Mientras el presidente Biden se reúne hoy con Ejecutivos del sector privado Cabe destacar otra nueva iniciativa para discutir formas de intensificar los esfuerzos de seguridad cibernética.
La semana pasada, el Departamento de Seguridad Nacional de EE. UU. Anunció una nueva asociación público-privada llamada Joint Cyber Defense Collaborative (JCDC). El JCDC alineará al gobierno con los esfuerzos de las empresas (principalmente de tecnología) para abordar problemas clave de ciberseguridad, el primero de los cuales es el ransomware.
El JCDC parece una gran idea, pero no es necesario en este caso. El gobierno podría detener fácilmente la mayoría de los ransomware.
Esta administración recibe altas calificaciones por reclutar líderes talentosos en ciberseguridad. Chris Inglis es el Director Cibernético Nacional de la Casa Blanca y Jen Easterly es la Directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). Ambos son muy capaces, pero sus talentos se concentran mejor en otros lugares.
El ransomware es un ataque económico por medios técnicos. Tratarlo como un problema técnico pierde el sentido. Por supuesto, existen controles técnicos que pueden ayudar, como parches a tiempo y copias de seguridad frecuentes. Los controles técnicos son solo soluciones puntuales; Cuanto mejor se utilicen las defensas, más se desarrollarán los atacantes. Por ejemplo, cuando los defensores mejoraron sus copias de seguridad, los atacantes refinaron sus métodos amenazando con divulgar los datos confidenciales de sus víctimas. Esto se llama “coevolución”; Tanto los atacantes como los defensores aumentan sus habilidades con el tiempo.
Si bien los métodos de los atacantes pueden evolucionar, sus motivos permanecen sin cambios. Cuando se trata de ransomware, casi siempre hablamos de chantaje financiero. Los pagos anónimos a través de criptomonedas como Bitcoin han dado valor a los atacantes al dificultar el seguimiento del dinero. Pero ni la falta de controles ni los sistemas de pago son el mejor lugar para alterar fundamentalmente este sistema.
Para afectar realmente al ransomware, debemos abordar las motivaciones detrás de él. Si el gobierno ilegalizara el pago del rescate con sanciones severas (como la responsabilidad personal de los líderes empresariales), los atacantes tendrían poco interés en seguir adelante. Ninguna corporación con libros auditados pagaría. Ninguna comunidad, hospital público, escuela pública u organización sin fines de lucro pagaría. Nadie con finanzas auditadas pagaría y se arriesgaría a ir a la cárcel. En este punto, no hay ninguna razón para que los atacantes hagan el trabajo y pidan un pago; no se les puede pagar.
Es posible que algunas personas y pequeñas empresas privadas paguen y supongan que no serán atrapados. Sin embargo, al hacer que los pagos sean ilegales, estamos obligando a los atacantes a restringirse a un segmento menos rentable de personas sin libros verificados. Estamos reduciendo el valor del ataque.
Ya existe una versión de esta ley. Ahora es ilegal realizar un pago de ransomware a cualquier persona o país sujeto a sanciones de la Oficina de Control de Activos Extranjeros. En la práctica, esto es difícil de hacer cumplir, ya que el anonimato de los pagos oculta su objetivo. Podríamos ampliar la regulación diciendo que los pagadores de ransomware deben ser explícitamente conscientes de que no están violando las sanciones, o simplemente podríamos prohibir todos los pagos.
Algunos pueden argumentar que esto castiga a las víctimas. No estoy de acuerdo. Hasta que dicha ley entre en vigor, las víctimas pueden pagar un rescate cada vez mayor. Una vez que la ley entre en vigor, cesarán los pagos.
La mayoría de las leyes existen para proteger a la sociedad de las acciones potencialmente dañinas de otros. Aquellos que pagan rescate hoy animan a los atacantes a seguir atacando a otros. Hacer que alguien ataque a más víctimas perjudica a otros. Hemos observado el impacto de esto, ya que tanto la frecuencia de los ataques como la cantidad de pagos requeridos han aumentado exponencialmente.
El gobierno tiene un papel que desempeñar para detener el ransomware, y es fácil. Legislación. Prohibir los pagos de ransomware eliminaría el incentivo para atacar.