En el programa de televisión Arrow, el playboy multimillonario Oliver Queen regresa a Star City después de quedar atrapado en una isla y encontrarla invadida por el crimen y la corrupción. Oliver Queen se pone una capucha verde, toma un arco y una flecha y se enfrenta a los elementos criminales de Star City como Green Arrow. Cuando Green Arrow derrotaba a un villano, gritaba: «Le has fallado a esta ciudad». Ese eslogan me parece cierto hoy en día, mientras se aviva el debate sobre si los gobiernos deberían implementar o no una prohibición del pago de rescates a grupos de ransomware. Estamos en esta situación porque la comunidad de seguridad no ha logrado proteger adecuadamente a las personas que se supone debemos proteger. Por supuesto, no es así como se presenta. En cambio, en los raros casos en que nos enteramos de cómo ocurrió un ataque de ransomware, recibimos titulares como que la víctima no habilitó correctamente MFA o no parcheó una vulnerabilidad o alguna otra falla por parte de la víctima. La verdad es que dificultamos la seguridad y el mantenimiento de una buena postura de seguridad. Obligamos a las organizaciones a superar obstáculos para comprender sus debilidades y vulnerabilidades y les imponemos tantas cosas que es imposible incluso para las organizaciones con más recursos mantenerse al día con todo lo que necesitan hacer para mantener todos los aspectos de la seguridad de sus redes cada vez más complejas. Inevitablemente, esto provoca fallos de seguridad y ataques de ransomware. Cuando ocurren esos ataques, culpamos a la víctima: «Oh, ¿por qué no le pusieron MFA a todas las cosas?» No importa lo difícil que sea para algunos proveedores habilitar MFA. O, «¿Cómo es posible que no hayan parcheado ese sistema?» Ignorando el hecho de que las organizaciones pueden tener 50 vulnerabilidades «críticas» que deben ser «parcheadas inmediatamente». Incluso escuchamos coros de: «¿Cómo pueden seguir usando el proveedor X cuando tiene tantas vulnerabilidades?» A pesar de que cambiar de proveedor es un proceso largo y existe una buena posibilidad de que muchos de los competidores del proveedor X tengan la misma cantidad de vulnerabilidades. A pesar de todas las acusaciones y la vergüenza de las víctimas, es raro que miremos la industria de la seguridad en su conjunto y nos demos cuenta del desastre total que es. ¿Cómo podemos esperar proteger adecuadamente a las personas que se supone que debemos proteger cuando no podemos actuar juntos? Por lo tanto, nos quedamos con soluciones cada vez más imperfectas que probablemente no funcionarán, porque nada más que hagamos –al menos que estemos dispuestos a hacer– está funcionando. Ingrese prohibiciones en todo el gobierno sobre pagos a grupos de ransomware. Este es el siguiente paso en medidas cada vez más escalonadas diseñadas para compensar las deficiencias en materia de protección. ¿Es una buena idea? No. ¿Alguien estará satisfecho con la forma en que se implementa? No. ¿Detendrá el ransomware? En los pocos casos de prueba que hemos visto en lugares como Carolina del Norte y Florida, las prohibiciones de pago de rescates no han frenado el número de ataques. Pero, en última instancia, puede que sea la opción menos mala que tenemos a nuestra disposición. No es exactamente un respaldo rotundo, lo sé. Pero no creo que nadie quisiera llegar a esto. La buena noticia es que no tenemos que hacer esto a ciegas. Como señalamos mi colega Sofía Lesmes y yo, tenemos un historial de leyes que prohíben el pago de rescates a secuestradores del que debemos aprender y debemos tomar esas lecciones en serio. Ya ha habido una serie de grandes debates recientes que describen las razones por las que es necesaria una prohibición de pagos a grupos de ransomware; no repetiré esas razones. La verdad es que, como han señalado otros expertos, las razones para no implementar la prohibición se desmoronan cuando se analizan detenidamente. En cambio, quiero enfatizar que los informes públicos deben incluirse en cualquier prohibición de pagos de ransomware. Anteriormente mencioné que no creemos que las prohibiciones de pagos promulgadas por los estados de Florida y Carolina del Norte hayan sido efectivas. Esto se basa en la cantidad de ataques recopilados a través de informes de código abierto. Ni Carolina del Norte ni Florida ofrecen una manera de verificar la efectividad de la ley proporcionando información sobre la cantidad de ataques de ransomware a las entidades públicas cubiertas por la ley. Sin un régimen de presentación de informes público y eficaz, nosotros, los contribuyentes, no podemos medir la eficacia de estas prohibiciones y los legisladores no pueden hacer los ajustes necesarios a las leyes. Algunos podrían argumentar que verse obligados a informar sobre ataques alentará a las organizaciones a intentar encubrir los ataques de ransomware. Claro, pero las organizaciones lo hacen ahora y, con una ley vigente, habrá consecuencias si son atrapadas. Esta fue una de las preocupaciones cuando el Departamento de Salud y Servicios Humanos exigió que los proveedores de atención médica en los Estados Unidos presentaran informes. Eso no sucedió, y ahora tenemos una visión mejor, imperfecta pero mejor, de los ataques cibernéticos contra el sector de la salud en Estados Unidos que casi cualquier otro sector. La prohibición de los pagos de rescate combinada con requisitos rigurosos de presentación de informes por parte de las víctimas de ataques de ransomware nos permitirá controlar mejor la cantidad de ataques de ransomware y nos ayudará, colectivamente, a determinar dónde dedicar recursos para tratar de detener los ataques. Es una solución terrible que nadie quiere, pero hasta que podamos desarrollar soluciones de seguridad que sean efectivas sin ser demasiado engorrosas y complejas, puede ser la única manera de dejar de fallarle a las personas que se supone que debemos proteger. Allan Liska es analista de inteligencia de amenazas en Recorded Future.