Los legisladores estadounidenses están reflexionando sobre una nueva propuesta para designar a los países desde donde operan las bandas de ciberdelincuentes ransomware como estados patrocinadores del terrorismo.
La ley forma parte de la Ley de Autorización de Inteligencia para el año fiscal 2025, que está siendo presentada por Mark Warner, senador demócrata por Virginia y presidente del Comité de Inteligencia del Senado.
Vería a países como Rusia que se considera que han brindado apoyo a un esquema de demanda de ransomware, incluido el suministro de refugio seguro para los propios miembros de bandas criminales, listados en el mismo grupo que países como Cuba, Irán, Corea del Norte y Siria, y sujetos a las mismas penas y sanciones.
Enumera una serie de equipos de ransomware que el Comité cree que constituyen actores cibernéticos extranjeros hostiles cuyos países de origen se benefician de sus actividades, incluidas algunas de las operaciones más peligrosas y prolíficas de los últimos años, como Black Basta, BlackCat, Cl0p, Conti, DarkSide, LockBit y ReVIL, todos los cuales tenían o tienen vínculos con Rusia.
Hay cuatro categorías principales de sanciones para los países designados como estados patrocinadores del terrorismo, incluidas prohibiciones de la asistencia exterior de los EE. UU., exportaciones y ventas de defensa, controles sobre las exportaciones de artículos de doble uso (artículos que pueden usarse tanto para fines civiles como militares). y restricciones financieras y de otro tipo “diversas”. Por supuesto, Rusia ya está sujeta a amplias sanciones occidentales por su invasión ilegal de Ucrania.
El proyecto de ley también establece una propuesta para considerar los ataques de ransomware a la infraestructura nacional crítica (CNI) como una prioridad de inteligencia según el Marco de Prioridades de Inteligencia Nacional de EE. UU.
Jon Miller, fundador y director ejecutivo de Halcyon Security, una plataforma antiransomware basada en inteligencia artificial, dijo a Computer Weekly que ya era hora de que los ataques de ransomware se destaquen por lo que son, especialmente cuando se dirigen a proveedores de atención médica y otros operadores de CNI como proveedores de servicios públicos o de comunicaciones (CSP).
Explicó que si bien las bandas de ransomware siempre se han escondido detrás del hecho de que sus acciones parecen una actividad criminal, a menudo tienen ambos lados, ya que con frecuencia promueven agendas geopolíticas, como no atacar a organizaciones en jurisdicciones de habla rusa.
También reciben el respaldo tácito de sus gobiernos “anfitriones”, ejemplificado por los arrestos de miembros de la pandilla REvil por parte del servicio de seguridad ruso FSB en enero de 2022, lo que demuestra que Rusia es muy capaz de ser un socio eficaz en la lucha contra el ciberdelito cuando elige ser.
“Los operadores de ransomware pueden caminar y masticar chicle al mismo tiempo. Si bien el ransomware es lucrativo para ellos y necesitan ganar dinero para financiar sus operaciones, no debemos ignorar el hecho de que muchos de estos ataques se llevan a cabo con el objetivo de causar perturbaciones, crear dudas y promover agendas geopolíticas. No es exagerado designar algo de esto como actos de terrorismo”, dijo.
“El hecho de que los ataques de ransomware parezcan en la superficie simplemente una actividad cibercriminal proporciona un nivel conveniente de negación plausible cuando esos ataques también sirven a los objetivos geopolíticos más amplios de los gobiernos adversarios. Esta es la razón por la que es imperativo que el gobierno de los EE. UU. y las naciones aliadas que son el objetivo de estos ataques diferencien una parte y los reclasifiquen como actos terroristas, específicamente aquellos ataques que tienen como objetivo la atención médica y otras funciones de infraestructura críticas donde se ponen en riesgo vidas o perdido.
“Si cualquier actor patrocinado por el Estado atacara físicamente un hospital, una instalación de tratamiento de agua u otro proveedor de infraestructura crítica, no dudaríamos en llamarlo terrorismo. ¿Por qué deberíamos hacerlo simplemente porque fueron ataques cibernéticos?” él dijo.
Miller describió la sugerencia de Estados Unidos como un paso en la dirección correcta y dijo que si considerar los ataques de ransomware como ataques terroristas da a las autoridades más opciones, es una palanca que se debe tirar.
Implicaciones para las organizaciones del Reino Unido
Dado que el proyecto de ley estadounidense apunta implícitamente a Rusia, si se aprueba, sin duda tendría implicaciones para las organizaciones en el Reino Unido, particularmente aquellas que también hacen negocios en los Estados Unidos. Sin embargo, cabe señalar que muchas empresas ya han reducido su exposición a los mercados rusos para cumplir con las sanciones occidentales tras la invasión de Ucrania.
El gobierno del Reino Unido también está planeando presentar nuevas leyes de seguridad cibernética, y el proyecto de ley de resiliencia y seguridad cibernética propuesto en el discurso del rey contiene bienvenidos indicios de que el Reino Unido impondrá mejores informes sobre los incidentes de ransomware. Sin embargo, todavía no ha avanzado hasta la etapa en la que se hayan presentado propuestas detalladas sobre otras medidas.
El diálogo reciente en el Reino Unido sobre la mejora de las respuestas al ransomware se ha centrado en gran medida en prohibir los pagos de ransomware como una palanca que es hora de tirar, algo que también ha sido tema de debate en los EE. UU., aunque la directora de CISA, Jen Easterly, indicó recientemente que esta idea puede estar fuera de la mesa por ahora.
Al escribir sobre las prohibiciones de pago de ransomware para Computer Weekly a principios de 2024, el CISO de Cyjax y comentarista cibernético Ian Thornton-Trump dijo que cuando las cosas se ponen feas, el Reino Unido tiende a seguir el ejemplo de Estados Unidos en tales asuntos.
Dijo: “El Reino Unido, aunque piensa en prohibir los pagos de ransomware, puede terminar sin otra opción”. Este escenario aún puede desarrollarse con respecto a las propuestas de Warner.