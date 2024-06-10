El debate sobre el gobierno de Estados Unidos que prohíbe a las empresas realizar pagos de ransomware vuelve a estar en los titulares. Recientemente, el Grupo de Trabajo sobre Ransomware del Instituto de Seguridad y Tecnología publicó un memorándum sobre el tema. El grupo de trabajo afirmó que prohibir los pagos por ransomware en EE. UU. en la actualidad agravará el daño para las víctimas, la sociedad y la economía. Además, las pequeñas empresas no pueden soportar una interrupción prolongada del negocio y podrían cerrar después de un ataque de ransomware.
“En la actualidad, los datos limitados disponibles indican que la mayoría de las organizaciones en todo el mundo aún no están preparadas para defenderse o recuperarse de un ataque de ransomware. Esta brecha de preparación sigue siendo especialmente problemática en sectores críticos con recursos limitados que actualmente están siendo fuertemente afectados por ataques de ransomware, como el de la salud, la educación y el gobierno", escribió el grupo de trabajo en el memorándum.
El memorándum aludía a una posible prohibición futura y afirmaba que el enfoque más eficaz para reducir los pagos es un enfoque plurianual. Como parte del plan, el grupo de trabajo declaró que los gobiernos y la comunidad técnica deben ayudar a las empresas que son víctimas de ataques con opciones de recuperación distintas de pagar el ransomware.
Además, los gobiernos y la comunidad técnica deben fortalecer el apoyo a las víctimas para brindar a las organizaciones afectadas por ataques opciones alternativas de recuperación más allá de pagar el pago del ransomware. Para aumentar la capacidad de una organización para recuperarse de un ataque sin pagar el ransomware, el grupo de trabajo propuso las siguientes cuatro líneas de esfuerzo, cada una con hitos específicos:
Si bien el grupo de trabajo se negó a establecer una prohibición de realizar pagos de ransomware en este momento, actualmente existen otras regulaciones y leyes que afectan a las empresas en su decisión de realizar un pago de ransomware. En 2020, el Departamento del Tesoro añadió posibles sanciones para las aseguradoras cibernéticas, los peritos forenses digitales y la respuesta a incidentes.
Además, la Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas de 2022 (CIRCIA), inspirada en los ataques de SolarWinds, Microsoft Exchange Server y Colonial Pipeline, describe los requisitos de informes para las solicitudes de pago de ransomware. Los requisitos de elaboración de informes de la Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas (CIRCIA), según las indicaciones de CIRCIA, establecen que los incidentes cibernéticos deben informarse dentro de las 72 horas y los pagos de ransomware deben informarse dentro de las 24 horas.
A medida que continúa el debate sobre una prohibición federal a medida que Estados Unidos avanza hacia los hitos, las organizaciones continúan tomando sus propias decisiones de pagar o no pagar ransomware. La postura oficial de IBM es nunca pagar a los atacantes de ransomware.
Sin embargo, el grupo de trabajo y otros expertos consideran que hay muchas razones para no poner en marcha una prohibición en este momento:
Con el grupo de trabajo que proporciona una hoja de ruta detallada, el objetivo es que las organizaciones mejoren su capacidad para defenderse y recuperarse de un ataque. Una vez que las empresas y los organismos de gobierno avancen, el grupo de trabajo podrá volver a examinar la viabilidad de la prohibición. Cuando las empresas pueden recuperar sus datos con relativa facilidad y volver a estar en línea rápidamente, la cuestión de pagar los pagos de ransomware deja de ser un problema.