Pago de rescates por ransomware: ¿EE. UU., un ejemplo?
Pagar un rescate fomenta la proliferación de ataques con ransomware y apoya económicamente a los ciberdelincuentes. De hecho, las autoridades estadounidenses han decidido sancionar a las organizaciones estadounidenses que cedan al chantaje financiero de los hackers. La OFAC (Oficina de Control de Activos Extranjeros del Departamento del Tesoro de Estados Unidos) ha publicado varios avisos para sensibilizar a particulares y organizaciones en la lucha contra los ataques de ransomware. Uno de estos avisos, publicado el 1 de octubre de 2020, oficializa las sanciones relacionadas con los pagos de ransomware.
La OFAC precisa que esta sanción se extiende también a las organizaciones que facilitan el pago de rescates a los ciberdelincuentes en nombre de las víctimas.
Por lo tanto, la prohibición de pagar rescates se aplica a la organización pirateada y a las sociedades o empresas con las que la organización infectada ha contraído compromisos: instituciones financieras, aseguradoras, expertos digitales, servicios financieros que facilitan el pago de rescates.
No obstante, el pago por un ransomware puede realizarse, pero solo para las organizaciones que colaboran con el Tesoro de los Estados Unidos, el FBI y otras agencias gubernamentales. (fuente: siliconangle.com).
Sin esta aprobación del Gobierno, las organizaciones infringen las sanciones de la OFAC. Las repercusiones legales son importantes, en particular multas de hasta 20 millones de dólares.
Ransomware: ¿pagar o no pagar?
Según ZDNet, un estudio de IBM indica que «casi el 70 % de las empresas víctimas de un ransomware aceptan pagar a los ciberdelincuentes». La mitad de estos rescates ascienden a más de 10 000 dólares cada uno. La principal motivación de estas organizaciones es recuperar sus datos. En particular, si estos se refieren a finanzas, clientes, propiedad intelectual y proyectos empresariales. De hecho, según ZDNet, «el 60 % de los directivos encuestados reconocen que pagarían para recuperar los datos».
En Francia, no es ilegal pagar el rescate exigido. El tema plantea numerosas y espinosas cuestiones: de hecho, las empresas del CAC40 tienen obligaciones legales frente a sus accionistas, al igual que las organizaciones de servicio público. Si una ley les condenara a sanciones económicas, o incluso a penas de prisión, su aplicación sería extremadamente difícil.
Guillaume Poupard, director general dela ANSSI, recomienda no pagar, ya que esto supone un apoyo financiero a los extorsionadores y les anima a seguir por este camino. Además, el pago de un rescate a los ciberdelincuentes no garantiza en absoluto que la víctima recupere el acceso a sus datos robados. Los ciberdelincuentes pueden, además, conservar una copia para revenderla o intercambiarla en la Dark Web, por ejemplo.
Una elección difícil
¿Someterse?
- Pagar sabiendo que este acto anima a los ciberdelincuentes a cometer nuevos ataques. Al pagar, una organización contribuye a crear un nuevo mercado para los ciberdelincuentes.
- Pagar y correr el riesgo de no poder recuperar o descifrar los datos. De hecho, los ciberdelincuentes no siempre disponen de la clave de descifrado de los programas de rescate adquiridos en el mercado negro.
¿Resistir?
- No ceder y, por supuesto, renunciar a sus datos y sufrir las consecuencias de un ciberataque (pérdidas económicas, interrupción o perturbación de los sistemas de información, de la producción, pérdida de confianza, deterioro de la imagen, etc.).
