¿Cuáles son las implicaciones legales de pagar demandas de ransomware?

Si bien las organizaciones pueden pensar que la mejor estrategia durante un ataque de ransomware es satisfacer las demandas del atacante, hacerlo podría meterlas en problemas legales. Una vez que el gobierno federal se involucre, las repercusiones financieras serán más significativas que el rescate en sí. Esto es lo que las empresas deben hacer y evitar en esta situación para proteger sus activos.

¿La mayoría de las organizaciones pagan el rescate?

Los ataques de ransomware tienen un gran impacto en todas las industrias. Desafortunadamente, se están volviendo más graves. Los incidentes Los costos superaron los 400 millones de dólares. en 2020, cuatro veces mayor que el total de 2019. Estos ataques amenazan los medios de vida de las personas, por lo que muchos sienten una presión extrema para pagar el rescate.

De hecho, aproximadamente el 50% de las víctimas pagar el rescate. Sin embargo, aunque la mayoría cede a las demandas de los atacantes, sólo el 4% recupera todos sus datos descifrados e intactos. Aunque cumplir puede parecer el mejor enfoque, a menudo no vale la pena.

¿Es ilegal pagar el rescate?

Es técnicamente ilegal pagar un rescate durante un ataque de ransomware. Después de todo, es casi imposible rastrear dónde está el atacante o descubrir para quién trabaja, y el gobierno desaprueba que las entidades estadounidenses financien grupos terroristas o países bajo embargo.

¿Por qué las organizaciones pagan el rescate aunque sea ilegal? Si bien es posible que muchos no sepan acerca de su legalidad, algunos lo siguen adelante porque creen que es la mejor opción. Después de un análisis de costos, se dan cuenta de que pagar las multas puede resultar menos costoso.

Que contiene un ataque de malware tarda alrededor de 50 días En promedio, este tiempo de inactividad prolongado podría arruinar las ventas y la reputación de una marca. En lugar de perder permanentemente sus datos, enfrentar el escrutinio del gobierno y recibir una reacción pública, algunos pagan silenciosamente al atacante. Puede parecer un riesgo calculado, pero las posibles repercusiones no suelen merecer la pena.

Consideraciones legales para ataques de ransomware

Muchos mandatos locales y federales rodean los ciberataques y el ransomware. Las personas que viven o hacen negocios en los Estados Unidos deben cumplir con estos requisitos legales.

Estas son las principales leyes y consideraciones para las organizaciones:

• Informar a las partes interesadas: las organizaciones normalmente deben informar a sus partes interesadas sobre un ataque de ransomware. Dependiendo de las leyes locales, es posible que deban hacer declaraciones públicas o notificar a todos los clientes.
• Pagar rescates: los gobiernos federal y local tienen reglas estrictas en contra porque es una cuestión de seguridad: lo ven como financiación o apoyo.
• Notificar a las autoridades: la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) afirma la presentación oportuna de informes es obligatoria para todos los incidentes de ransomware. Las víctimas deben informar a las agencias gubernamentales estadounidenses pertinentes.
• Informar a los clientes: las organizaciones deben notificar a los clientes si un ataque de ransomware afecta la seguridad de los datos. Después de todo, su privacidad está en riesgo si los atacantes exponen su información personal o financiera.

Si bien los mandatos exactos de presentación de informes varían según el estado y la industria, todos exigen que las organizaciones informen a las autoridades policiales. Incluso si la gente tiene la situación bajo control, aún así deben revelarla a las autoridades pertinentes.

¿Cuáles son los requisitos del gobierno federal?

Si bien el gobierno federal no tiene leyes explícitas e integrales sobre ransomware, considera los pagos de rescate como un tipo de transacción. Debido a este tecnicismo, es ilegal interactuar con el atacante; hacerlo podría resultar en duras sanciones. La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos supervisa la mayoría de estos incidentes.

La Ley de Poderes Económicos de Emergencia Internacional (IEEPA) y la Ley de Comercio con el Enemigo (TWEA) tienen reglas estrictas contra la participación financiera extranjera. Él es ilegal realizar una transacción con cualquier persona o entidad en la lista de Nacionales Especialmente Designados y Personas Bloqueadas de la OFAC. Además, hacer negocios con quienes están bajo embargo es un delito.

