España podría mirarse en un nuevo espejo inglés. Reino Unido va a proponer legislar para que las empresas que sufran ataques de ciberseguridad, principalmente de ransomware, y que paguen el rescate de sus datos y sus sistemas estén obligadas a contarlo. Este podría ser un primer paso normativo para atajar esta epidemia de ciberdelincuencia que hunde a las empresas de cualquier tamaño en todo el mundo, incluida España, uno de los países más ciberatacados. En EE.UU. ya se intentó legislar al respecto, pero no salió adelante.
La iniciativa británica podría contagiarse a la UE y a nuestro país, aunque no es fácil, según los expertos, implantar este tipo de medidas que obliguen al tejido empresarial a ser tan transparente con el tema. El Gobierno británico va a proponer una «importante reforma de la manera en la que el país responde a los ataques de ransomware, exigiendo a todas las víctimas que informen de los incidentes al gobierno y luego obligándolas a buscar una licencia antes de realizar cualquier pago de extorsión«.
La iniciativa británica podría contagiarse a la UE y a nuestro país, aunque no es fácil, según los expertos, implantar este tipo de medidas que obliguen al tejido empresarial a ser tan transparente con el tema
Así lo asegura el especialista Alejandro Martín en Recorded Future News, donde explica que la propuesta se va a incluir en una «consulta pública que se publicará el próximo mes», y que recoge también una «prohibición total del pago de rescates para organizaciones involucradas con infraestructura nacional crítica». Esta prohibición busca lo que todos, organizaciones y Estados, pretenden conseguir ante el cibercrimen: «eliminar el incentivo para que los piratas informáticos interrumpan estos servicios críticos impidiéndoles monetizar los ataques».
Para ello el Gobierno del Reino Unido quiere imponer el requisito de presentar informes obligatorios a las empresas para poder evaluar el problema en toda su magnitud. Y es que también allí, en UK, sus organismos oficiales están muy preocupados por el secreto con el que tratan estos episodios las víctimas empresariales que los sufren.
Sin conocer todavía cómo se implantaría y funcionaría el régimen de licencias (antes de abonar dinero alguno a los ciberdelincuentes), se espera que la medida pueda complementar el requisito de presentación de informes obligatorios y, sobre todo, que ayude a las empresas víctimas «a darse cuenta de que tenían una alternativa a realizar un pago de extorsión». No obstante, se plantea otro problema: que el proceso de solicitud de la licencia retrase la recuperación y pueda aumentar el daño producido por el ransomware contra el que se pretende luchar.
Esta prohibición busca conseguir eliminar el incentivo para que los piratas informáticos interrumpan estos servicios críticos impidiéndoles monetizar los ataques
Lógicamente, parece necesario que el Gobierno británico tendrá a la larga que aprobar leyes al respecto. Cabe recordar, como indican en la publicación, «las consultas públicas son una característica del proceso legislativo británico y se llevan a cabo cuando las ideas políticas se encuentran en sus primeras etapas, de modo que todos los afectados por las propuestas tengan la oportunidad de presentar sus quejas ante el gobierno.
Desde luego, ante la reciente convocatoria de elecciones en el país, el próximo 4 de julio, todo esto puede quedar en nada si el Gobierno cambia de color y los laboristas no entienden el problema como prioritario.
En Europa y en España hay que destacar el papel que tiene las agencias de protección de datos, porque son las que tienen mucho que decir en esto, porque detrás de un ransomware, poco o mucho, van a haber datos personales, y por eso sí que son más duros»
No obstante, lo que sí ocurrirá es que la consulta va a seguir adelante, y si finalmente en el Reino Unido se legisla en este sentido, va a marcar «la forma en que los gobiernos de todo el mundo están respondiendo a la crisis del ransomware», tal y como prevén en el medio, y recuerdan que el país es «codirector de tales desarrollos de políticas en la Iniciativa Contra el Ransomware, el foro multilateral internacional sobre el tema, y los otros 48 países participantes podrían seguir la iniciativa».
Los políticos ingleses han sido señalados por no hacer demasiado para frenar los ataques de ransomware y las filtraciones de datos que provocan, a lo que han respondido desde Westminster que «el Reino Unido también está fortaleciendo la respuesta global al ransomware, logrando un acuerdo internacional sin precedentes para denunciar los pagos«, y aseguraron que seguirán trabajando con el resto de estados a nivel internacional para hacer cumplir la Ley.
ESPAÑA Y EL RETO DE LEGISLAR SOBRE RANSOMWARE
Está difícil obligar a las empresas a no pagar los chantaje cibernéticos. Este pasado mes de abril, sin ir más lejos, en EE.UU el Grupo de Trabajo sobre Ransomware del Instituto de Seguridad y Tecnología rechazó la viabilidad de una prohibición del pago de rescate, porque puede potenciar más pagos clandestinos, tener un enorme impacto en las organizaciones y por «las consecuencias no deseadas y los aspectos prácticos de las exenciones de infraestructura crítica». Además, el organismo norteamericano ha apuntado que el «número de organizaciones que realizan pagos está disminuyendo, lo que sugiere que estamos en el camino correcto«.
«En España ha habido debates al respecto» de legislar para prohibir pagar o conocer quién paga «en foros de tomadores de decisiones, pero ese debate sigue abierto», explica a MERCA2 el director de investigación y concienciación de ESET España, Josep Albors y apunta a uno de los posibles motivos que frene legislar en este sentido en España: «Algunas empresas se enfrentan al cierre si no consiguen recuperar los datos cifrados por el ransomware o no pueden afrontar la multa de la Agencia Española de Protección de Datos (AEPD).
«El ransomware no se va a poder «parar» mientras haya empresas aseguradoras que cubran los importes de los rescates»
El especialista en ciberseguridad y desarrollo seguro de ERNI Consulting España, David Soto, confirma a MERCA2 una opinión contundente: «El ransomware no se va a poder «parar» mientras haya empresas aseguradoras que cubran los importes de los rescates. Las aseguradoras tiene un peso político importante y están frenando las medidas preventivas de pagos, y convierten a las empresa aseguradas en un blanco más atractivo».
Soto nos indica que, en principio, en Europa, «la obligatoriedad de notificar un ataque ya existe», y que en España para algunos sectores, con la nueva NIS 2 incluso se han ampliado estos, y se ha reducido el tiempo de reporte a 24 horas».
No obstante, respecto a la cuestión de los pagos de los rescates, nos explica que «la legislación es más laxa y no creo que se lleguen a prohibir o a regular la cuestión tanto» como lo que se propone en Reino Unido, aunque sí apunta que «se están contemplando medidas en ese sentido».
También señala el papel que en Europa y en España tiene las agencias de protección de datos. «Son las que tienen mucho que decir en esto, porque detrás de un ransomware, poco o mucho, van a haber datos personales, y por eso sí que son más duros«, asegura.
