Está bien, escúchame. En las décadas de 1960 y 1970, el Reino Unido comenzó a desarrollar una política de no negociación en respuesta al creciente número de incidentes terroristas principalmente en Irlanda del Norte; aunque otro ejemplo más famoso de no negociar sería el asedio a la embajada iraní en 1980. En Estados Unidos, la posición comenzó a ser tolerada en los años 1970 y 1980; nuevamente con respecto a Medio Oriente, las fuentes están divididas sobre si El presidente Richard Nixon o Jimmy Carter utilizaron oficialmente por primera vez el famoso fragmento: “No negociamos con terroristas”.
Este fragmento famoso, y a menudo citado, funciona porque es contundente, claro, definitivo y parece adoptar una postura de principios. Sin embargo, la realidad es que tanto el Reino Unido como Estados Unidos negocian… cuando les conviene. Además, esta retórica ha resultado en oportunidades perdidas, vidas perdidas e hipocresía. Uno de los ejemplos más claros de cuándo la negociación con grupos terroristas definidos ha conducido a un resultado positivo sería el Acuerdo de Viernes Santo de 1998, que fue alcanzado entre los gobiernos del Reino Unido e Irlanda y ocho partidos o agrupaciones políticas de Irlanda del Norte, luego de negociaciones multipartidistas. El gobierno de Estados Unidos, con el senador George Mitchell como presidente de las conversaciones, también desempeñó un papel importante en la negociación del acuerdo. Este acuerdo dio lugar a una asamblea de poder compartido para gobernar Irlanda del Norte y allanó el camino para que los grupos paramilitares decomisaran sus armas.
Para ver un ejemplo de cuándo negociar y no negociar han tenido resultados marcadamente diferentes, no necesitamos mirar más allá del destino de los rehenes retenidos por los infames miembros de ISIS apodados “Los Beatles”. Si bien es indudable que fue brutal y culpable de ejecutar a periodistas y trabajadores humanitarios británicos y estadounidenses, el grupo liberó a todos los demás cautivos occidentales tras negociaciones y a cambio de grandes sumas de dinero.
¿El pago del rescate incentiva el crimen?
Uno de los argumentos clave para no pagar rescates, o incluso negociar, es que tales actividades incentivan el crimen; contribuyendo así a su crecimiento. En su libro, Queremos Negociar: El mundo secreto del secuestro, los rehenes y el rescate, Joel Simon profundiza mucho más en la política de no concesiones y en cómo adherirse a ella, en lugar de proteger a las personas eliminando esos incentivos, en realidad las pone en mayor riesgo de sufrir daños. En resumen, la política de larga data de no concesiones no impidió que se tomaran rehenes británicos y estadounidenses, sino que sólo provocó su muerte.
Recientemente ha habido nuevos llamamientos para ilegalizar los pagos de ransomware. Una vez más, la premisa del argumento es que pagar el rescate incentiva el crecimiento del ecosistema de ransomware. Teniendo en cuenta los puntos anteriores, vale la pena considerar la pregunta clave: ¿Crees que si un hacker ya no tiene un incentivo financiero para piratear, dejaría de hacerlo?
Si su respuesta es no, entonces es necesario encontrar otro mecanismo. Si su respuesta es sí, puede que le sorprenda saber que ya existen leyes que prohíben los pagos de rescate y ransomware para entidades del Reino Unido y EE. UU. En los EE. UU., la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro tiene regulaciones que prohíben transacciones, incluidos los pagos de rescate, a personas o entidades en la Lista de Nacionales Especialmente Designados (SDN). La OFAC emitió un aviso en octubre de 2020 abordando específicamente los pagos de ransomware. Advirtió que realizar un pago a una persona o entidad sancionada podría dar lugar a sanciones civiles según la ley estadounidense, independientemente de si el pagador sabía o debería haber sabido que estaba participando en una transacción prohibida. En el Reino Unido, el Reglamento de Sanciones Cibernéticas (Salida de la UE) de 2020 entró en vigor a finales de 2020 y prohíbe las transacciones con personas designadas involucradas en delitos cibernéticos. Esto incluye pagos de rescate a atacantes de ransomware. El incumplimiento podría dar lugar a sanciones penales, incluido el encarcelamiento o una multa. Hasta la fecha, no he encontrado ningún caso en el que alguien haya sido procesado por pagar un rescate, ya sea por un ser humano o por la recuperación/protección de datos, lo que en sí mismo sienta un precedente.
Los inconvenientes de ilegalizar los pagos de rescate
Hacer que los pagos de ransomware sean ilegales también tiene efectos negativos adicionales. Es probable que la notificación de incidentes disminuya, exponiendo potencialmente a los interesados a riesgos de los que no son conscientes. Criminaliza a las organizaciones víctimas, exponiéndolas potencialmente a multas adicionales además del pago, cualquier multa o sanción de los organismos reguladores y el costo de la investigación, la recuperación y los honorarios legales, etc. Pero lo más importante para mí, como respondedor de incidentes, es que elimina una herramienta valiosa de nuestro arsenal. Si los actores de amenazas saben que las organizaciones no pueden pagar un rescate, entonces no tienen ningún incentivo para negociar. La negociación no se trata sólo de fijar un precio. De hecho, la negociación no tiene por qué conducir al pago. Se puede utilizar como mecanismo para obtener inteligencia sobre el actor de la amenaza, el ingreso, la duración, el acceso a los datos y como un mecanismo de dilación para ganar tiempo a las organizaciones para investigar, erradicar, remediar y recuperar.
