El anuncio, la semana pasada, de que los funcionarios encargados de hacer cumplir la ley de EE.UU. habían logrado recuperar unos US$2.3 millones del rescate de aproximadamente $4.4 millones que Colonial Pipeline pagó a los piratas informáticos fue un avance positivo. Pero también plantea preguntas sobre quién debería asumir los costos de los pagos de rescate a medida que aumenta la amenaza de extorsión en línea.
La recuperación del rescate de Colonial Pipeline envía un fuerte mensaje a las empresas estadounidenses que son pirateadas de que el gobierno puede ayudar. Es de esperar que esto motive a las víctimas a denunciar estos ataques a las autoridades. Pero también puede hacer que las empresas estén más dispuestas a pagar un rescate, y eso sería una buena noticia para los ciberdelincuentes.
Cualquier esfuerzo del gobierno por reclamar de manera más agresiva los pagos de rescate debe, entonces, ir de la mano de una represión regulatoria sobre la cobertura de seguros para los rescates. (En el caso de Colonial, el gobierno de EE.UU. no ha hecho una declaración sobre quién recibirá los fondos recuperados). También necesitamos una consideración cuidadosa de cuánto de los rescates reclamados deben devolverse, si corresponde, a las víctimas que los pagaron.
Los seguros juegan un papel importante, aunque a menudo se pasa por alto, en la economía del ransomware (secuestro de datos). La mayoría de las víctimas de ransomware no anuncian que están haciendo pagos por rescate ni que esos pagos están cubiertos, al menos en parte, por sus aseguradoras.
En muchos casos, las aseguradoras soportan casi toda la carga financiera de las víctimas de ransomware. Cuando Lake City, Florida, pagó a los piratas informáticos casi $500.000 dólares en 2019, su póliza de seguro con la Liga de Ciudades de Florida cubrió todo, descontando $10.000 dólares. Otra ciudad de Florida cuyo sistema informático fue pirateado el mismo año, Riviera Beach, acordó un pago de rescate aún mayor, casi $600.000 dólares. La ciudad misma era responsable de apenas $25.000.
Saber que el seguro cubrirá los rescates puede facilitar que las empresas decidan pagar, lo que solo alimenta futuros ataques. Saber que el gobierno puede entonces reembolsarles efectivamente agrega un incentivo adicional para que las empresas pirateadas paguen. Una estimación reciente de Kaspersky sugirió que el 56 % de las víctimas pagan un rescate.
Debido a que las aseguradoras se han visto obligadas a cubrir tantos pagos de rescate en los últimos años, la industria parece estar a punto de tratar de aumentar las primas y revaluar su enfoque del ransomware. Sin embargo, hasta ahora, sólo una aseguradora importante, la compañía francesa AXA, se ha movido en esa dirección, anunciando el mes pasado que suspendería la emisión de pólizas que cubren el pago de rescates en Francia hasta que las autoridades aclaren si es legal hacerlo.
De hecho, los reguladores de muchos países han proporcionado orientación ambigua a las aseguradoras y a las víctimas de ransomware sobre el pago de rescates. La mayoría de los organismos encargados de hacer cumplir la ley, incluido el FBI, desalientan los pagos, pero en realidad no los prohíben.
El año pasado, el Departamento del Tesoro (de EE.UU.) advirtió que los pagos de rescate a ciertos grupos e individuos sancionados podrían ser ilegales. Pero para muchas víctimas, así como para sus aseguradoras, no siempre está claro de inmediato a quién están pagando rescates, ni cómo se aplican las reglas del Tesoro a sus situaciones. Al mismo tiempo, algunos reguladores temen que la prohibición del pago de rescates lleve a más empresas a pagar a sus piratas informáticos en secreto y se nieguen a denunciar incidentes a las fuerzas del orden. (Actualmente, no está claro el porcentaje de ataques que no se denuncian).
En un momento en que los ataques están dirigidos a infraestructuras cada vez más importantes, desde oleoductos hasta cadenas de suministro de alimentos, aislar eficazmente a las compañías de seguros de los costos totales de los pagos de rescates sería un grave error
