El Centro Nacional de Seguridad Cibernética (NCSC) y la Oficina del Comisionado de Información (ICO) se han unido para hacer un llamado a la profesión legal para que deje de asesorar a las organizaciones para que paguen las demandas de ransomware.
En una carta a Law Society, el NCSC y el ICO dijeron que había evidencia clara de un número creciente de organizaciones que realizan pagos de ransomware, algunos de ellos siguiendo el consejo de profesionales legales que actúan con la creencia errónea de que hacerlo preservará la integridad de sus datos, o dar lugar a sanciones menores por parte de la ICO en caso de que el regulador se involucre.
La carta señala la orientación muy clara del NCSC de que pagar a las pandillas de ransomware no garantiza nada, y reafirma que la creencia de que la ICO considera los pagos de rescate como un factor atenuante es completamente falsa. Insta a la Law Society a recordar esto a sus miembros, ya que algunos profesionales del derecho claramente están dando consejos inexactos y poniendo en riesgo a sus clientes. “El ransomware sigue siendo la mayor amenaza en línea para el Reino Unido y no alentamos ni aprobamos el pago de demandas de rescate a organizaciones criminales”, dijo Lindy Cameron, directora ejecutiva de NCSC.
“Desafortunadamente, hemos visto un aumento reciente en los pagos a los delincuentes de ransomware y el sector legal tiene un papel vital que desempeñar para ayudar a revertir esa tendencia. La seguridad cibernética es un esfuerzo colectivo e instamos al sector legal a trabajar con nosotros mientras continuamos nuestros esfuerzos para combatir el ransomware y mantener el Reino Unido seguro en línea”.
El comisionado de información, John Edwards, agregó: “Comprometerse con los ciberdelincuentes y pagar rescates solo incentiva a otros delincuentes y no garantiza que se liberen los archivos comprometidos. Ciertamente, no reduce la escala o el tipo de acción de aplicación de la ICO o el riesgo para las personas afectadas por un ataque.
“Hemos visto que los delitos cibernéticos han costado miles de millones a las empresas del Reino Unido en los últimos cinco años”, dijo. “La respuesta a eso debe ser la vigilancia, una buena higiene cibernética, incluido el mantenimiento de archivos de respaldo apropiados y la capacitación adecuada del personal para identificar y detener los ataques. Las organizaciones obtendrán más crédito de esos arreglos que pagando a los delincuentes.
“Quiero trabajar con la profesión legal y el NCSC para garantizar que las empresas entiendan cómo consideraremos los casos y cómo pueden tomar medidas prácticas para protegerse de una manera que reconoceremos en nuestra respuesta en caso de que suceda lo peor”.
La política actual de ICO reconoce cuándo las organizaciones han tomado medidas para comprender completamente lo que sucedió en el curso de un ataque de ransomware, aprendieron de su experiencia y pueden demostrar que, si corresponde, han planteado el incidente con el NCSC y pueden demostrar el cumplimiento de su orientación: se puede acceder al asesoramiento actual del NCSC aquí, y el ICO ha publicado una orientación similar.
En cualquier caso, los ataques de ransomware u otras formas de delitos cibernéticos deben informarse a través de la línea directa de Action Fraud, 0300 123 2040, al ICO en el caso de violaciones de datos relevantes para el RGPD, o al NCSC en caso de incidentes cibernéticos importantes.
Charl van der Walt, jefe de investigación de seguridad de Orange Cyberdefense, dijo que era hora de revisar la idea de regular, si no prohibir por completo, el pago de rescates a los ciberdelincuentes. “Si las víctimas siguen pagando los rescates que les exigen los ciberdelincuentes, no hay razón para creer que la ola de delitos de ransomware disminuirá”, dijo van der Walt.
“Como señala proféticamente el Sr. Edwards, no solo hay que considerar el impacto en las empresas individuales, sino también un daño social más amplio. La teoría del crimen nos enseña que para enfrentar el crimen debemos desmotivar al delincuente, lo que, en este caso, significa cortar su flujo de dinero.
“Sin embargo, debido a que no existe una barrera legal para las víctimas que reclaman pagos de rescate en el seguro cibernético, de alguna manera se les incentiva a pagar. Por lo tanto, vale la pena evaluar los pros y los contras de regular estos pagos”.
Van der Walt dijo que si bien está claro que los pagos de rescate financian más ataques y no brindan garantías con respecto a la recuperación de datos, la regulación excesiva o la criminalización de los pagos corre el riesgo de cambiar el enfoque de la delincuencia a la víctima y podría hacer que las organizaciones se muestren reacias a reportar incidentes y forzar ransomware más profundo bajo tierra.
Sin embargo, agregó, ya sea criminalizado o no, no hay duda de que las víctimas no deben pagar un rescate.
