Al tener experiencia en inteligencia militar y centrarme en la financiación de grupos terroristas, vi el poder del dólar sobre los malos actores. Un dólar sacado de su bolsillo trasero, o, con ese fin, en el bolsillo de otros, a veces tenía más efecto que una bomba o una bala. Si podemos influir en el campo de batalla, reduciendo los flujos de dinero y reduciendo la posibilidad de que nuestras tropas terminen en acciones cinéticas, entonces es un curso de acción obvio a seguir. Esta es la mentalidad que tenía cuando comencé a aplicar mi entrenamiento militar convencional al dominio cibernético hace una década. Por eso, cuando voces destacadas como Ciaran Martin sugieren que es hora de prohibir los pagos de rescate a los actores de amenazas en el dominio cibernético, es difícil no estar de acuerdo. Siempre habrá argumentos a favor y en contra, pero está claro que el enfoque actual no está funcionando. Y donde ha habido esfuerzos para impedir que las entidades del sector público paguen rescates o impidan pagos a grupos identificados como entidades terroristas o que están en listas de sanciones, también hemos visto una reducción en el número de estas regiones, sectores o entidades objetivo. También es probable que los pagos realizados a estos grupos se utilicen para financiar otros delitos ilícitos o nefastos. También es probable que ayuden a financiar las economías que les permiten operar con tanta libertad y llenar los bolsillos de funcionarios corruptos en estados que desean socavar nuestra forma de vida. Las operaciones recientes de la NCA y sus pares internacionales contra el grupo de ransomware LockBit fueron un gran golpe. Fue fantástico ver el uso de las propias operaciones psicológicas y de información del grupo contra ellos y me quito el sombrero ante ellos. Con una combinación de acciones efectivas de aplicación de la ley y la reducción de la probabilidad de ganar dinero por ser un mal actor, puede tener un efecto real y tangible. En el ejército, cuando sacamos dinero de los bolsillos traseros de ciertos terroristas, vimos una reducción directa de sus actividades. Otros se desesperarían más, cometerían errores o harían tanto ruido en su descontento que nos facilitarían atacarlos. Este es el mismo principio. Al igual que en algunos países donde los bancos tienen la tarea de identificar y prevenir pagos de extorsión, también se debe impedir que los intercambios de cifrado manejen pagos vinculados a delitos como el ransomware, lo que ejerce aún más presión sobre estos actores. Aunque la regulación y supervisión de estas entidades es otra discusión. Hay varios argumentos en contra de prohibir los pagos de rescate, pero tengo una preocupación importante por encima de todas las demás. Es posible que desvíe la atención de los actores de amenazas de las entidades corporativas hacia actividades basadas en fraude dirigidas a individuos. Este nivel de capacidad en un actor que se dirige hacia estafas de fraude masivo al público en última instancia trasladará el problema a aquellos que no pueden permitírselo. Esta es la razón por la que los gobiernos, los proveedores de telecomunicaciones, los proveedores de infraestructura, los proveedores de servicios, los proveedores de dominios y de correo electrónico deben hacer más para reducir la capacidad de los actores de amenazas de operar con tanta libertad como lo hacen. Prohibir los pagos de rescates es un buen y correcto paso adelante, pero debe hacerse al mismo tiempo que se proporcionan recursos adicionales a las agencias policiales y de inteligencia. También es necesario imponer requisitos adicionales a los proveedores de sistemas e infraestructuras utilizados por estos actores. En el Reino Unido tenemos una estrategia nacional de seguridad cibernética, pero no está lo suficientemente integrada como para abordar esta amenaza de manera efectiva. Se necesita un grupo de trabajo sobre ransomware con el mandato de impulsar cambios en múltiples departamentos gubernamentales, agencias, organismos independientes y autoridades policiales para que la prohibición sea efectiva y limite las consecuencias no deseadas.

Source link