Pongamos por caso que su organización es víctima de un ciberataque de ransomware que bloquea el acceso a su sistema informático y encripta sus bases de datos. Los ciberatacantes le piden un rescate para liberarlo, permitiéndole recuperar el control. ¿Pagaría el rescate?
Uno de los países que más ciberataques sufre es Estados Unidos. Conscientes de la extorsión y el chantaje a los que muchos se ven sometidos, el Departamento del Tesoro –a través de la Oficina de Control de Activos Extranjeros (OFAC, por sus siglas en inglés)– emitió un aviso a todas aquellas empresas y ciudadanos que paguen un rescate: podemos multarles si financian a los grupos cibercriminales y a los países incluidos en una lista predeterminada, que pueden consultar aquí.
Las víctimas de ataques de ransomware en los Estados Unidos están obligadas a informar a la OFAC. Los pagos de ransomware benefician a actores ilícitos y pueden socavar los objetivos de seguridad nacional y política exterior de Estados Unidos. Por esta razón, las solicitudes de licencia que impliquen pagos de ransomware exigidos como resultado de actividades cibernéticas maliciosas serán revisadas por la OFAC caso por caso, con una presunción de denegación.
El aviso advierte: «La OFAC puede imponer sanciones civiles por infracciones de sanciones basándose en la responsabilidad objetiva, lo que significa que una persona sujeta a la jurisdicción estadounidense puede ser considerada civilmente responsable incluso si desconocía o tenía motivos para saber que estaba realizando una transacción prohibida por las leyes y regulaciones de sanciones administradas por la OFAC». Se ampara en la International Emergency Economic Powers Act y la Trading with the Enemy Act.
En el mismo aviso, la OFAC recomienda fortalecer las medidas defensivas y de resiliencia para prevenir y protegerse frente a los ciberataques, desarrollando planes de respuesta a incidentes, creando copias de seguridad «offline», invirtiendo en herramientas de seguridad, actualizando el software antivirus y antimalware, empleando protocolos de autenticación, etc. Todos ellos buenos consejos.
En la Unión Europea –a pesar de la Directiva NIS2— no existe una estrategia común equivalente a la de Estados Unidos, es decir, no se sanciona administrativamente el pago de un rescate a determinados grupos.
En España, ninguna norma prohíbe expresamente el pago de un rescate, si bien pudiera perseguirse penalmente a quien realice el pago, considerándolo un acto contrario a la Ley 10/2010, de 28 de abril, de Prevención del Blanqueo de Capitales y la Financiación del Terrorismo, incluso podría considerarse colaboración con grupo u organización criminal, de ahí el secretismo que rodea al pago de un rescate. Además, si el pago lo efectúan las Administraciones públicas con cargo a caudales públicos podrían incurrir en un delito de malversación del artículo 433 del Código Penal.
Algunos equiparan el pago de un rescate por ransomware con el «impuesto revolucionario» que las víctimas de ETA pagaban a la banda terrorista. En aquel contexto, tan especial, la jurisprudencia eximía de responsabilidad a las víctimas, aplicando la eximente de miedo insuperable. A mi juicio, no son situaciones equiparables.
Estadísticas
Las estadísticas sobre los pagos por ransomware presentan un panorama complejo y contradictorio. Por un lado, la cantidad total de dinero que fluye hacia los ciberdelincuentes experimentó una disminución significativa desde 2024. Por otro, el costo para una víctima individual que se ve obligada a pagar nunca ha sido tan alto. Al rescate hemos de sumar los costes derivados de la contratación de empresas especializadas en respuesta al incidente, la pérdida de ingresos por la interrupción de la actividad, los daños reputacionales, el aumento de las primas de seguro y las posibles sanciones por incumplimiento, entre otros factores.
Otro cambio de tendencia: los atacantes están pasando de exploits puramente técnicos a ingeniería social sofisticada, atacando al factor humano. Ya no se limitan a cifrar datos, sino que los utilizan como armas, mediante tácticas de extorsión, diseñadas para maximizar la disrupción empresarial y forzar el pago del rescate.
El sector sanitario sigue siendo uno de los frentes más conflictivos en la guerra contra el ransomware. Los atacantes dirigen su acción a hospitales y proveedores con la cínica convicción de que la urgencia vital de restaurar la atención al paciente genera una enorme presión para pagar el rescate. En Estados Unidos, el ciberataque a Change Healthcare en febrero de 2024 representó para UnitedHealth Group un coste cercano a 1.000 millones de dólares.
Según un informe del Instituto Ponemon, del 51 % de las empresas que optan por pagar un rescate, solo el 13 % recupera todos sus datos. En definitiva, es una apuesta arriesgada que depende de que los atacantes cumplan con los términos del acuerdo.
Conclusión
Para no verse en la situación comprometida de tener que decidir si pagar o no un rescate, es fundamental invertir en ciberseguridad.
Ante un ataque, denúncienlo, de inmediato, a la Brigada de Investigación Tecnológica de la Unidad de Investigación Tecnológica de la Policía Nacional y al Grupo de Delitos Telemáticos de la Guardia Civil para contribuir a detenerlo y evitar que se propague a más víctimas.
