El Tesoro de EEUU advierte de que los pagos por ataques de ransomware podrían desencadenar una investigación
El pago de rescates fomenta futuras demandas de pago de ransomware, según un aviso
{{#rendered}} {{/rendered}}El ransomware se ha convertido en una ciberpandemia en Estados Unidos, lo que ha llevado al Departamento del Tesoro a emitir una severa advertencia sobre el pago de rescates a los delincuentes.
El aviso, que cita "riesgos de sanciones" por pagos de ransomware, va dirigido a empresas que "facilitan pagos de ransomware a ciberactores en nombre de las víctimas".
Entre esas empresas se encuentran instituciones financieras, empresas de ciberseguros y empresas dedicadas a la investigación forense digital y a la respuesta a incidentes, según informó la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos.
{{#rendered}} {{/rendered}}GRAN EMPRESA SANITARIA DE PENNSYLVANIA AFECTADA POR UN ATAQUE DE MALWARE
El aviso advierte específicamente contra los pagos a "ciberagentes maliciosos" de la Lista de Nacionales Especialmente Designados y Personas Bloqueadas (Lista SDN) y cita a malos agentes vinculados a Irán, Rusia, Siria y Corea del Norte, entre otros.
En un ataque de ransomware de manual, el atacante bloquea los archivos críticos y luego da instrucciones sobre cómo desbloquearlos, siempre que la víctima pague. Recientemente, en algunos casos, los delincuentes también amenazan con exponer archivos sensibles.
{{#rendered}} {{/rendered}}El problema es que el pago de rescates "no sólo fomenta futuras demandas de pago de ransomware, sino que también puede suponer una infracción de la normativa de la OFAC", según el aviso.
Los pagos por ransomware efectuados a "personas sancionadas" también podrían utilizarse para financiar actividades contra Estados Unidos, añadió el aviso.
El éxito variable de los ataques de ransomware es una de las razones del aumento de los intentos de extorsión a escuelas y hospitales este año.
{{#rendered}} {{/rendered}}Al menos 128 entidades federales y estatales, proveedores de asistencia sanitaria y centros educativos se vieron afectados por ransomware durante el primer y segundo trimestres, según Emsisoft.
Este verano, la Universidad de California en San Francisco dijo que había pagado 1,14 millones de dólares a un grupo de ransomware.
{{#rendered}} {{/rendered}}A principios de este año, en una conferencia sobre seguridad informática, un agente del FBI dijo que entre enero de 2013 y julio de 2019 se pagaron rescates por valor de 144,35 millones de dólares, según ZDNet.
Karen Walsh, experta en cumplimiento de la ciberseguridad y directora de Allegro Solutions, dijo a Fox News que las organizaciones pueden ser ajenas a la normativa vigente.
La Lista SDN de la OFAC y los requisitos normativos de la Red para la Represión de Delitos Financieros del Tesoro (FinCEN) son "un elemento básico del sector de los servicios financieros, pero las organizaciones que no están sujetas a estos requisitos normativos probablemente no tienen ni idea de que existen o de lo detalladas que son las listas".
{{#rendered}} {{/rendered}}Las instituciones financieras están obligadas por ley a rechazar o bloquear los pagos enviados a personas incluidas en la lista SDN, dijo Walsh.
Incluso si las víctimas intentan pagar, pueden descubrir "que su banco bloqueó el pago porque el destinatario está en la lista SDN. Por lo tanto, una empresa que ya ha acordado pagar un rescate puede no ser capaz de cumplir esa promesa, dejándola en peor situación que antes", añadió Walsh.
La OFAC declaró que puede imponer sanciones civiles si se realizan pagos a entidades incluidas en la lista negra. "Una persona sujeta a la jurisdicción de Estados Unidos puede ser considerada civilmente responsable aunque no supiera ni tuviera motivos para saber que estaba realizando una transacción con una persona prohibida en virtud de las leyes y reglamentos sobre sanciones administrados por la OFAC", declaró el Tesoro.
{{#rendered}} {{/rendered}}El Tesoro añadió que, en el caso de una infracción aparente, un programa de cumplimiento "es un factor que la OFAC puede tener en cuenta a la hora de determinar una respuesta de aplicación adecuada (incluida la cuantía de la sanción pecuniaria civil, en su caso)".
El resultado es que las víctimas deben ponerse en contacto con la OFAC antes de pensar en hacer un pago.