Independientemente de que sean eficaces o no, el objetivo general de las sugerencias de ilegalizar el pago de rescates es reducir el número y el impacto de los ciberataques. Pero hay toda una industria de seguridad cibernética que está tratando de lograr el mismo objetivo. La sugerencia es sólo una palanca, no técnica ni relacionada con la seguridad, que se centra en el problema demasiado tarde en el juego. Nadie piensa que pagarán un rescate, porque no lo ven como algo con lo que tendrían que lidiar, por lo que no les importa si es ilegal o no. Las medidas punitivas solo afectan a las empresas en el resultado final de sus balances, que es donde la alta dirección ve el costo de la seguridad cibernética, no el efecto en las personas afectadas por ella.
Algunos han comentado que la educación y la capacitación claramente no están llegando a los usuarios y que las soluciones de seguridad se están quedando cortas. Sin embargo, ambos son en realidad parte de la cultura de una empresa. Si estos fallan, es debido a una falla en la cultura de la empresa. Y la cultura comienza desde arriba.
Cómo mejorar la cultura empresarial
Entonces, ¿cuál es la solución? Bueno, no hay nada que pueda solucionarlo todo, pero aquí hay tres puntos que creo que podrían mover la aguja en una dirección positiva:
Cambiar la cultura de la empresa alejando la seguridad cibernética de ser una figura en una hoja de cálculo: hacer y responsabilizar a las juntas directivas y a los ejecutivos de alta dirección de garantizar la seguridad de los datos mediante multas personales, bloqueo de bonificaciones, impidiéndoles mantener un nivel de cargo por un período de tiempo, o incluso prisión. Además, esto debe incluir un período de recuperación, un período de tiempo durante el cual, si la organización en la que ocupaban ese puesto se ve afectada por un incidente cibernético, pueden ser multados o responsabilizados. Hacer que el ejecutivo se involucre personalmente en la seguridad de los datos en poder de la organización cambiará la cultura dentro de la organización.
Aléjese del vitriolo de interactuar con actores amenazantes. No sólo puedes hablar con personas que te agradan y que están de acuerdo contigo. Hacerlo te deja encerrado en una visión muy polarizada y menos informado y educado de lo que podrías estar de otra manera. Ésta no es una buena posición para estar durante una crisis. En su libro, Nunca divida la diferencia, Chris Voss, ex principal negociador internacional de rehenes para el FBI (un puesto que realmente demuestra que Estados Unidos negocia con terroristas) cita numerosos casos en los que la negociación ha conducido a resultados beneficiosos para la parte cuyo oponente aparentemente tenía todas las cartas; donde las negociaciones condujeron a la recopilación de información de inteligencia y a una mayor desarticulación del crimen organizado; donde el simple hecho de ser escuchados, o mejor dicho escuchados, llevó a los secuestradores a renunciar a sus propios objetivos iniciales.
Apunta al rastro del dinero
Finalmente, si realmente desea atacar los sistemas financieros de los actores de amenazas, dificulte que los actores de amenazas utilicen/gasten los criptoactivos que reciben. La cadena de bloques es un libro de contabilidad abierto donde se pueden rastrear las transacciones y atribuir las billeteras a grupos de amenazas. El concepto de pruebas de conocimiento cero (ZKP) podría utilizarse en un sistema para rastrear y calificar la confiabilidad de las transacciones de criptomonedas. Los organismos encargados de hacer cumplir la ley o las empresas de ciberseguridad podrían mantener una base de datos de carteras defectuosas conocidas asociadas con delitos cibernéticos y ransomware. Cada transacción podría calificarse en función de si involucra estas carteras defectuosas. Por ejemplo, una transacción que solo involucra billeteras buenas conocidas obtiene una puntuación alta, mientras que una transacción que involucra una billetera mala conocida obtiene una puntuación baja. Con el tiempo, a las billeteras nuevas o de otro tipo se les podría asignar una puntuación de confiabilidad basada en las puntuaciones de sus transacciones.
En lugar de revelar públicamente qué billeteras son malas, estas organizaciones podrían usar ZKP para demostrar que saben que una billetera es mala sin revelar qué, por qué o cómo lo saben. Esto preserva el nivel de privacidad de los propietarios de las billeteras, así como la inteligencia de la organización, al mismo tiempo que permite calificar las transacciones. Este enfoque, si bien es un libro de contabilidad cerrado, también dificulta que los actores de amenazas intenten manipular el libro de contabilidad o la puntuación.
Este sistema podría ayudar a desalentar las transacciones con carteras conocidas como malas e incentivar las transacciones con carteras conocidas como buenas. Una solución de este tipo requeriría un diseño y una supervisión cuidadosos para garantizar que no se utilice indebidamente ni se manipule, y que respete los derechos de privacidad, pero también podría ayudar con la adopción de criptomonedas descentralizadas para fines legítimos.
Mark Cunningham-Dickie es consultor principal de respuesta a incidentes de Quorum Cyber. Tiene más de 20 años de experiencia en la industria de la tecnología, incluidos más de 10 trabajando en funciones técnicas para las fuerzas del orden y otras organizaciones financiadas por el gobierno. Mark tiene una maestría en seguridad avanzada y ciencia forense digital y una licenciatura (con honores) en informática.