Australia se convierte en el primer país en forzar la divulgación de pagos de ransomware
Tl; dr: Las autoridades de Canberra están adoptando un enfoque difícil para las amenazas de ransomware. Una nueva ley requerirá que ciertas organizaciones revelen cuándo y cuánto han pagado a los cibercriminales después de una violación de datos. Sin embargo, los expertos no están convencidos de que esta es la forma más efectiva de abordar el problema.
Las empresas que operan en Australia ahora deben informar cualquier pago realizado a los cibercriminales después de experimentar un incidente de ransomware. Los funcionarios del gobierno esperan que el nuevo mandato les ayude a obtener una comprensión más profunda del problema, ya que muchas empresas continúan pagando rescates cada vez que son víctimas de malware que cifran los archivos.
Originalmente propuesta el año pasado, la ley se aplica solo a las empresas con una facturación anual que supera los $ 1.93 millones. Este umbral se dirige al 6.5 por ciento de las empresas registradas de Australia, lo que representa aproximadamente la mitad de la producción económica whole del país.
Según la nueva ley, las empresas afectadas deben informar incidentes de ransomware a la Dirección de señales de Australia (ASD). La falta de divulgación adecuada de un ataque dará como resultado multas bajo el sistema de penalización civil del país.
Las autoridades supuestamente planean seguir un enfoque de dos etapas, inicialmente priorizando violaciones importantes al tiempo que fomentan un diálogo «constructivo» con las víctimas.
A partir del próximo año, los reguladores adoptarán una postura mucho más estricta hacia las organizaciones no conformes. El gobierno australiano ha implementado este requisito de informes obligatorios después de concluir que las divulgaciones voluntarias eran insuficientes. En 2024, las autoridades notaron que los incidentes de ransomware y extorsión cibernética estaban enormemente subregistados, con solo una de cada cinco víctimas que se avecinaban.
El ransomware sigue siendo muy complejo y crecimiento fenómeno, con ataques alcanzando niveles récord A pesar del aumento de las acciones de aplicación de la ley contra las famosas pandillas cibernéticas. Aunque varios gobiernos han propuesto regulaciones similares, Australia es el primer país en promulgar formalmente dicha ley.
Jeff Wichman, director de respuesta a incidentes de la firma de ciberseguridad Semperis, advierte que los informes obligatorios es una espada de doble filo. Si bien el gobierno puede obtener datos y información valiosos sobre los perfiles de los atacantes, la ley puede no reducir la frecuencia de los ataques.
En cambio, podría servir principalmente para avergonzar públicamente a las organizaciones, mientras que los cibercriminales continúan ganándose. Un semperis reciente estudiar descubrió que más del 70 por ciento de 1,000 empresas afectadas por ransomware optaron por pagar el rescate y la esperanza de lo mejor.
«Algunas compañías, solo quieren pagarlo y hacer las cosas, para sacar sus datos de la net oscura. Otras, es una perspectiva de respuesta retrasada, quieren que ocurran negociaciones con el atacante mientras descubren lo que sucedió», explicó Wichman.
Según el estudio, el 60 por ciento de las víctimas que pagaron recibieron claves de descifrado funcional y recuperaron con éxito sus datos. Sin embargo, en el 40 por ciento de los casos, las claves proporcionadas fueron corrompidas o ineficaces.
