Dan Jarvis, director ejecutivo del Centro Nacional de Seguridad Cibernética, aseguró que la ley tiene el potencial de desviar la atención de los ciberdelincuentes, ya que si no reciben pagos de rescate por parte de sus víctimas, seguramente perderán el interés en atacar a las empresas en el país.

El Ministerio del Interior del Reino Unido lanzó este martes una consulta gubernamental en torno a una nueva propuesta de ley que busca prohibir a las organizaciones del sector privado, incluyendo ayuntamientos, escuelas y fideicomisos del Servicio Nacional de Salud pagar rescate a los hackers por ataques de ransomware, como una medida para disminuir los ingresos de los ciberdelincuentes y al mismo tiempo fortalecer la seguridad nacional frente a esta creciente amenaza.

Adicionalmente, el gobierno planea implementar un “régimen de prevención de pagos”, a través del cual bloquearía las transferencias a grupos criminales conocidos y ofrecerá asesoramiento profesional a las víctimas para evitar que cedan ante las amenazas de los hackers y terminen pagando un rescate.

La iniciativa legal surge luego de que en los últimos años, se ha registrado un importante aumento en la cantidad de empresas que han sido víctimas de ciberataques en el Reino Unido.

Según los datos del Centro Nacional de Seguridad Cibernética o NCSC por sus siglas en inglés, tan sólo entre septiembre de 2023 y agosto de 2024, se registraron 430 incidentes cibernéticos críticos, incluyendo 13 ataques de ransomware que fueron clasificados como “de importancia nacional”, la gran mayoría de ellos orquestados por hackers afiliados a Rusia.

¿Qué busca el Reino Unido prohibiendo que organizaciones paguen por ransomware?

Con su más reciente propuesta legislativa el gobierno británico busca atacar directamente el modelo de negocio del ransomware, que en el 2024 les generó a los hackers ganancias superiores a los mil millones de dólares a nivel global.

El ministerio del interior, compartió que la nueva legislación tiene tres objetivos principales:

1. Reducir la cantidad de dinero que fluye hacia los ciberdelincuentes de ransomware desde el Reino Unido, con el fin de disuadirlos de atacar a las organizaciones en el país.
2. Incrementar la capacidad de las agencias operativas gubernamentales para interrumpir e investigar a los actores del ransomware, al aumentar su control sobre los incidentes cibernéticos que ocurren en la región.
3. Mejorar la comprensión del gobierno sobre las amenazas en la industria para fundamentar futuras intervenciones y fomentar la colaboración internacional.

Por su parte, el ministro de Seguridad, Dan Jarvis, subrayó que la ley tiene el potencial de cambiar positivamente el panorama de ciberseguridad en el país, principalmente debido a que al eliminar la posibilidad de pago por parte de las víctimas, el Reino Unido podría dejar de ser un objetivo lucrativo para estas bandas y perderían el interés por atacar a las empresas en el país.

Gobierno asegura que respaldará a las organizaciones ante ciberataques

Cabe mencionar que a pesar de que el gobierno tiene gran confianza en que la prohibición de pagos podría reducir de manera significativa los ciberataques en el Reino Unido, también ha generado preocupaciones sobre cómo las organizaciones del sector público enfrentarán estos incidentes sin pagar rescates.

Respecto a lo anterior, el director ejecutivo del NCSC, Richard Horne, explicó que la propuesta de ley incluye un “régimen obligatorio de notificación” el cuál exige a las organizaciones del sector público que informen sobre cualquier ciberataque, lo que permitiría a la agencia de seguridad nacional recopilar inteligencia sobre los hackers, así como ayudarlas a lo largo de todo su proceso de recuperación.

Por otro lado, Horne también invitó a las organizaciones a combatir las amenazas de seguridad desde sus trincheras y fortalecer sus defensas para mitigar las consecuencias potencialmente devastadoras de los ciberataques, mediante la realización constante de copias de seguridad y la implementación de protocolos probados que garanticen su continuidad operativa ante un eventual hackeo.

El Reino Unido podría sentar un precedente

En países como Estados Unidos, el gobierno federal lleva años solicitando a las empresas que no paguen demandas de rescate por ciberataques, pero no ha llegado a imponer una prohibición nacional absoluta de los pagos de rescates.

Pese a lo anterior, en octubre de 2023, el país norteamericano lideró una alianza a través de la cual los gobiernos de más de 40 países, incluyendo el Reino Unido, se comprometieron a no pagar a los hackers para privarlos de recibir ingresos.

Desde entonces, el gobierno británico había prohibido a los departamentos gubernamentales realizar pagos de rescate y ahora, busca extender esta medida al resto del sector público. No obstante, esto sucedería hasta dentro de tres meses, ya que la consulta estará abierta hasta abril de 2025, momento en el que se decidirá si la propuesta será presentada ante el Parlamento.

Mientras tanto, con esta clase de acciones, el Reino Unido pretende posicionarse como uno de los principales líderes mundiales en la lucha contra el ransomware, en busca de proteger tanto a sus ciudadanos, como sus empresas y al mismo tiempo marcar la pauta a nivel global en la manera de abordar esta creciente amenaza cibernética.