Si bien las organizaciones pueden pensar que la mejor estrategia durante un ataque de ransomware es satisfacer las demandas del atacante, hacerlo podría meterlas en problemas legales. Una vez que el gobierno federal se involucre, las repercusiones financieras serán más significativas que el rescate en sí. Esto es lo que las empresas deben hacer y evitar en esta situación para proteger sus activos.
Los ataques de ransomware tienen un gran impacto en todas las industrias. Desafortunadamente, se están volviendo más graves. Los incidentes
De hecho,
Es técnicamente ilegal pagar un rescate durante un ataque de ransomware. Después de todo, es casi imposible rastrear dónde está el atacante o descubrir para quién trabaja, y el gobierno desaprueba que las entidades estadounidenses financien grupos terroristas o países bajo embargo.
¿Por qué las organizaciones pagan el rescate aunque sea ilegal? Si bien es posible que muchos no sepan acerca de su legalidad, algunos lo siguen adelante porque creen que es la mejor opción. Después de un análisis de costos, se dan cuenta de que pagar las multas puede resultar menos costoso.
Que contiene un ataque de malware
Muchos mandatos locales y federales rodean los ciberataques y el ransomware. Las personas que viven o hacen negocios en los Estados Unidos deben cumplir con estos requisitos legales.
Estas son las principales leyes y consideraciones para las organizaciones:
Si bien los mandatos exactos de presentación de informes varían según el estado y la industria, todos exigen que las organizaciones informen a las autoridades policiales. Incluso si la gente tiene la situación bajo control, aún así deben revelarla a las autoridades pertinentes.
Si bien el gobierno federal no tiene leyes explícitas e integrales sobre ransomware, considera los pagos de rescate como un tipo de transacción. Debido a este tecnicismo, es ilegal interactuar con el atacante; hacerlo podría resultar en duras sanciones. La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos supervisa la mayoría de estos incidentes.
La Ley de Poderes Económicos de Emergencia Internacional (IEEPA) y la Ley de Comercio con el Enemigo (TWEA) tienen reglas estrictas contra la participación financiera extranjera. Él
Es posible que estas leyes y leyes no aborden explícitamente los pagos de rescate, pero cubren el ransomware. Las violaciones de las sanciones suelen dar lugar a sanciones civiles, lo que significa que las organizaciones deben pagar fuertes multas o acuerdos. Algunas personas pueden incluso enfrentarse a penas de cárcel si el gobierno cree que sus acciones son criminales o negligentes.
Fundamentalmente, el gobierno señala que incluso aquellos que desconocen los actos pueden enfrentar repercusiones legales: puede responsabilizar civilmente a las personas incluso si no sabían que sus acciones eran ilegales. Si una empresa entra en pánico y paga el rescate tan pronto como ocurre un ataque, igualmente tendrá que responder ante la OFAC, la CISA y otras agencias.
Las organizaciones deben recordar que su gobierno local también tiene una postura respecto del ransomware: la mayoría impone multas y repercusiones legales. Cada estado y territorio de EE. UU. tiene sus propios mandatos y sanciones para informar sobre violaciones de datos.
Si bien las leyes específicas de cada estado difieren, cada una
Si bien muchos estados desalientan el pago de rescates (algunos incluso han prohibido la comunicación con atacantes de ransomware), sus multas generalmente están relacionadas con la privacidad de los datos. Las autoridades locales y las entidades públicas no tienen tanto poder como el gobierno federal, por lo que normalmente no se involucran en los asuntos privados de las personas.
Aún pueden reaccionar rápidamente ante las filtraciones de datos e imponer multas si lo consideran necesario. Desde
Las organizaciones tendrán problemas legales si pagan una demanda de ransomware. Dado que el gobierno federal considera que los pagos son financiación para entidades criminales, reaccionará rápidamente. Las multas varían desde unos pocos miles de dólares hasta millones, y a menudo representan un golpe financiero mayor que el rescate inicial.
Además de las multas, los organismos encargados de hacer cumplir la ley podrían entregar un caso al Departamento de Justicia. También pueden llevar a la organización que incumpla a los tribunales, donde las sanciones financieras y de reputación serán mucho más severas.
Además, si el gobierno descubre que una empresa hizo todo lo posible para encubrir un pago de ransomware, puede considerarla penalmente responsable. Las sanciones penales son mucho más severas y, dependiendo de los detalles, podrían incluso llevar a la cárcel.
En lugar de pagar el rescate, las organizaciones deberían ponerse en contacto con las autoridades pertinentes. La Ley de Fortalecimiento de la Ciberseguridad Estadounidense (SAC) de 2022 establece que todas las organizaciones de infraestructura nacional críticas deben informar los ataques de ransomware a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
Sin embargo, la presencia de CISA es sólo el primer paso. También deben comunicarse con el Departamento de Seguridad Nacional, el departamento de evaluación de cumplimiento y sanciones de la OFAC y el grupo de trabajo cibernético del FBI. Estas agencias se ocupan de ataques de ransomware todo el tiempo y conocen la mejor manera de manejarlos.
La mayoría de las empresas entran en pánico cuando se dan cuenta de que un atacante ha bloqueado sus datos detrás de un muro de pago malicioso. Aún así, satisfacer sus demandas es uno de los peores enfoques. Si bien una organización puede recibir multas de seguridad y privacidad una vez que acude a las autoridades, evita tener que pagar cientos de miles por violar IEEPA, TWEA o la Ley de Fortalecimiento de la Ciberseguridad Estadounidense.