Es posible que estas leyes y leyes no aborden explícitamente los pagos de rescate, pero cubren el ransomware. Las violaciones de las sanciones suelen dar lugar a sanciones civiles, lo que significa que las organizaciones deben pagar fuertes multas o acuerdos. Algunas personas pueden incluso enfrentarse a penas de cárcel si el gobierno cree que sus acciones son criminales o negligentes.

Fundamentalmente, el gobierno señala que incluso aquellos que desconocen los actos pueden enfrentar repercusiones legales: puede responsabilizar civilmente a las personas incluso si no sabían que sus acciones eran ilegales. Si una empresa entra en pánico y paga el rescate tan pronto como ocurre un ataque, igualmente tendrá que responder ante la OFAC, la CISA y otras agencias.

¿Cuáles son los requisitos de los gobiernos locales?

Las organizaciones deben recordar que su gobierno local también tiene una postura respecto del ransomware: la mayoría impone multas y repercusiones legales. Cada estado y territorio de EE. UU. tiene sus propios mandatos y sanciones para informar sobre violaciones de datos.

Si bien las leyes específicas de cada estado difieren, cada una requiere que las entidades notifiquen a las partes interesadas y aplicación de la ley. Las instalaciones locales normalmente no están equipadas para lidiar con ransomware, por lo que la responsabilidad recae en agencias federales como el FBI, CISA o el Departamento de Seguridad Nacional.

Si bien muchos estados desalientan el pago de rescates (algunos incluso han prohibido la comunicación con atacantes de ransomware), sus multas generalmente están relacionadas con la privacidad de los datos. Las autoridades locales y las entidades públicas no tienen tanto poder como el gobierno federal, por lo que normalmente no se involucran en los asuntos privados de las personas.

Aún pueden reaccionar rápidamente ante las filtraciones de datos e imponer multas si lo consideran necesario. Desde casi el 50% de los atacantes Si roban datos antes de comenzar el ataque de ransomware, las organizaciones probablemente tendrán que responder a las leyes de su estado.

¿Por qué las organizaciones no deberían pagar el rescate?

Las organizaciones tendrán problemas legales si pagan una demanda de ransomware. Dado que el gobierno federal considera que los pagos son financiación para entidades criminales, reaccionará rápidamente. Las multas varían desde unos pocos miles de dólares hasta millones, y a menudo representan un golpe financiero mayor que el rescate inicial.

Además de las multas, los organismos encargados de hacer cumplir la ley podrían entregar un caso al Departamento de Justicia. También pueden llevar a la organización que incumpla a los tribunales, donde las sanciones financieras y de reputación serán mucho más severas.

Además, si el gobierno descubre que una empresa hizo todo lo posible para encubrir un pago de ransomware, puede considerarla penalmente responsable. Las sanciones penales son mucho más severas y, dependiendo de los detalles, podrían incluso llevar a la cárcel.

¿Qué deberían hacer las organizaciones en su lugar?

En lugar de pagar el rescate, las organizaciones deberían ponerse en contacto con las autoridades pertinentes. La Ley de Fortalecimiento de la Ciberseguridad Estadounidense (SAC) de 2022 establece que todas las organizaciones de infraestructura nacional críticas deben informar los ataques de ransomware a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). en menos de 72 horas o enfrentar sanciones. Si la víctima paga un rescate, el plazo se reduce a 24 horas.

Sin embargo, la presencia de CISA es sólo el primer paso. También deben comunicarse con el Departamento de Seguridad Nacional, el departamento de evaluación de cumplimiento y sanciones de la OFAC y el grupo de trabajo cibernético del FBI. Estas agencias se ocupan de ataques de ransomware todo el tiempo y conocen la mejor manera de manejarlos.

Ignorar las demandas de ransomware es el mejor enfoque

La mayoría de las empresas entran en pánico cuando se dan cuenta de que un atacante ha bloqueado sus datos detrás de un muro de pago malicioso. Aún así, satisfacer sus demandas es uno de los peores enfoques. Si bien una organización puede recibir multas de seguridad y privacidad una vez que acude a las autoridades, evita tener que pagar cientos de miles por violar IEEPA, TWEA o la Ley de Fortalecimiento de la Ciberseguridad Estadounidense.