Prohibir los pagos de ransomware es una idea simple y elegante, con el potencial de tener terribles consecuencias no deseadas. Es atractivo porque, si funcionara, detendría el incentivo para el ransomware. Si no te pueden pagar, ¿cuál es el punto? El ciberdelito es un negocio como cualquier otro. Si los clientes que pagan de repente dejan de pagar, es hora de dar un giro o cerrar la tienda.
¿Pero dejarán de pagar? El gran problema de una prohibición de pago de ransomware en el Reino Unido es que sólo sería efectiva en el Reino Unido. Las empresas con presencia internacional pueden pagar en otro lugar o utilizar un tercero con sede en el extranjero para realizar cualquier pago, posiblemente con una criptomoneda cuya fuente es casi imposible de rastrear. Una prohibición también podría tener un efecto paralizador a la hora de informar sobre violaciones de datos, ya que las empresas sopesan el costo de guardar secretos con el costo de que los sistemas sean irrecuperables.
Pero la discusión, aunque interesante, puede resultar discutible si el gobierno de EE. UU. prohíbe primero los pagos de ransomware.
Según una investigación citada por el gobierno de EE. UU., Estados Unidos sufre el 46% de todos los ataques de ransomware y es el país más atacado del mundo. Ya ha firmado un compromiso, junto con otros 40 países, de no pagar rescates, además de planes de intercambio de información. Y si bien una promesa está muy lejos de ser legislación, muestra la forma en que piensa el gobierno de Estados Unidos.
Por supuesto, “lo que el gobierno de Estados Unidos está pensando” es un poco impredecible en este momento, especialmente con las grandes divisiones en la política estadounidense y una elección presidencial que se avecina. Pero la inminente prohibición de TikTok muestra que está preparada para tomar medidas enérgicas contra las amenazas percibidas, y regulaciones como la Sarbanes-Oxley demuestran cierta voluntad de tomar medidas enérgicas contra los delitos de cuello blanco. El problema del ransomware puede ser lo suficientemente grave como para unir a las partes.
Los objetivos del ransomware han cambiado desde que nació el concepto. Hace una década se utilizaba a menudo para atacar a ciudadanos privados, encerrando archivos y fotografías personales y exigiendo unos cientos de dólares (o, en aquel entonces, un par de Bitcoin) para su liberación segura. Ahora son las grandes empresas con grandes bolsillos, siendo MGM y Clorox dos ejemplos de ello. O, cada vez más, infraestructura nacional crítica.
El ataque a UnitedHealth llevó a los proveedores de atención médica a pedir dinero prestado para cubrir un déficit de tres semanas en gastos y nómina, y cerró las operaciones de muchos hospitales y farmacias durante más de una semana. Según el director ejecutivo, fue “directamente un ataque al sistema de salud de Estados Unidos y diseñado para crear el máximo daño”. UnitedHealth pagó, supuestamente por una suma de 22 millones de dólares, pero esto fue una fracción del costo total del ataque.
En resumen: una banda criminal detuvo a un proveedor de atención médica, puso vidas en riesgo y recibió dinero por sus problemas, financiando de hecho el siguiente intento de extorsión. Incluso sin considerar los vínculos entre los ciberdelincuentes, los regímenes hostiles y el terrorismo, tiene que resultar muy tentador para los legisladores intentar detener este ciclo utilizando las palancas a las que tienen acceso. Cazar grupos de ransomware requiere mucho cuero de zapatos, virtuales o no. Incluso cuando están ubicados, es posible que no estén en un lugar al que las autoridades tengan acceso. La prohibición del pago de rescates puede parecer rápidamente la única opción.
Si la prohibición funciona como se espera, ¿qué significaría eso para todos los demás países sin prohibición? Que el 46% de los ataques de ransomware en EE. UU. no simplemente se detendrían, sino que se dirigirían a otros lugares, a países donde es legal pagar. El Reino Unido podría esperar que los ataques de ransomware aumenten enormemente, y la única respuesta sensata es una prohibición propia.
Una prohibición del pago de rescates tendría sin duda consecuencias no deseadas, siendo la más preocupante la falta de presentación de informes. Las empresas afectadas por un ataque tendrán una opción: ser honestas y arriesgarse a todas las consecuencias de una violación de datos más la posibilidad de que los sistemas nunca se recuperen, o mantener todo en silencio, enfrentar muchas menos consecuencias y hacer que todo vuelva a la normalidad después de un tiempo. ruptura. Para mantener abierta esta opción, las empresas tendrían que ser más reservadas sobre la seguridad en general. La cultura de honestidad y apertura que es vital para las buenas prácticas de seguridad podría verse irreparablemente dañada.
El Reino Unido, aunque piensa en prohibir los pagos de ransomware, puede terminar sin otra opción. Necesitamos empezar a pensar en las consecuencias o en las alternativas para controlar el ransomware ahora.
Ian Thornton-Trump es CISO de Cyjax, especialista en inteligencia de amenazas y gestión de riesgos.