Prohibición de pagos por ransomware por parte del gobierno: ¿cuáles son las implicaciones más amplias?

El gobierno del Reino Unido ha implementado recientemente una prohibición de pagos de rescate en el sector público, lo que ha suscitado reacciones variadas en la industria. Esta medida busca eliminar los incentivos financieros que alimentan los ataques de ransomware y hacer que las entidades del sector público y la infraestructura nacional crítica sean menos atractivas para los delincuentes cibernéticos. Sin embargo, esta nueva política no ha estado exenta de críticas. Mientras que sus defensores sostienen que los pagos de rescate recompensan a los criminales y fomentan más delitos, otros advierten que podría dar lugar a consecuencias negativas, como la promoción de un mercado negro secundario o afectar la denuncia de incidentes de ransomware.

La ciberseguridad es un área compleja que no cuenta con soluciones simples. Es positivo que se exploren nuevas ideas, pero es crucial que los expertos del sector y los responsables de políticas actúen con precaución, considerando todas las posibles repercusiones antes de implementar medidas para mitigar los riesgos de seguridad.

La legislación busca prohibir los pagos de entidades del sector público, pero las organizaciones podrían intentar encontrar formas de eludir esta restricción para recuperar sus servicios, minimizar el impacto financiero de un ataque o proteger los datos de sus clientes. Un posible vacío legal podría ser el uso de cuentas bancarias en el extranjero o intermediarios de terceros para facilitar los pagos sin una implicación directa. Por ejemplo, si una empresa tiene oficinas en el Reino Unido y Alemania, ¿qué los detendría de utilizar su entidad alemana para realizar un pago o recurrir a un tercero que posteriormente les reembolse por servicios de seguridad? Estas lagunas pueden resultar en que la prohibición de pagos pierda su efectividad, creando un terreno de juego desigual para las organizaciones.

La situación se complica aún más con la cuestión del pago. Los directores de seguridad de la información (CISOs) enfrentan un dilema ético en el que, aunque nadie desea pagar, muchos temen implementar una política de no pago en términos absolutos, preocupados por la posibilidad de tener que ceder ante un rescate en circunstancias extremas para asegurar la supervivencia de su organización. Con la prohibición, esta tensión aumentará, ya que enfrentan una dura realidad: pagar el rescate para recuperar el acceso a sistemas críticos o negarse y arriesgarse a sufrir interrupciones prolongadas y filtraciones de datos.

Las preguntas sobre si el gobierno intervendrá para apoyar a los negocios que enfrentan interrupciones prolongadas son fundamentales. En situaciones donde se debate entre el pago y la supervivencia del negocio, especialmente si se trata de organizaciones que ofrecen servicios públicos vitales, surge la responsabilidad del gobierno de asegurar la continuidad operacional.

Otro punto importante a considerar es el impacto en el intercambio de información. Prohibir los pagos de rescate podría llevar a las empresas a etiquetar erróneamente ataques o evitar reportar incidentes de ransomware, lo que les brindaría mayor flexibilidad en su respuesta pero podría perjudicar gravemente la inteligencia de ciberseguridad. La disminución de reportes significa menos visibilidad sobre patrones de ataque, lo que podría beneficiar a los delincuentes cibernéticos.

Aunque la evasión de la prohibición no está exenta de riesgos, pagar un rescate en secreto podría propiciar la creación de un mercado negro de chantajes, donde los atacantes amenacen con exponer a las víctimas que optan por pagar sin que se sepa. Esto añade una capa adicional de complejidad, ya que las organizaciones terminarían no solo negociando con los criminales por el acceso a los datos, sino también enfrentando amenazas de extorsión sobre el pago mismo.

Para abordar esta problemática, se sugiere que, aunque la filosofía de la prohibición de los pagos pueda parecer adecuada, en la práctica las empresas necesitarán flexibilidad para gestionar las amenazas cibernéticas de manera efectiva. Un modelo que permita un camino controlado para el pago en circunstancias excepcionales podría ser la solución adecuada. Se recomienda que se imponga un reporte obligatorio para los ataques de ransomware a la autoridad correspondiente, sin importar si se efectúa un pago. Esto aseguraría un seguimiento y análisis más exhaustivo de los incidentes.

Las organizaciones también deberían ser responsables de formar a su personal sobre cómo reaccionar ante ciberataques, lo que les permitirá responder de manera adecuada en caso de un ataque real.

La rígida postura del gobierno en contra de los pagos de rescate puede tener sus ventajas, pero presenta varios problemas significativos que deben ser abordados, como los dilemas del pago y el impacto en la recolección de inteligencia. Es vital una colaboración entre el sector privado y el gobierno que incluya el reporte obligatorio, opciones de pago flexibles y capacitación para los empleados, a fin de que las organizaciones puedan navegar mejor las complejidades de los ataques de ransomware.