\n<\/p>\n
Mientras los ciberdelincuentes contin\u00faan<\/span> Para cosechar las recompensas financieras de sus ataques, cada vez se habla m\u00e1s fuerte de una prohibici\u00f3n federal del pago de rescates.<\/p>\n Los funcionarios estadounidenses han instado durante mucho tiempo a no pagar demandas de rescate. Pero si bien varios estados de EE. UU., incluidos Carolina del Norte y Florida, han prohibido que las entidades gubernamentales locales paguen demandas de rescate, la administraci\u00f3n Biden, tan recientemente como el oto\u00f1o pasado, decidi\u00f3 no imponer una prohibici\u00f3n nacional absoluta de los pagos de rescate.<\/p>\n Es f\u00e1cil ver por qu\u00e9. Prohibir el pago de rescates no s\u00f3lo ser\u00eda dif\u00edcil de aplicar y requerir\u00eda mecanismos complejos que a\u00fan no existen, sino que los cr\u00edticos argumentan que penalizar los pagos a los piratas inform\u00e1ticos en \u00faltima instancia castiga a las v\u00edctimas del delito cibern\u00e9tico que, en \u00faltima instancia, podr\u00edan enfrentar repercusiones legales por hacer lo que consideran necesario para proteger, o, en algunos casos, salvar \u2014 su negocio.<\/p>\n Aunque persisten los desaf\u00edos, parece que la mentalidad del gobierno estadounidense podr\u00eda estar empezando a cambiar.<\/p>\n En octubre de 2023, una alianza de m\u00e1s de 40 pa\u00edses liderada por Estados Unidos prometi\u00f3 como gobiernos no pagar rescates a los ciberdelincuentes en un intento por privar a los piratas inform\u00e1ticos de su fuente de ingresos.<\/p>\n Desde entonces, as\u00ed como los rumores sobre una posible prohibici\u00f3n del pago de rescates se han vuelto m\u00e1s fuertes, tambi\u00e9n lo ha hecho la actividad del ransomware.<\/p>\n Solo en 2024, hemos visto a piratas inform\u00e1ticos con fines financieros explotar descaradamente en masa fallas en varias herramientas de acceso remoto para implementar ransomware; notorios grupos de ransomware se recuperan de los derribos gubernamentales; y la interrupci\u00f3n de los proveedores de atenci\u00f3n m\u00e9dica en todo Estados Unidos despu\u00e9s de un ataque de ransomware al gigante del procesamiento de recetas, Change Healthcare.<\/p>\n \u00bfEs la soluci\u00f3n la prohibici\u00f3n del pago de rescates? No es tan simple.<\/p>\n A primera vista, una prohibici\u00f3n del pago de rescates tiene sentido l\u00f3gico. Si a las organizaciones v\u00edctimas se les proh\u00edbe pagar, los atacantes tendr\u00e1n menos incentivos financieros para robar sus datos. En teor\u00eda, esto significa que quienes busquen enriquecerse r\u00e1pidamente se ver\u00e1n obligados a ir a otra parte, y que los ataques de ransomware podr\u00edan convertirse en cosa del pasado.<\/p>\n El otro lado es que muchos creen que ilegalizar los pagos de rescate es una soluci\u00f3n demasiado simplista a un problema complejo.<\/p>\n El ransomware es un problema global. Para que una prohibici\u00f3n de los pagos de rescates tenga \u00e9xito, ser\u00eda necesario implementar una regulaci\u00f3n internacional y universal, lo cual, dadas las diferentes normas internacionales en torno a los pagos de rescates, ser\u00eda casi imposible de hacer cumplir. Tambi\u00e9n requerir\u00eda que los gobiernos que otorgan refugio a los ciberdelincuentes (Rusia recibe un nombre obvio) tomen medidas en\u00e9rgicas dentro de sus propias fronteras, algo que no est\u00e1n incentivados a hacer.