Australia está considerando prohibir los pagos de rescate cibernético, pero podría resultar contraproducente. aquí hay otra idea

Primero Optus, ahora Medibank; en menos de dos meses hemos experimentado dos de las filtraciones de datos personales más grandes en la historia de Australia. En ambos casos, los piratas informáticos intentaron, sin éxito, obtener un rescate a cambio de no revelar datos personales.

Hasta ahora, los piratas informáticos de Optus han publicado solo una pequeña muestra de datos y afirman haber eliminado el resto. Por otro lado, los piratas informáticos de Medibank han publicado los registros de más de un millón de personas y han amenazado con publicar más. datos del viernes.

Con esta amenaza inminente, el gobierno australiano está buscando reforzar sus defensas de seguridad cibernética, incluso a través de un grupo de trabajo establecido tomar represalias contra los piratas informáticos de Medibank.

La ministra de Seguridad Cibernética, Clare O’Neil, ha dicho que el gobierno también está considerando realizar pagos de rescate. a los ciberdelincuentes ilegal. La idea ha cobrado fuerza, pero ¿sería esta cura peor que la enfermedad?

La respuesta al hackeo de Medibank

El grupo detrás del último hackeo de Medibank, actualmente llamado «BlogXX», ha sido vinculado a Organizaciones ciberdelincuentes rusas por la Policía Federal Australiana. Tiene vínculos conocidos con la notoria pandilla cibernética REvil (que fue desmantelado por Servicio Federal de Seguridad de Rusia en enero).

Las bandas de ciberdelincuentes a gran escala pueden extorsionar a sus víctimas con elevados pagos de rescate. Durante El arresto de REvillas autoridades incautaron el equivalente a A$12,8 millones en efectivo, $7 millones en criptomonedas y 20 autos de lujo.

Existen múltiples formas de disminuir la rentabilidad de las violaciones de datos para las organizaciones criminales. El primero es hacer que los hackeos sean más difíciles, haciendo que los piratas informáticos consuman más tiempo para entrar en las computadoras.

Esto podría lograrse aumentando las multas para las organizaciones que no sigan las mejores prácticas en ciberseguridad, una reforma de privacidad que se introdujo recientemente en Australia y ha pasado por la cámara baja.

Una segunda solución potencial es hacer que los pagos de ransomware sean ilegales en Australia. En algunas circunstancias, puede ya ser ilegal para que las organizaciones australianas paguen un rescate, por ejemplo, si el pago financia más actividades delictivas o terroristas de grupos sancionados por las Naciones Unidas.

sin embargo, el atribución de ciberataques es difícil, y no siempre es posible saber si pagar a un grupo en particular sería un delito. Una organización puede pagar un rescate, solo para descubrir mucho más tarde que ha infringido la ley.

Cuándo funciona prohibir los pagos de rescate

La idea de prohibir los pagos de rescate no es nueva. En abril, Nigeria criminalizó pagos de rescate a los secuestradores. Sin embargo, no pagar los rescates por secuestro en Nigeria también ha resultado en muertes, lo que sugiere que este enfoque puede terminar castigando a las víctimas.

Aún así, los resultados de la encuesta muestran que los ciudadanos y los expertos en seguridad cibernética generalmente están a favor de prohibir los pagos de ransomware. En una encuesta reciente de residentes del Reino Unido realizada por empresa de seguridad talionel 78 % de los encuestados del público en general apoyó la prohibición, al igual que el 79 % de los profesionales de ciberseguridad.

La prohibición de los pagos de rescate podría reducir rápidamente las ganancias acumuladas por las bandas criminales que tienen como objetivo a Australia.

En casos como los recientes ataques de Optus y Medibank, donde se exigió el rescate para «no filtrar» información confidencial, prohibir los pagos de rescate puede ser una buena idea. Podría quitarle la carga de tomar una decisión a la organización objetivo y mitigar el juicio del público sobre esa decisión.

También reduciría (pero no eliminaría por completo) la posibilidad de que los delincuentes reciban pagos de rescate y, por lo tanto, haría que sus operaciones fueran menos rentables.

Los problemas con una prohibición

Sin embargo, a diferencia de las infracciones de Optus y Medibank, se pagan muchos rescates para desbloquear computadoras encriptadas. Algunos ataques de ransomware involucran a los piratas informáticos que cifran todas las computadoras, datos y copias de seguridad que tiene una empresa. Si no se restauran esos datos, en muchos casos, el negocio puede colapsar.

En tales casos, prohibir los pagos de rescate puede disuadir a las organizaciones de declarar infracciones. Pueden pagar el rescate para poder continuar con el negocio, incluso si se trata de un delito. Si esto sucediera, reduciría la transparencia general de los informes sobre infracciones y podría llevar a los piratas informáticos a chantajear a las víctimas para que no divulguen el ataque.

Esta preocupación particular ha llevado a la Oficina Federal de Investigaciones de los EE. UU. a recomendar al Comité Judicial del Senado de los EE. UU. que no prohibir todos los pagos de rescate.

Para que la prohibición de pagos de rescate sea efectiva, las sanciones por pagar el rescate deberían ser más severas que el impacto del rescate en sí. Si las sanciones son inadecuadas, las organizaciones pueden simplemente pagar el rescate y lidiar con las consecuencias legales para poder continuar con las operaciones normales.

Una solución alternativa

Las pólizas de seguro cibernético a menudo brindan reembolso por los pagos de ransomware. De hecho, es una táctica común de los ciberdelincuentes exigir un rescate equivalente a el reembolso del seguro. Si bien esto significa que la organización sufre menos pérdidas, los ciberdelincuentes aún obtienen ganancias.

Un enfoque más matizado puede ser prohibir los reembolsos de seguros cibernéticos por pagos de rescate, lo que reduciría el porcentaje general de infracciones que resultan en un pago. Esto podría reducir las ganancias de las bandas criminales y, al mismo tiempo, permitir que una empresa salve sus operaciones en el peor de los casos.

La decisión de prohibir o no los pagos de ransomware es complicada, y es probable que una prohibición general cause más problemas de los que soluciona. Necesitamos un cambio, pero la mejor solución sería un enfoque caso por caso.

Al final, es poco probable que este tipo de delitos cibernéticos se erradiquen con un solo cambio de política. Requerirán una amplia gama de políticas, leyes y reglamentos que resuelvan problemas específicos. Si hacemos esto, eventualmente el costo para los delincuentes podría superar las ganancias.

Este artículo se vuelve a publicar de La conversación bajo una licencia Creative Commons. Leer el artículo original.