Los legisladores de Estados Unidos están considerando una nueva propuesta para designar a los países desde los que operan bandas de cibercriminales que se dedican al ransomware como patrocinadores estatales del terrorismo. La ley forma parte de la Ley de Autorización de Inteligencia para el año fiscal 2025, que está siendo presentada por Mark Warner, senador demócrata por Virginia y presidente del Comité de Inteligencia del Senado. Vería a países como Rusia que se considera que han brindado apoyo a un plan de demanda de ransomware, incluido el suministro de refugio seguro para los propios miembros de bandas criminales, enumerados en la misma categoría que Cuba, Irán, Corea del Norte y Siria, y sujetos a las mismas sanciones y penalizaciones. Enumera una serie de grupos de ransomware que el Comité cree que constituyen actores cibernéticos extranjeros hostiles cuyos países de origen se benefician de sus actividades, incluidas algunas de las operaciones más peligrosas y prolíficas de los últimos años, como Black Basta, BlackCat, Cl0p, Conti, DarkSide, LockBit y ReVIL, todas las cuales tenían o tienen vínculos con Rusia. Existen cuatro categorías principales de sanciones para los países designados como patrocinadores estatales del terrorismo, incluidas las prohibiciones a la asistencia exterior de Estados Unidos, las exportaciones y ventas de defensa, los controles a las exportaciones de artículos de doble uso (artículos que pueden usarse tanto para fines civiles como militares) y restricciones financieras y de otro tipo “misceláneas”. Por supuesto, Rusia ya está sujeta a amplias sanciones occidentales por su invasión ilegal de Ucrania. El proyecto de ley también establece una propuesta para considerar los ataques de ransomware a la infraestructura nacional crítica (CNI) como una prioridad de inteligencia según el Marco de Prioridades de Inteligencia Nacional de Estados Unidos. Jon Miller, fundador y director ejecutivo de Halcyon Security, una plataforma antiransomware impulsada por IA, dijo a Computer Weekly que ya era hora de que los ataques de ransomware se denominen por lo que son, especialmente cuando se dirigen a proveedores de atención médica y otros operadores de CNI, como servicios públicos o proveedores de servicios de comunicaciones (CSP). Explicó que, si bien las bandas de ransomware siempre se han escondido detrás del hecho de que sus acciones parecen actividades delictivas, a menudo tienen ambas cosas en el sentido de que con frecuencia promueven agendas geopolíticas, como no atacar a organizaciones en jurisdicciones de habla rusa. También reciben el respaldo tácito de sus gobiernos «anfitriones», ejemplificado por las detenciones de miembros de la banda REvil por parte del servicio de seguridad FSB de Rusia en enero de 2022, lo que demuestra que Rusia es muy capaz de ser un socio eficaz en la lucha contra el cibercrimen cuando decide serlo. «Los operadores de ransomware pueden caminar y mascar chicle al mismo tiempo. Si bien el ransomware es lucrativo para ellos y necesitan ganar dinero para financiar sus operaciones, no debemos ignorar el hecho de que muchos de estos ataques se llevan a cabo con el objetivo de causar trastornos, crear dudas y promover agendas geopolíticas. Por lo tanto, no es exagerado designar algunos de estos actos como actos de terrorismo», dijo. “El hecho de que los ataques de ransomware parezcan a primera vista una mera actividad cibercriminal proporciona un nivel conveniente de negación plausible cuando esos ataques también sirven a los objetivos geopolíticos más amplios de los gobiernos adversarios. Por eso es imperativo que el gobierno de los EE. UU. y las naciones aliadas que son el objetivo de estos ataques diferencien una parte y los reclasifiquen como actos terroristas, específicamente aquellos ataques que apuntan a la atención médica y otras funciones de infraestructura crítica donde las vidas están en riesgo o se pierden. “Si cualquier actor patrocinado por un estado atacara físicamente un hospital, una planta de tratamiento de agua u otro proveedor de infraestructura crítica, no dudaríamos en llamarlo terrorismo. ¿Por qué deberíamos hacerlo solo porque fueron ataques cibernéticos?”, dijo. Miller describió la sugerencia de los EE. UU. como un paso en la dirección correcta, diciendo que si considerar los ataques de ransomware como ataques terroristas les da a las autoridades más opciones, es una palanca que se debe accionar. Implicaciones para las organizaciones del Reino Unido Dado que el proyecto de ley estadounidense apunta implícitamente a Rusia, si se aprueba como ley, sin duda tendrá implicaciones para las organizaciones en el Reino Unido, en particular aquellas que también hacen negocios en los EE. UU. Sin embargo, cabe señalar que muchas empresas ya han reducido su exposición a los mercados rusos para cumplir con las sanciones occidentales tras la invasión de Ucrania. El gobierno del Reino Unido también está planeando presentar nuevas leyes de ciberseguridad, y el proyecto de ley de ciberseguridad y resiliencia propuesto en el discurso del Rey contiene indicios positivos de que el Reino Unido aplicará una mejor notificación de incidentes de ransomware. Sin embargo, aún no ha avanzado hasta la etapa en que se hayan presentado propuestas detalladas sobre otras medidas. El diálogo reciente en el Reino Unido sobre la mejora de las respuestas al ransomware se ha centrado en gran medida en la prohibición de los pagos de ransomware como una palanca que es hora de accionar, algo que también ha sido objeto de debate en los EE. UU., aunque la directora de CISA, Jen Easterly, indicó recientemente que esta idea puede estar descartada por ahora. Al escribir sobre las prohibiciones de pagos de ransomware para Computer Weekly a principios de 2024, el CISO de Cyjax y comentarista cibernético Ian Thornton-Trump dijo que, cuando llega el momento decisivo, el Reino Unido tiende a seguir el ejemplo de EE. UU. en tales asuntos. Según él, “el Reino Unido, mientras piensa en prohibir los pagos mediante ransomware, puede acabar sin otra opción”. Este escenario todavía puede repetirse con las propuestas de Warner.