<\/p>\n Una prohibici\u00f3n general del pago de rescates probablemente tambi\u00e9n requerir\u00eda excepciones en circunstancias extremas, como ataques de ransomware que implican el riesgo de p\u00e9rdida de vidas en instalaciones m\u00e9dicas o amenazas a la infraestructura cr\u00edtica nacional.<\/p>\n Estas excepciones, si bien son l\u00f3gicas, tambi\u00e9n se aplicar\u00edan a los piratas inform\u00e1ticos detr\u00e1s de estos ataques, lo que podr\u00eda conducir a un ataque a la infraestructura cr\u00edtica de la naci\u00f3n. Y mientras los ciberdelincuentes sigan ganando dinero, las amenazas de ransomware y extorsi\u00f3n no desaparecer\u00e1n.<\/p>\n Algunos tambi\u00e9n argumentan que si se impusiera una prohibici\u00f3n del pago de rescates en Estados Unidos o en cualquier otro pa\u00eds altamente victimizado, las empresas probablemente dejar\u00edan de informar estos incidentes a las autoridades, revirtiendo efectivamente toda la cooperaci\u00f3n pasada entre las v\u00edctimas y las autoridades.<\/p>\n Allan Liska, experto en ransomware y analista de inteligencia de amenazas de Recorded Future, dijo a TechCrunch que antes de que se aplique una prohibici\u00f3n general de los pagos a grupos de ransomware, o una prohibici\u00f3n con algunas excepciones, debemos hacer un esfuerzo concertado para catalogar mejor la cantidad de ataques de ransomware \u00abpara que podamos tomar una decisi\u00f3n informada sobre los mejores pasos\u00bb.<\/p>\n \u201cEn Estados Unidos tenemos dos casos de prueba que demuestran este punto\u201d, afirm\u00f3 Liska. \u201cTanto Carolina del Norte como Florida han implementado prohibiciones a las entidades p\u00fablicas que pagan rescates a grupos de ransomware. En ambos casos, al observar los datos del a\u00f1o anterior a la entrada en vigor de las leyes y del a\u00f1o posterior, no ha habido cambios perceptibles en la cantidad de ataques de ransomware reportados p\u00fablicamente contra organizaciones p\u00fablicas en esos estados\u201d.<\/p>\n Tambi\u00e9n est\u00e1 la cuesti\u00f3n de cu\u00e1n efectiva ser\u00eda una prohibici\u00f3n del pago de rescates.<\/p>\n Como ha demostrado la historia, los piratas inform\u00e1ticos tienen poco respeto por las reglas. Incluso cuando una organizaci\u00f3n cede a la demanda de rescate de un atacante, los datos de la v\u00edctima no siempre se eliminan, como lo demuestra la reciente eliminaci\u00f3n legal de la banda de ransomware LockBit.<\/p>\n Dada la naturaleza descarada de estos atacantes, es poco probable que se dejen disuadir por una prohibici\u00f3n del pago de rescates. M\u00e1s bien, criminalizar el pago probablemente lo empujar\u00eda a\u00fan m\u00e1s a la clandestinidad y probablemente alentar\u00eda a los atacantes a cambiar de t\u00e1ctica, volvi\u00e9ndose m\u00e1s encubiertos en sus operaciones y transacciones.<\/p>\n \u201c\u00bfSon malos los pagos de rescate? S\u00ed, no hay ning\u00fan beneficio neto para la sociedad que provenga de pagar a los grupos de ransomware; de \u200b\u200bhecho, hay un da\u00f1o neto directo para la sociedad al pagar a estos actores de amenazas\u201d, dijo Liska.<\/p>\n \u201c\u00bfLa prohibici\u00f3n de los pagos de rescate impedir\u00e1 que los grupos de ransomware lleven a cabo ataques? La respuesta es rotundamente no\u201d.<\/p>\n\u00bfProhibir o no prohibir?<\/h2>\n
\u00bfFuncionar\u00eda siquiera una prohibici\u00f3n?<\/h2>\n