Mientras los ciberdelincuentes continúan Para cosechar las recompensas financieras de sus ataques, cada vez se habla más fuerte de una prohibición federal del pago de rescates.
Los funcionarios estadounidenses han instado durante mucho tiempo a no pagar demandas de rescate. Pero si bien varios estados de EE. UU., incluidos Carolina del Norte y Florida, han prohibido que las entidades gubernamentales locales paguen demandas de rescate, la administración Biden, tan recientemente como el otoño pasado, decidió no imponer una prohibición nacional absoluta de los pagos de rescate.
Es fácil ver por qué. Prohibir el pago de rescates no sólo sería difícil de aplicar y requeriría mecanismos complejos que aún no existen, sino que los críticos argumentan que penalizar los pagos a los piratas informáticos en última instancia castiga a las víctimas del delito cibernético que, en última instancia, podrían enfrentar repercusiones legales por hacer lo que consideran necesario para proteger, o, en algunos casos, salvar — su negocio.
Aunque persisten los desafíos, parece que la mentalidad del gobierno estadounidense podría estar empezando a cambiar.
En octubre de 2023, una alianza de más de 40 países liderada por Estados Unidos prometió como gobiernos no pagar rescates a los ciberdelincuentes en un intento por privar a los piratas informáticos de su fuente de ingresos.
Desde entonces, así como los rumores sobre una posible prohibición del pago de rescates se han vuelto más fuertes, también lo ha hecho la actividad del ransomware.
Solo en 2024, hemos visto a piratas informáticos con fines financieros explotar descaradamente en masa fallas en varias herramientas de acceso remoto para implementar ransomware; notorios grupos de ransomware se recuperan de los derribos gubernamentales; y la interrupción de los proveedores de atención médica en todo Estados Unidos después de un ataque de ransomware al gigante del procesamiento de recetas, Change Healthcare.
¿Es la solución la prohibición del pago de rescates? No es tan simple.
¿Prohibir o no prohibir?
A primera vista, una prohibición del pago de rescates tiene sentido lógico. Si a las organizaciones víctimas se les prohíbe pagar, los atacantes tendrán menos incentivos financieros para robar sus datos. En teoría, esto significa que quienes busquen enriquecerse rápidamente se verán obligados a ir a otra parte, y que los ataques de ransomware podrían convertirse en cosa del pasado.
El otro lado es que muchos creen que ilegalizar los pagos de rescate es una solución demasiado simplista a un problema complejo.
El ransomware es un problema global. Para que una prohibición de los pagos de rescates tenga éxito, sería necesario implementar una regulación internacional y universal, lo cual, dadas las diferentes normas internacionales en torno a los pagos de rescates, sería casi imposible de hacer cumplir. También requeriría que los gobiernos que otorgan refugio a los ciberdelincuentes (Rusia recibe un nombre obvio) tomen medidas enérgicas dentro de sus propias fronteras, algo que no están incentivados a hacer.
Una prohibición general del pago de rescates probablemente también requeriría excepciones en circunstancias extremas, como ataques de ransomware que implican el riesgo de pérdida de vidas en instalaciones médicas o amenazas a la infraestructura crítica nacional.
Estas excepciones, si bien son lógicas, también se aplicarían a los piratas informáticos detrás de estos ataques, lo que podría conducir a un ataque a la infraestructura crítica de la nación. Y mientras los ciberdelincuentes sigan ganando dinero, las amenazas de ransomware y extorsión no desaparecerán.
Algunos también argumentan que si se impusiera una prohibición del pago de rescates en Estados Unidos o en cualquier otro país altamente victimizado, las empresas probablemente dejarían de informar estos incidentes a las autoridades, revirtiendo efectivamente toda la cooperación pasada entre las víctimas y las autoridades.
Allan Liska, experto en ransomware y analista de inteligencia de amenazas de Recorded Future, dijo a TechCrunch que antes de que se aplique una prohibición general de los pagos a grupos de ransomware, o una prohibición con algunas excepciones, debemos hacer un esfuerzo concertado para catalogar mejor la cantidad de ataques de ransomware «para que podamos tomar una decisión informada sobre los mejores pasos».
“En Estados Unidos tenemos dos casos de prueba que demuestran este punto”, afirmó Liska. “Tanto Carolina del Norte como Florida han implementado prohibiciones a las entidades públicas que pagan rescates a grupos de ransomware. En ambos casos, al observar los datos del año anterior a la entrada en vigor de las leyes y del año posterior, no ha habido cambios perceptibles en la cantidad de ataques de ransomware reportados públicamente contra organizaciones públicas en esos estados”.
¿Funcionaría siquiera una prohibición?
También está la cuestión de cuán efectiva sería una prohibición del pago de rescates.
Como ha demostrado la historia, los piratas informáticos tienen poco respeto por las reglas. Incluso cuando una organización cede a la demanda de rescate de un atacante, los datos de la víctima no siempre se eliminan, como lo demuestra la reciente eliminación legal de la banda de ransomware LockBit.
Dada la naturaleza descarada de estos atacantes, es poco probable que se dejen disuadir por una prohibición del pago de rescates. Más bien, criminalizar el pago probablemente lo empujaría aún más a la clandestinidad y probablemente alentaría a los atacantes a cambiar de táctica, volviéndose más encubiertos en sus operaciones y transacciones.
“¿Son malos los pagos de rescate? Sí, no hay ningún beneficio neto para la sociedad que provenga de pagar a los grupos de ransomware; de hecho, hay un daño neto directo para la sociedad al pagar a estos actores de amenazas”, dijo Liska.
“¿La prohibición de los pagos de rescate impedirá que los grupos de ransomware lleven a cabo ataques? La respuesta es rotundamente no”.
Lea más en TechCrunch: