Opinión Una prohibición general de los pagos de ransomware, como algunos plantearon esta semana, parece una buena idea. Si se elimina la extorsión como fuente de ingresos criminales, los ataques sin duda disminuirán. Pero, lamentablemente, no va a funcionar (al menos no ahora y probablemente no en el futuro previsible) por varias razones. Además, inevitablemente conduciría a más ataques a objetivos de infraestructura crítica como hospitales, redes eléctricas, sistemas de agua y similares, lo cual no es precisamente bueno. Esto se debe a que una prohibición de pago inevitablemente tendría que incluir una excepción para incidentes en los que no pagar el rescate represente un riesgo grave de muerte, lesiones corporales o ataque terrorista. En otras palabras, tiene que haber una excepción para la infraestructura crítica. Hemos visto esto con las nuevas reglas de divulgación de incidentes de ciberseguridad de la Comisión de Bolsa y Valores de EE. UU.: La SEC permite retrasar la presentación de informes si la divulgación del ataque representa «un riesgo sustancial para la seguridad nacional o pública». Y nadie criticó la decisión del director ejecutivo de Colonial Pipeline de pagar a los delincuentes en 2021 para evitar una mayor escasez de suministro de combustible. Una exclusión de infraestructura crítica tiene sentido. Nadie va a culpar a las víctimas de un hospital ni a argumentar a favor de permitir que los pacientes mueran en lugar de pagar un rescate. Se puede argumentar algo similar en el caso de las compañías de gas y electricidad: no pueden ignorar la necesidad de calefacción residencial durante una tormenta invernal. Pero esto también significa que los atacantes simplemente girarán y apuntarán a aquellos sectores donde negarse a ceder a las demandas de los extorsionadores podría ser una cuestión de vida o muerte. Ya estamos viendo que los delincuentes se centran cada vez más en hospitales y centros de atención sanitaria. En 2023, bandas de ransomware violaron 46 sistemas hospitalarios en los EE. UU., con un total de 141 hospitales entre ellos, y al menos a 32 de los 46 se les robaron datos de pacientes, incluida información de salud protegida. Estas intrusiones provocaron apagones que duraron semanas, desviaron ambulancias y retrasaron el tratamiento médico de los pacientes. Si bien todo esto debería ser una llamada de atención en materia de seguridad para cualquier organización de infraestructura crítica, prevenir el caos futuro del ransomware requiere una solución que esté más preparada para desastres que simplemente prohibir los pagos a los delincuentes. Luego está también la cuestión de la aplicación de la ley. Tal prohibición tendría que ser universal o, de lo contrario, los equipos de ransomware simplemente se centrarán en las víctimas de otras regiones geográficas que no prohíben los pagos. Ese tipo de cooperación multigubernamental es, en el mejor de los casos, muy improbable, y si por algún milagro ocurriera, los obstáculos de la aplicación coordinada y la financiación arruinarían inmediatamente este esfuerzo. Presumiblemente, cualquier tipo de derecho internacional sería promulgado por las Naciones Unidas. Pero esto no siempre garantiza un mandato global contundente. O, quizás incluso peor, correría el riesgo de convertirse en un intento de reescribir el derecho internacional por parte de naciones que ya brindan refugio seguro a los equipos de ransomware y utilizan las ganancias ilícitas para financiar programas de armas y terrorismo patrocinados por el Estado. Caso en cuestión: el tratado de la ONU contra el cibercrimen. Se necesita un enfoque global para detener el cibercrimen y, en teoría, es una buena idea. Pero en cambio, parece un intento de Rusia, con el apoyo de China y Corea del Norte, de justificar la vigilancia estatal y eliminar las reglas de privacidad de datos. Otro obstáculo es la falta de madurez en materia de seguridad en todos los sectores, como señaló Megan Stifel, directora de estrategia del Instituto de Seguridad y Tecnología y directora ejecutiva del Ransomware Task Force de IST, en una entrevista anterior con The Register. Esto es especialmente preocupante teniendo en cuenta que dos sectores notoriamente insuficientes de financiación y personal en lo que respecta a seguridad de la información, los gobiernos locales y las escuelas, son cada vez más el objetivo de estos malhechores codiciosos. Algunas de las víctimas del ransomware de 2023 en estos sectores incluyen la ciudad de Oakland, California, y el condado de Suffolk en Nueva York, que declararon estados de emergencia, y Dallas, Texas, que también vio sus sistemas de TI paralizados por bandas de delitos cibernéticos. Mientras tanto, las infracciones de MOVEit afectaron a millones de personas cuando un equipo de ransomware vinculado a Rusia robó datos pertenecientes a la Oficina de Vehículos Motorizados de Luisiana, el Departamento de Política y Financiamiento de Atención Médica de Colorado y el Departamento de Transporte de Oregón. Según el recuento del taller de seguridad Emsisoft, al menos 108 distritos K-12 y 72 escuelas postsecundarias fueron víctimas de equipos de ransomware en 2023, en comparación con 45 y 44, respectivamente, un año antes. Y unas 95 entidades gubernamentales sufrieron infecciones de ransomware el año pasado, en comparación con 106 en 2022. Sin embargo, 55 de las 106 eran agencias de Arkansas que compartían un proveedor de servicios de TI. Las agencias gubernamentales estatales y locales y las escuelas recopilan una gran cantidad de información confidencial que puede resultar financieramente lucrativa para los delincuentes, y estas organizaciones no tienen los recursos para defenderse contra el ransomware. Simplemente hacer que sea ilegal que paguen demandas de rescate parece especialmente cruel a menos que reciban primero el apoyo profesional y financiero necesario para apuntalar las redes. Afortunadamente, en este frente, hay casi $375 millones en subvenciones disponibles para que los gobiernos estatales, locales y territoriales (SLT) en todo Estados Unidos puedan abordar los riesgos y amenazas a la ciberseguridad. Además, un programa específico de la Comisión Federal de Comunicaciones de EE. UU. tiene como objetivo proporcionar hasta 200 millones de dólares para escuelas y bibliotecas K-12 en comunidades rurales y de bajos ingresos y recopilaría información sobre «ciberseguridad y servicios avanzados de firewall» para proteger a estas organizaciones contra ataques cibernéticos. Una prohibición completa no funcionará. Sería bueno si pudiera proporcionar una respuesta mágica al ransomware. Por otra parte, también sería bueno que países como Rusia, Irán y Corea del Norte decidieran procesar a los ciberdelincuentes que operan dentro de sus fronteras. Ninguno de estos es realista. Dicho esto, la prohibición de los pagos de ransomware se está volviendo más aceptable que hace un par de años, y la cumbre internacional de la Iniciativa Contra el Ransomware de este año, celebrada en la Casa Blanca, es una de esas indicaciones. En el evento, Estados Unidos convenció a los 50 países miembros para que firmaran una declaración política conjunta en virtud de la cual aceptaban no pagar las demandas de rescate. También se comprometieron a realizar un mejor seguimiento de los pagos en criptomonedas a los ciberdelincuentes y aumentar las capacidades de intercambio de información. Si bien el compromiso de no pago sólo se aplica a los propios gobiernos nacionales, no a las empresas privadas, no pudo obtener el apoyo necesario ni siquiera un año antes. ¿Nuestro consejo? Asegure sus redes ahora. No seas una fruta madura. Implemente todas esas medidas básicas de higiene que los especialistas en seguridad de la información públicos y privados han estado predicando durante años: use contraseñas seguras y cifrado de datos, implemente acceso de confianza cero, segmentación de red y autenticación multifactor, instale actualizaciones de software y realice copias de seguridad con regularidad. «La mejor defensa es tomar medidas para evitar de manera proactiva convertirse en una víctima», dijo a The Register Sam Rubin, vicepresidente de Unit 42 Consulting en Palo Alto Networks. En lugar de una prohibición total del pago de rescates, estemos preparados. ®

Source link