-
Los pagos en ataques de ransomware desde 2020 superan los USD 1.000 millones.
-
La ley obligaría a las instituciones bajo ataque a reportar el incidente a FinCEN.
El congresista estadounidense Patrick McHenry, de Carolina del Norte, introdujo el pasado miércoles 10 de noviembre el anteproyecto Ley de Ransomware y Estabilidad Financiera, ante la Cámara de Representantes. El proyecto introducido por McHenry tiene como objetivo desestimular los ataques de ransomware y establece una serie de reglas a las instituciones financieras atacadas.
Los ataques de ransomware consisten en el cifrado o encriptación de programas y datos de una organización, realizado de forma maliciosa de manera remota. Esto paraliza en gran medida las operaciones de los computadores afectados. Los atacantes piden un rescate, generalmente en bitcoin (BTC) u otras criptomonedas, para reconvertir los datos cifrados a su estado inicial.
Un comunicado de prensa del despacho de McHenry señala que «esta ley protegerá la infraestructura financiera crítica que hace posible la actividad económica diaria».
Los pagos de ransomware en los EE. UU. han totalizado más de USD 1.000 millones de dólares desde 2020. Más notablemente, en mayo pasado, un ataque de ransomware ruso obligó a Colonial Pipeline a cerrar los suministros de petróleo al este de Estados Unidos antes de que la compañía pagara a los piratas informáticos. A pesar de lo disruptivo que fue este ataque, palidece en comparación con lo que sucedería si se desconectara la infraestructura financiera crítica de Estados Unidos.
Patrick McHenry, representante de Carolina del Norte, EE. UU.
El ataque de ransomware a la compañía de oleoductos Colonial Pipeline, ocurrido el 7 de mayo pasado y reportado por CriptoNoticias, interrumpió el suministro de gasolina refinada para aviones de la costa sudeste de Estados Unidos.
El anteproyecto suministra a las instituciones de infraestructura financiera un mapa de rutas en la eventualidad de que sean atacadas por ransomware. Se requiere, en primer lugar, que las entidades afectadas notifiquen al Departamento del Tesoro antes hacer un pago de ransomware.
Una ley que busca desestimular a los hackers
La ley desestimularía a los hackers al prohibir pagos de rescate muy elevados. Específicamente prohíbe pagos superiores a USD 100.000, a menos que las autoridades suministren una Autorización de Pago de Ransomware por un monto mayor, o que el presidente de EE. UU. emita una exención de esta disposición «por interés nacional».
La ley provee claridad legal cuando se responde a los ataques, dice McHenry en su anuncio del proyecto.
Asegura la confidencialidad de la información cuando las instituciones cubiertas notifican a las autoridades sobre un ataque de ransomware. Brinda claridad a las instituciones financieras, incluidos los procesadores de pago de ransomware, al crear un puerto seguro cuando evalúan un ataque de ciberseguridad, o cumplen con una Autorización de pago de ransomware.
Patrick McHenry, representante de Carolina del Norte, EE. UU.
El gobierno de Estados Unidos está examinando más de cerca los ataques de ransomware, de acuerdo a un artículo de CriptoNoticias a inicios de julio, en el que se reportan varias incidencias relacionadas con ese tipo de software malicioso o malware. Específicamente, se señala que el propio presidente de EE. UU. dijo en una aparición pública que había ordenado a fuerzas federales intervenir en casos notorios de este tipo de ataques.
