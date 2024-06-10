Seguridad

¿Debería haber una prohibición total de los pagos por ransomware?

El debate sobre el gobierno de Estados Unidos que prohíbe a las empresas realizar pagos de ransomware vuelve a estar en los titulares. Recientemente, el Grupo de Trabajo sobre Ransomware del Instituto de Seguridad y Tecnología publicó un memorándum sobre el tema. El grupo de trabajo afirmó que prohibir los pagos por ransomware en EE. UU. en la actualidad agravará el daño para las víctimas, la sociedad y la economía. Además, las pequeñas empresas no pueden soportar una interrupción prolongada del negocio y podrían cerrar después de un ataque de ransomware.

“En la actualidad, los datos limitados disponibles indican que la mayoría de las organizaciones en todo el mundo aún no están preparadas para defenderse o recuperarse de un ataque de ransomware. Esta brecha de preparación sigue siendo especialmente problemática en sectores críticos con recursos limitados que actualmente están siendo fuertemente afectados por ataques de ransomware, como el de la salud, la educación y el gobierno", escribió el grupo de trabajo en el memorándum.

El grupo de trabajo establece los objetivos que deben alcanzarse antes de una posible prohibición de pagos.

El memorándum aludía a una posible prohibición futura y afirmaba que el enfoque más eficaz para reducir los pagos es un enfoque plurianual. Como parte del plan, el grupo de trabajo declaró que los gobiernos y la comunidad técnica deben ayudar a las empresas que son víctimas de ataques con opciones de recuperación distintas de pagar el ransomware.

Además, los gobiernos y la comunidad técnica deben fortalecer el apoyo a las víctimas para brindar a las organizaciones afectadas por ataques opciones alternativas de recuperación más allá de pagar el pago del ransomware. Para aumentar la capacidad de una organización para recuperarse de un ataque sin pagar el ransomware, el grupo de trabajo propuso las siguientes cuatro líneas de esfuerzo, cada una con hitos específicos:

  • Línea de esfuerzo 1: Preparación del ecosistema
  • Línea de esfuerzo 2: Disuasión
  • Línea de esfuerzo 3: Disrupción
  • Línea de esfuerzo 4: Respuesta

Regulaciones actuales relacionadas con el pago de ransomware

Si bien el grupo de trabajo se negó a establecer una prohibición de realizar pagos de ransomware en este momento, actualmente existen otras regulaciones y leyes que afectan a las empresas en su decisión de realizar un pago de ransomware. En 2020, el Departamento del Tesoro añadió posibles sanciones para las aseguradoras cibernéticas, los peritos forenses digitales y la respuesta a incidentes.

Además, la Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas de 2022 (CIRCIA), inspirada en los ataques de SolarWinds, Microsoft Exchange Server y Colonial Pipeline, describe los requisitos de informes para las solicitudes de pago de ransomware. Los requisitos de elaboración de informes de la Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas (CIRCIA), según las indicaciones de CIRCIA, establecen que los incidentes cibernéticos deben informarse dentro de las 72 horas y los pagos de ransomware deben informarse dentro de las 24 horas.

¿Es una buena idea prohibirlo o no?

A medida que continúa el debate sobre una prohibición federal a medida que Estados Unidos avanza hacia los hitos, las organizaciones continúan tomando sus propias decisiones de pagar o no pagar ransomware. La postura oficial de IBM es nunca pagar a los atacantes de ransomware.

Efectos positivos de una prohibición federal de los pagos de ransomware

    • Una prohibición podría resultar en menos actividad delictiva. Debido a que los delincuentes cibernéticos cometen ataques de ransomware para ganar dinero, la prohibición de pagar ransomware podría generar menos ataques. El Informe IBM® Threat Force Intelligence de 2024 encontró una caída del 11.5 % en el ransomware, probablemente debido a que muchas organizaciones ya no pagan por el ransomware.
    • Las empresas no siempre recuperan sus datos, incluso después de cumplir con las demandas de los delincuentes cibernéticos. Cuando una empresa realiza un pago de ransomware, confía en que los delincuentes devolverán sus datos. Sin embargo, el Informe de tendencisa de ranxomware de Veeam encontró que el 21 % de las compañías no recibieron sus datos de vuelta tras pagar.

    Efectos negativos de una prohibición federal de los pagos de ransomware

    Sin embargo, el grupo de trabajo y otros expertos consideran que hay muchas razones para no poner en marcha una prohibición en este momento:

    • Las organizaciones pueden cerrar. Si una organización no puede recuperar sus datos y se le prohíbe pagar el ransomware, entonces no puede hacer negocios. Como resultado, la empresa, especialmente si es pequeña, puede dejar de realizar operaciones.
    • Las víctimas no pueden denunciar ataques y pagos de ransomware. Si las empresas enfrentan sanciones por pagar, es probable que no informen sus pagos. Cuando los pagos no se reportan, el gobierno dejará de disponer de registros precisos.
    • Existe la posibilidad de chantaje después de que se realiza el pago del ransomware. Hacer pagos ilegales puede producir consecuencias no deseadas, como el chantaje. Tras el ataque, los delincuentes pueden chantajear a la organización para obtener más dinero y evitar publicidad sobre el ataque de ransomware y el pago.

    Avanzar hacia una organización preparada para el ransomware

    Con el grupo de trabajo que proporciona una hoja de ruta detallada, el objetivo es que las organizaciones mejoren su capacidad para defenderse y recuperarse de un ataque. Una vez que las empresas y los organismos de gobierno avancen, el grupo de trabajo podrá volver a examinar la viabilidad de la prohibición. Cuando las empresas pueden recuperar sus datos con relativa facilidad y volver a estar en línea rápidamente, la cuestión de pagar los pagos de ransomware deja de ser un problema.