Avanza la prohibición parcial de pagos de ransomware en Reino Unido

Si una organización, por ley, se ve imposibilitada para pagar un rescate de ransomware, los ciberatacantes no se molestarán en intentarlo. Al menos, en teoría. Eso es lo que esperan en Reino Unido, donde marcha a buen ritmo una propuesta para prohibir tanto a administraciones pública como a infraestructuras críticas del país (CNI, del inglés Critial National Infrastructure).

La iniciativa salió a consulta pública en enero de este año y, después de medio año, se dio a conocer tanto el feedback de los diferentes sectores como la respuesta que planteaba el gobierno británico a esas consideraciones. No hay un calendario específico para la norma desde este punto, pero parece que saldrá adelante con cierta celeridad, teniendo en cuenta además que este año llegará la Cyber Security and Resilience Bill, la versión británica de NIS2.

Zscaler recuerda los dos elementos de la propuesta legislativa que acompañan a la prohibición que ya hemos mencionado: la obligación de notificar los pagos al sector privado, abriendo la puerta a posibles sanciones, y un régimen de reporting obligatorio (de 72 horas, en lugar de las 24 de NIS2). Según la prensa británica, la iniciativa no ha tenido mala acogida, más allá de la preocupación de que algunas medidas generen un desequilibrio entre sectores que atraiga el ransomware.

Rob Sloan, vicepresidente de Defensa Cibernética en Zscaler, considera que “los pagos de rescates perpetúan los ataques. Reino Unido busca romper ese ciclo minando la rentabilidad de los ataques de ransomware y reduciendo el riesgo de que sus organizaciones más críticas sean víctimas de ellos. Como vimos con el desmantelamiento de la red de ransomware LockBit, combatir la ciberdelincuencia requiere un esfuerzo coordinado y políticas unificadas. Si los gobiernos europeos colaboran y adoptan un enfoque similar al propuesto, el efecto multiplicador disuadirá aún más a los atacantes y hará que el continente sea más seguro”.