Pongamos por caso que su organización es víctima de un ciberataque de ransomware que bloquea el acceso a su sistema informático y encripta sus bases de datos. Los ciberatacantes le piden un rescate para liberarlos, permitiéndole recuperar el control. ¿Pagaría el rescate?
Uno de los países que más ciberataques sufre son los Estados Unidos. Conscientes de la extorsión y el chantaje, a los que muchos se ven sometidos, el Departamento del Tesoro –a través de la Oficina de Control de Activos Extranjeros (OFAC, por sus siglas en inglés)– dio un aviso a todas aquellas empresas y ciudadanos que paguen un rescate: podemos multarles si financian a los grupos cibercriminales y a los países incluidos en una lista predeterminada, que pueden consultar aquí.
Las víctimas de ataques de ransomware en los Estados Unidos están obligadas a informar a la OFAC y al FBI. La petición de rescates es un método sencillo de obtener recursos para otras actividades ilícitas de mayor calado, como aquellas que socavan la seguridad nacional. Por este motivo, las solicitudes de rescate en los Estados Unidos pueden ser revisadas por la OFAC e investigadas por el FBI. La OFAC se ampara para poder sancionarles en la International Emergency Economic Powers Act y la Trading with the Enemy Act.
En el mismo aviso, la OFAC recomienda fortalecer las medidas defensivas y de resiliencia para prevenir y protegerse frente a los ciberataques, desarrollando planes de respuesta a incidentes, creando copias de seguridad «offline», invirtiendo en herramientas de seguridad, actualizando el software antivirus y antimalware, empleando protocolos de autenticación, etc. Todos ellos buenos consejos.
En la Unión Europea –a pesar de la Directiva NIS2— no existe una estrategia común equivalente a la de los Estados Unidos, es decir, no se sanciona administrativamente el pago de un rescate.
En España, ninguna norma prohíbe expresamente el pago de un rescate, si bien pudiera perseguirse penalmente a quien realice el pago, considerándolo un acto contrario a la Ley 10/2010, de 28 de abril, de Prevención del Blanqueo de Capitales y la Financiación del Terrorismo, incluso podría considerarse colaboración con grupo u organización criminal, de ahí el secretismo que rodea al pago de un rescate. Además, si el pago lo efectúan las Administraciones públicas con cargo a caudales públicos podrían incurrir en un delito de malversación del artículo 433 del Código Penal.
Conclusión
Cuando se presenta un plan de seguridad, hay clientes que lo rechazan o lo recortan hasta tal punto que se vuelve inservible.
Para evitar verse en la tesitura o compromiso de tener que decidir si pagan o no un rescate inviertan en ciberseguridad y no olviden comunicar el incidente a los afectados si existe un riesgo alto para sus derechos y libertades. Y si no quieren ser sancionados deben comunicarlo a la autoridad de control antes de 72 horas. Si bien es difícil localizar a los atacantes, también, deben informar del ciberataque a la Brigada de Investigación Tecnológica de la Unidad de Investigación Tecnológica de la Policía Nacional y al Grupo de Delitos Telemáticos de la Guardia Civil.
Soy consciente de que la inversión en protección de datos y en sistemas de ciberseguridad no reporta un beneficio visible y directo en la cuenta de resultados de la empresa, no es como la inversión en una máquina que se ve como trabaja y produce, pero es una inversión necesaria, como lo es en personal de seguridad y videovigilancia para garantizar la seguridad de las personas, instalaciones y bienes.