Las autoridades de EEUU confirman que pagar un rescate en un ciberataque puede generar responsabilidades legales

2020-10-09T06:45:00
España Internacional

Desgraciadamente los ataques de ransomware (software malicioso que bloquea el acceso a archivos o sistemas y requiere del pago de un rescate para levantar dicho bloqueo) se han convertido en algo cotidiano. De acuerdo con un informe del FBI estadounidense, en 2018 se produjo un incremento del 37% en el número de dichos ataques, los

Las autoridades de EEUU confirman que pagar un rescate en un ciberataque puede generar responsabilidades legales
9 de octubre de 2020

Desgraciadamente los ataques de ransomware (software malicioso que bloquea el acceso a archivos o sistemas y requiere del pago de un rescate para levantar dicho bloqueo) se han convertido en algo cotidiano. De acuerdo con un informe del FBI estadounidense, en 2018 se produjo un incremento del 37% en el número de dichos ataques, los cuales asimismo provocaron a las entidades afectadas daños por un valor superior en un 147 % a los daños contabilizados en el año anterior.

Cuando una empresa sufre este tipo de ataque se enfrenta a una difícil decisión: soportar las consecuencias que supone el riesgo de pérdida de la información bloqueada o pagar un rescate y esperar que el atacante haga honor a su palabra y desbloquee los sistemas afectados tras recibir el pago del rescate exigido.

Se trata de un dilema complejo, en el que siempre existirá la tentación de resolver la situación por medio del pago de una cuantía que, en principio, debería ser inferior a los potenciales daños que se derivarían de la pérdida de la información y sistemas comprometidos por el ataque. De este modo, en la realidad no es infrecuente que este tipo de ataques se resuelvan con el pago del rescate exigido.

Esta decisión, que puede tener su lógica desde un punto de vista práctico, no obstante, plantea serias dudas desde una perspectiva legal. En efecto, a las razones más evidentes desaconsejando dicha opción (la falta de exigibilidad del levantamiento del bloqueo; la incertidumbre ante la posibilidad de que se reproduzca el ataque una vez hecho el pago; la imposibilidad de identificar al atacante; etc.) se le suman las eventuales responsabilidades legales en las que pueden incurrir (como consecuencia de la realización de un pago a un delincuente) o bien la entidad afectada o bien los gestores que hayan decidido dicho pago.

Se trata de una cuestión relevante, particularmente si tenemos en cuenta la creciente presión que se está realizando a nivel normativo a fin de desincentivar este tipo de pagos. El último ejemplo de esta tendencia lo encontramos en las directrices que ha aprobado recientemente el Departamento del Tesoro estadounidense -a través de la Office of Foreign Assets (OFAC)– respecto a los pagos de rescates en que se realicen ante ataques de ransomware.

En este sentido, la OFAC recuerda en dichas directrices que gran parte de los ataques informáticos por esta vía son perpetrados por grupos o personas con quienes OFAC ha prohibido comerciar o bien se encuentran en países respecto a los cuales Estados Unidos ha establecido sanciones comerciales. Ante tales circunstancias, la OFAC prosigue recordando que conforme a la legislación estadounidense -en particular la International Emergency Economic Powers Act así como la Trading with the Enemy Act-, la autoridad estadounidense puede imponer sanciones (de cuantías elevadas) a todas aquellas personas o entidades que realicen transacciones económicas con personas o territorios prohibidos.

Teniendo en cuenta lo anterior, la OFAC en sus directrices concluye que dichas sanciones serán plenamente aplicables en relación con cualquier pago hecho a una persona (o grupo de personas) señalada como prohibida con base a la citada legislación.

Dicha advertencia no se limita exclusivamente a las entidades afectadas por un ataque de ransomware, sino que la propia OFAC se encarga de recordar que las mencionadas sanciones serían igualmente aplicables a terceros implicados en este tipo de transacciones, incluyendo compañías de seguros, entidades financieras o proveedores de servicios de respuesta a este tipo de situaciones. En este sentido, las directrices concluyen recomendando a dichos terceros incorporar a sus procesos de gestión criterios de cumplimiento normativo que aseguren el respeto a las prohibiciones anteriormente señaladas.

Autor: Albert Agustinoy

9 de octubre de 2020