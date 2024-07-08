El FBI, la CISA y la NSA desaconsejan encarecidamente a las organizaciones que realicen pagos por ransomware si son víctimas de ataques de este tipo. Si es así, ¿por qué no prohibir el pago de demandas de ransomware?
El tema surgió en un reciente foro cibernético de Oxford. Jen Easterly, directora de la CISA, comentó sobre el tema diciendo: "Creo que dentro de nuestro sistema en los Estados Unidos, desde un punto de vista práctico, no veo que eso suceda". Es poco probable que haya sido un comentario puramente espontáneo, ya que el problema del ransomware es lo que más preocupa a todos los profesionales de ciberseguridad, especialmente a la directora de la CISA. Por ahora, parece que no se va a convertir los pagos de ransomware en un delito punible.
Aún más revelador es que la respuesta de Easterly se dio durante una entrevista con Ciaran Martin, exjefe del Centro Nacional de Ciberseguridad del Reino Unido. A principios de este año, Martin había pedido la prohibición de todos los pagos de ransomware en un artículo que escribió para el periódico The Times.
Entonces, ¿debería prohibirse el pago de rescates por ransomware o no?
El Grupo de Trabajo sobre Ransomware del Instituto de Seguridad y Tecnología también ha intervenido en el tema. El grupo de trabajo afirmó que prohibir los pagos de rescates por ransomware en los Estados Unidos en este momento empeoraría la situación de las víctimas, la sociedad y la economía. Las pequeñas empresas normalmente no pueden soportar una interrupción prolongada de su actividad y pueden llegar a cerrar tras un ataque de ransomware.
Además, si se aplicara una prohibición, podría obstaculizar la respuesta más amplia a las amenazas de ransomware. Si las empresas se enfrentaran a sanciones por pagar, podrían caer en la tentación de realizar pagos de ransomware en secreto. Esto significa que los datos precisos sobre las variantes de ransomware y la inteligencia de amenazas se verían afectados.
Otros obstáculos para la prohibición de pagos de ransomware incluyen empresas falsas de "recuperación de datos". Estos estafadores afirman poder recuperar datos robados o descifrar el cifrado. Pero en realidad, los presuntos rescatadores negocian con bandas de ransomware, básicamente pagan el rescate y luego cobran una cuota a las víctimas. Si se prohibieran los pagos de ransomware, estas operaciones turbias probablemente aumentarían.
Algunos dicen que prohibir los pagos por ransomware por completo podría considerarse una capitulación. Envía el mensaje de que la comunidad de seguridad no dispone de otros medios para frustrar los ataques de ransomware. En cambio, el gobierno exige la notificación de incidentes cibernéticos, como con la reciente Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas (CIRCIA). Al mejorar los índices de notificación de ransomware, los equipos de seguridad pueden conocer mejor cómo operan los atacantes y compartir la inteligencia sobre amenazas. Se considera que este tipo de solidaridad digital es más eficaz que intentar enfrentar estas amenazas en solitario.
También deben respaldarse y reforzarse las medidas policiales en respuesta a las continuas amenazas de ransomware. La banda de ransomware-as-a-service LockBit es un ejemplo de una gran victoria que llevó a los intrusos ante la justicia.
Además, existen iniciativas como la notificación previa al ransomware de la CISA, cuyo objetivo es reducir el riesgo alertando a las organizaciones sobre la actividad del ransomware en sus primeras etapas. La iniciativa generó más de 1200 notificaciones previas al ransomware en 2023.
El gobierno de los Estados Unidos también aboga por la seguridad mediante el diseño. En Oxford Cyber, Easterly afirmó: "Creo que hemos marcado la diferencia, pero no creo que podamos convertir el ransomware en una anomalía impactante sin la implementación exitosa de una campaña Secure-by-Design", afirmó Easterly. "No podemos esperar que las empresas que no cuentan con grandes equipos de seguridad puedan proteger esa infraestructura a menos que esa tecnología les llegue con un número drásticamente reducido de vulnerabilidades".
No es ningún secreto cuál es, en opinión del Gobierno estadounidense, la mejor estrategia para combatir el ransomware: los planes se están exponiendo de forma explícita. Incluyen estándares más estrictos de notificación de incidentes, esfuerzos continuos de aplicación de la ley, inteligencia compartida, esfuerzos de colaboración y seguridad por diseño. Por ahora, las sanciones por pagar un rescate no forman parte del plan oficial de juego.
Sin embargo, muchas entidades, incluida IBM, desaconsejan encarecidamente el pago de ransomware. En su lugar, siga las buenas prácticas y consulte la Guía definitiva para el ransomware de IBM.