Nuevo Proyecto de Ley Busca Forzar la Divulgación del Pago de Ransomware

Esta semana se presentó un nuevo proyecto de ley de Estados Unidos, como un esfuerzo bicameral, propuesto por la senadora Elizabeth Warren y la representante Deborah Ross. La propuesta legislativa se llama Ley de Divulgación de Rescate y ha causado un poco de revuelo.

El proyecto de ley tiene como objetivo hacer que la divulgación de información por parte de las víctimas de ransomware sea obligatoria, regulada y mucho más inmediata. Según los cambios propuestos, las víctimas de ransomware tendrían que revelar cualquier pago realizado al actor de la amenaza involucrado en el ataque, la cantidad que solicitaron los piratas informáticos y la moneda específica utilizada en el intercambio de pago de rescate.

El proyecto de ley se presenta como una herramienta muy necesaria para comprender el alcance y los detalles de los ataques de ransomware, pero algunos lo han considerado como un paso para poner a las víctimas de ransomware en una situación aún más difícil y causarles más preocupación.

Si bien la divulgación de información parece algo bueno, y aunque el proyecto de ley no prevé la inclusión de detalles de la empresa de los informes que producirá el Departamento de Seguridad Nacional, según los analistas, los datos presentados todavía no están protegidos adecuadamente de las solicitudes de divulgación. realizado bajo la Ley de Libertad de Información, así como formas adicionales de posible divulgación.

La situación se complica aún más por el hecho de que casi todos los actores de amenazas de ransomware han adoptado múltiples formas de extorsión. Las bandas de ransomware ahora comúnmente amenazan con filtrar cantidades significativas de información confidencial de la víctima exfiltrada en caso de que la víctima se ponga en contacto con las autoridades. Si se aprueba el proyecto de ley, esto dejaría a las víctimas de ransomware sin otra opción y sin duda conduciría a fugas significativas de información confidencial en futuros ataques.

Se podría señalar que las víctimas de delitos cotidianos más comunes, como robos, no están obligadas por ley a denunciar el delito a la policía. Como extensión de esta línea de pensamiento, algunos creen que las víctimas de ransomware que no tienen datos extraídos de su red no deberían verse obligadas a informar del ataque también. Sin embargo, en los últimos meses, casi todos los ataques de ransomware estuvieron acompañados de robo y exfiltración de datos, por lo que esta es una posibilidad que no es muy común en la realidad. El ransomware ha ido en aumento durante varios años, con informes que indican que en el transcurso de la pandemia global Covid-19 que comenzó a principios de 2020, los ataques de ransomware han aumentado un asombroso 72 por ciento.