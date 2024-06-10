Seguridad

¿Debería haber una prohibición total de los pagos por ransomware?

El debate sobre la prohibición del gobierno de Estados Unidos a las empresas de realizar pagos de ransomware vuelve a estar en los titulares. Recientemente, el Grupo de Trabajo sobre Ransomware del Instituto de Seguridad y Tecnología publicó un memorándum sobre el tema. El grupo de trabajo declaró que prohibir los pagos por ransomware en EE. UU. en el momento actual empeorará el daño a las víctimas, a la sociedad y a la economía. Además, las pequeñas empresas no pueden soportar una interrupción prolongada del negocio y podrían cerrar después de un ataque de ransomware.

"En la actualidad, los limitados datos disponibles indican que la mayoría de las organizaciones del mundo aún no están preparadas para defenderse o recuperarse de un ataque de ransomware. Esta brecha de preparación sigue siendo particularmente problemática en sectores críticos con recursos limitados que actualmente se ven muy afectados por los ataques de ransomware, como la sanidad, la formación y el gobierno", escribió el grupo de trabajo en el memorando.

El grupo de trabajo establece los hitos que deben alcanzarse antes de una posible prohibición de los pagos

El memorando aludía a una posible prohibición futura y afirmaba que el enfoque más eficaz para reducir los pagos es un enfoque plurianual. Como parte del plan, el grupo de trabajo declaró que los gobiernos y la comunidad técnica deben ayudar a las empresas víctimas de ataques con opciones de recuperación distintas al pago del ransomware.

Además, los gobiernos y la comunidad técnica deben reforzar el apoyo a las víctimas para ofrecer a las organizaciones afectadas por ataques opciones alternativas de recuperación más allá de pagar el pago del ransomware. Para aumentar la capacidad de una organización de recuperarse de un ataque sin tener que pagar al ransomware, el grupo de trabajo propuso las siguientes cuatro líneas de esfuerzo, cada una con hitos específicos:

  • Línea de esfuerzo 1: Preparación del ecosistema
  • Línea de esfuerzo 2: Disuasión
  • Línea de esfuerzo 3: Disrupción
  • Línea de esfuerzo 4: Respuesta

Normativa actual relacionada con el pago por ransomware

Aunque el grupo de trabajo se negó a establecer una prohibición de realizar pagos por ransomware en este momento, existen actualmente otras normativas y leyes que afectan a las empresas en su decisión de realizar un pago por ransomware. En 2020, el Departamento del Tesoro añadió posibles sanciones para las aseguradoras cibernéticas, los forenses digitales y la respuesta a incidentes.

Además, en la Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas de 2022 (CIRCIA), inspirada en los ataques de SolarWinds, Microsoft Exchange Server y Colonial Pipeline, se describen los requisitos de informes para las solicitudes de pago de ransomware. Requisitos para denuncias de la Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas (CIRCIA) , según lo dispuesto por CIRCIA, establece que los incidentes cibernéticos deben informarse dentro de las 72 horas desde la ocurrencia y los pagos de ransomware deben informarse dentro de las 24 horas.

¿Es una buena idea prohibirlo o no?

A medida que continúa el debate sobre una prohibición federal mientras EE. UU. avanza hacia los hitos establecidos, las organizaciones siguen tomando sus propias decisiones sobre pagar o no pagar ransomware. La postura oficial de IBM es nunca pagar a los atacantes de ransomware.

Efectos positivos de una prohibición federal de los pagos de ransomware

    • Una prohibición podría dar lugar a una menor actividad delictiva. Como los ciberdelincuentes cometen ataques de ransomware para ganar dinero, prohibir el pago del ransomware podría provocar menos ataques.  El informe IBM Threat Force Intelligence de 2024 reveló una caída del 11,5 % en el ransomware, probablemente debido a que muchas organizaciones ya no pagan por el ransomware.
    • Las empresas no siempre recuperan sus datos incluso después de cumplir con las exigencias de los ciberdelincuentes. Cuando una empresa realiza un pago de ransomware, confía en que los delincuentes le devolverán sus datos. Sin embargo, el informede tendencias del ransomware de Veeam reveló que el 21 % de las empresas no recibían sus datos después de pagar.

    Efectos negativos de una prohibición federal de los pagos de ransomware

    Sin embargo, el grupo de trabajo y otros expertos consideran que hay muchas razones para no establecer una prohibición en este momento:

    • Las organizaciones pueden cerrar. Si una organización no puede recuperar sus datos y se le prohíbe pagar el ransomware, entonces no puede hacer negocios. Como resultado, la empresa, especialmente si es más pequeña, puede cesar operaciones.
    • Las víctimas no pueden denunciar ataques y pagos de ransomware. Si las empresas se enfrentan a sanciones por pagar, es probable que no informen de sus pagos. Si los pagos no se informan, el gobierno dejará de disponer de registros precisos.
    • Existe la posibilidad de chantaje después de realizar el pago del ransomware. Hacer pagos ilegales puede tener consecuencias no deseadas, como el chantaje. Tras el ataque, los delincuentes pueden chantajear a la organización para obtener más dinero y evitar publicidad sobre el ataque de ransomware y el pago.

    Avanzar hacia una organización preparada para el ransomware

    Dado que el grupo de trabajo proporciona una hoja de ruta detallada, el objetivo es que las organizaciones mejoren su capacidad de defensa y recuperación de un ataque. Cuando las empresas y organismos gubernamentales avancen, el grupo de trabajo podrá revisar la viabilidad de la prohibición. Cuando las empresas pueden recuperar sus datos con relativa facilidad y volver a estar en línea rápidamente, la cuestión de pagar los pagos del ransomware pasa a ser un problema menor.