al grupo responsable, destinará esa cantidad a financiar investigación en ciberseguridad.

El incidente se originó en un sistema heredado alojado por un proveedor externo y que, según la empresa, no había sido retirado correctamente tras años en desuso. Aunque los atacantes afirmaron haber obtenido datos internos, Checkout.com insiste en que su plataforma de pagos en funcionamiento no se vio comprometida y que no hubo acceso a fondos ni a números de tarjeta.

Qué implica la decisión de no pagar

La compañía explicó que el ataque estuvo vinculado al archivo histórico de documentación interna y materiales de incorporación de comerciantes utilizados antes de 2020. Este repositorio estaba alojado en un entorno que ya no formaba parte de las operaciones activas, lo que explica que la brecha no afectara a otros sistemas más sensibles. Aun así, Checkout.com señaló que una parte limitada de los clientes actuales podría haberse visto afectada por la filtración.

Tras recibir la demanda de rescate por parte del grupo ShinyHunters, decidió cortar de raíz la negociación. Su postura se apoya en un argumento repetido por organismos internacionales: pagar no garantiza la recuperación de datos y, además, alimenta un ecosistema delictivo cada vez más organizado. Un estudio citado por la compañía recuerda que hasta un 40% de las organizaciones que pagan no recuperan la información comprometida.

Para reforzar ese mensaje, Checkout.com anunció que el importe que habría ido al rescate se destinará a la Universidad Carnegie Mellon y el Oxford Cyber Security Centre. La idea es convertir un ataque en un impulso para la investigación que ayude a prevenir incidentes similares en el futuro. Es un movimiento poco habitual en el sector y que la empresa presenta como una forma de asumir responsabilidad sin fomentar el negocio del ransomware.

La compañía también aprovechó el incidente para insistir en la necesidad de revisar y desmantelar de forma segura los sistemas heredados. Son un punto débil frecuente en organizaciones con infraestructuras complejas y que, en este caso, se convirtió en la puerta de entrada para los atacantes. Este tipo de repositorios antiguos suelen caer en el olvido y pueden quedar fuera de los controles más estrictos, lo que incrementa el riesgo de exposición.

Mientras continúa la investigación, la compañía afirma haber reforzado sus protocolos internos y mejorado sus procesos de retirada de sistemas antiguos. El episodio deja en evidencia que, incluso para empresas cuyo sector exige altos estándares de seguridad, un único eslabón desactualizado compromete la integridad del conjunto. No obstante, la respuesta marca un camino distinto al habitual y deja claro que, al menos en este caso, la empresa no está dispuesta a financiar fututos ataques.