¿Una medida efectiva o solo una humillación pública para las víctimas de ransomware?
Australia ha adoptado un enfoque estricto contra las amenazas de ransomware mediante una nueva ley que exige a ciertas organizaciones divulgar cuándo y cuánto han pagado a los cibercriminales tras sufrir una violación de datos. Sin embargo, los expertos no están convencidos de que esta sea la forma más efectiva de abordar el problema.
La nueva ley australiana en detalle
Las empresas que operan en Australia ahora deben reportar cualquier pago realizado a cibercriminales después de experimentar un incidente de ransomware. Los funcionarios gubernamentales esperan que este mandato les ayude a obtener una comprensión más profunda del problema, ya que muchas empresas continúan pagando rescates cuando son víctimas de malware que cifra archivos.
Propuesta originalmente el año pasado, la ley se aplica únicamente a empresas con una facturación anual superior a $1.93 millones de dólares. Este umbral apunta al 6.5% de las principales empresas registradas de Australia, representando aproximadamente la mitad de la producción económica total del país.
Requisitos y sanciones
Bajo la nueva ley, las empresas afectadas deben reportar incidentes de ransomware al Australian Signals Directorate (ASD). El incumplimiento de la divulgación adecuada de un ataque resultará en multas bajo el sistema de penalidades civiles del país.
Las autoridades planean seguir un enfoque de dos etapas:
- Inicialmente: priorizar violaciones importantes mientras fomentan un diálogo «constructivo» con las víctimas
- A partir del próximo año: adoptar una postura mucho más estricta hacia organizaciones no conformes
El contexto detrás de la medida
El gobierno australiano implementó este requisito de reporte obligatorio después de concluir que las divulgaciones voluntarias eran insuficientes. En 2024, los funcionarios notaron que los incidentes de ransomware y extorsión cibernética estaban enormemente subreportados, con solo una de cada cinco víctimas presentándose.
El ransomware sigue siendo un fenómeno altamente complejo y en crecimiento, con ataques alcanzando niveles récord a pesar del aumento de acciones de aplicación de la ley contra bandas cibernéticas notorias. Aunque varios gobiernos han propuesto regulaciones similares, Australia es el primer país en promulgar formalmente tal ley.
Críticas y preocupaciones de expertos
Jeff Wichman, director de respuesta a incidentes en la firma de ciberseguridad Semperis, advierte que el reporte obligatorio es un arma de doble filo. Si bien el gobierno puede obtener datos valiosos e información sobre perfiles de atacantes, la ley puede no reducir la frecuencia de ataques.
En su lugar, podría servir principalmente para avergonzar públicamente a organizaciones violentadas, mientras los cibercriminales continúan obteniendo ganancias.
Datos preocupantes sobre pagos de rescate
Un estudio reciente de Semperis encontró que más del 70% de 1,000 empresas afectadas por ransomware optaron por pagar el rescate y esperar lo mejor.
«Algunas empresas, simplemente quieren pagarlo y terminar con eso, para sacar sus datos de la dark web. Otras, tienen una perspectiva de respuesta retrasada, quieren que ocurran negociaciones con el atacante mientras descubren qué pasó», explicó Wichman.
Efectividad cuestionable de los pagos
Según el estudio:
- 60% de las víctimas que pagaron recibieron claves de descifrado funcionales y recuperaron exitosamente sus datos
- 40% de los casos: las claves proporcionadas estaban corruptas o eran inefectivas
Implicaciones futuras
Esta medida pionera de Australia podría establecer un precedente para otros países que luchan contra el creciente problema del ransomware. Sin embargo, la efectividad real de esta estrategia de transparencia forzada para disuadir ataques y reducir pagos aún está por verse.
La pregunta que permanece es si esta divulgación obligatoria será realmente un elemento disuasorio efectivo o simplemente una forma de humillación pública para las víctimas de ransomware, mientras los cibercriminales continúan prosperando en sus actividades ilícitas.
