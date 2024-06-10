El debate sobre la prohibición del gobierno de Estados Unidos a las empresas de realizar pagos de ransomware vuelve a estar en los titulares. Recientemente, el Grupo de Trabajo sobre Ransomware del Instituto de Seguridad y Tecnología publicó un memorándum sobre el tema. El grupo de trabajo declaró que prohibir los pagos por ransomware en EE. UU. en el momento actual empeorará el daño a las víctimas, a la sociedad y a la economía. Además, las pequeñas empresas no pueden soportar una interrupción prolongada del negocio y podrían cerrar después de un ataque de ransomware.
"En la actualidad, los limitados datos disponibles indican que la mayoría de las organizaciones del mundo aún no están preparadas para defenderse o recuperarse de un ataque de ransomware. Esta brecha de preparación sigue siendo particularmente problemática en sectores críticos con recursos limitados que actualmente se ven muy afectados por los ataques de ransomware, como la sanidad, la formación y el gobierno", escribió el grupo de trabajo en el memorando.
El memorando aludía a una posible prohibición futura y afirmaba que el enfoque más eficaz para reducir los pagos es un enfoque plurianual. Como parte del plan, el grupo de trabajo declaró que los gobiernos y la comunidad técnica deben ayudar a las empresas víctimas de ataques con opciones de recuperación distintas al pago del ransomware.
Además, los gobiernos y la comunidad técnica deben reforzar el apoyo a las víctimas para ofrecer a las organizaciones afectadas por ataques opciones alternativas de recuperación más allá de pagar el pago del ransomware. Para aumentar la capacidad de una organización de recuperarse de un ataque sin tener que pagar al ransomware, el grupo de trabajo propuso las siguientes cuatro líneas de esfuerzo, cada una con hitos específicos:
Aunque el grupo de trabajo se negó a establecer una prohibición de realizar pagos por ransomware en este momento, existen actualmente otras normativas y leyes que afectan a las empresas en su decisión de realizar un pago por ransomware. En 2020, el Departamento del Tesoro añadió posibles sanciones para las aseguradoras cibernéticas, los forenses digitales y la respuesta a incidentes.
Además, en la Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas de 2022 (CIRCIA), inspirada en los ataques de SolarWinds, Microsoft Exchange Server y Colonial Pipeline, se describen los requisitos de informes para las solicitudes de pago de ransomware. Requisitos para denuncias de la Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas (CIRCIA) , según lo dispuesto por CIRCIA, establece que los incidentes cibernéticos deben informarse dentro de las 72 horas desde la ocurrencia y los pagos de ransomware deben informarse dentro de las 24 horas.
A medida que continúa el debate sobre una prohibición federal mientras EE. UU. avanza hacia los hitos establecidos, las organizaciones siguen tomando sus propias decisiones sobre pagar o no pagar ransomware. La postura oficial de IBM es nunca pagar a los atacantes de ransomware.
Sin embargo, el grupo de trabajo y otros expertos consideran que hay muchas razones para no establecer una prohibición en este momento:
Dado que el grupo de trabajo proporciona una hoja de ruta detallada, el objetivo es que las organizaciones mejoren su capacidad de defensa y recuperación de un ataque. Cuando las empresas y organismos gubernamentales avancen, el grupo de trabajo podrá revisar la viabilidad de la prohibición. Cuando las empresas pueden recuperar sus datos con relativa facilidad y volver a estar en línea rápidamente, la cuestión de pagar los pagos del ransomware pasa a ser un problema menor.