¿Pagar el rescate o no? Consideraciones gubernamentales sobre el pago como una solución al cibercrimen

¿Pagar el rescate o no? Consideraciones del gobierno sobre el pago como una solución al cibercrimen.

Por Dan Raywood • 3 de marzo de 2026

El año pasado se presentaron dos propuestas legislativas en el Reino Unido centradas en el problema de los pagos de ransomware por parte de empresas británicas. Esta atención del gobierno británico podría indicar un cambio hacia la ilegalización de dichos pagos o dejar a las empresas ante decisiones difíciles. Dan Raywood analiza los detalles.

El año pasado, el gobierno del Reino Unido inició una ofensiva contra los ciberdelincuentes con propuesto legislación Esto ilegalizaría el pago de rescates para ciertos sectores. En concreto, se prohibiría a los organismos del sector público y a los operadores de infraestructuras nacionales críticas, como el Servicio Nacional de Salud (NHS), los ayuntamientos y las escuelas, pagar las demandas de rescate. Las demás empresas no incluidas en la prohibición estarían obligadas a notificar al gobierno cualquier intención de pago.

El ministro de Seguridad, Dan Jarvis, afirmó que la propuesta busca "destruir el modelo de negocio de los ciberdelincuentes" y proteger los servicios esenciales. Al colaborar con la industria, añadió, "estamos enviando una señal clara de que el Reino Unido está unido en la lucha contra el ransomware".

Esa consulta duró 12 semanas (del 14 de enero al 8 de abril de 2025) y propuso:

Una prohibición específica de los pagos de ransomware para infraestructuras nacionales críticas reguladas y el sector público.
Un régimen de prevención de pagos de ransomware.
Un régimen obligatorio de notificación de incidentes.

Estas medidas representarían la primera legislación específica del Reino Unido diseñada para contrarrestar el ransomware, con el objetivo central de proteger los servicios públicos y la infraestructura crítica de interrupciones.

Al comentar esto, Crystal Morin, estratega senior de ciberseguridad en Sysdig, dijo que mejorar los informes de incidentes de ransomware no es una reacción impulsiva sino un ajuste estratégico a un panorama de amenazas en rápida evolución.

“Los incidentes de gran repercusión del último año han demostrado cómo el ransomware puede interrumpir servicios críticos y afectar la vida cotidiana”, afirmó. “Estos eventos demuestran que los ciberataques, por aislados que parezcan, representan riesgos reales para la seguridad nacional y el bienestar público”.

Respuesta positiva

La consultora y especialista en políticas Jen Ellis destaca la "respuesta abrumadoramente positiva" a la consulta gubernamental sobre la idea de una prohibición. Sugiere que esto se debe, en parte, a que las empresas quieren poder informar a los clientes que legalmente no pueden pagar un rescate y que simplemente están cumpliendo la ley.

También señala que algunos creen que el ransomware tiene un propósito puramente lucrativo y que eliminar este afán eliminaría el delito. Sin embargo, esto pasa por alto factores como la participación de grupos del crimen organizado vinculados a actividades más violentas, como el tráfico de personas.

“No tiene en cuenta la magnitud de las ganancias ni la falta de una aplicación efectiva de la ley”, afirma Ellis. “Los atacantes operan con impunidad y pueden atacar a las organizaciones más vulnerables con un coste mínimo para ellos mismos.

También ignora que operamos en una red global. Una prohibición en el Reino Unido no protege a las organizaciones de las actividades que se desarrollan en otros lugares.

Nuevo factor

Mientras la consulta espera su siguiente etapa, surgió un nuevo avance en octubre cuando el diputado Bradley Thomas presentó una proyecto de ley de un miembro particular en 2025. El proyecto de ley requeriría que las empresas que cumplan criterios específicos informen al gobierno sobre cualquier extorsión cibernética o ataque de ransomware dentro de un plazo definido.

Al presentar el proyecto de ley, Thomas señaló que actualmente no existe ninguna obligación para las empresas de informar sobre el pago de un rescate, a pesar de la carga financiera que estos implican. Su propuesta exigiría que cualquier empresa registrada bajo la Ley de Sociedades de 2006 con una facturación anual superior a 25 millones de libras esterlinas —o responsable de infraestructuras nacionales críticas— notifique al gobierno dentro de las 72 horas siguientes a ser víctima.

Se requeriría un informe adicional si la empresa o un tercero realizara algún pago en su nombre, nuevamente dentro de las 72 horas. Thomas reconoció la preocupación por el daño a la reputación, pero afirmó que unas sólidas protecciones legales garantizarían la confidencialidad de los informes a menos que su divulgación se considere de interés nacional.

“La ausencia de informes obligatorios, especialmente para el pago de rescates, crea un peligroso punto ciego en nuestra seguridad nacional”, afirmó. “Cuando las empresas informan sobre estos pagos, nuestras agencias de seguridad obtienen información vital sobre quiénes son los objetivos y cómo evolucionan los ataques”.

Morin afirmó que la denuncia obligatoria no se trata de avergonzar a las organizaciones, sino de fortalecer la defensa colectiva. «Cuando las organizaciones denuncian incidentes, los equipos de seguridad obtienen información sobre tácticas y vulnerabilidades emergentes, lo que les permite responder con mayor rapidez y prevenir daños mayores».

Añadió que, si bien los temores por la reputación son comprensibles, el marco propuesto incluye salvaguardas para limitar la divulgación a casos excepcionales. «Un sistema de denuncia obligatorio, pero sin complejos, reconoce esta realidad».

Cómo disuadir los ataques de ransomware

Al analizar las propuestas, Ellis declaró a ISMS.online que no cree que una prohibición nacional de pagos disuada significativamente los ataques. «La mayoría de las víctimas son atacadas de forma oportunista porque están conectadas a internet. Las infecciones simplemente ocurren».

"No creo que una prohibición de pagos sea efectiva a menos que sea global", dijo. "Los atacantes se adaptarán".

En cuanto a la denuncia, Ellis afirmó que la clave es normalizar la divulgación. «Necesitamos que la denuncia sea menos dolorosa y comprender mejor lo que sucede. No podemos lograrlo si la gente no denuncia».

“Informar no resolverá el problema, pero nos dará una mejor idea de su verdadera magnitud”.

Sobre si las empresas seguirían pagando en secreto si se impusiera una prohibición, Ellis afirmó que es difícil predecirlo. Ha hablado con empresarios que creen que no tendrían otra opción si se enfrentaran a una amenaza existencial.

También destacó el posible impacto en los seguros cibernéticos. «Si el pago es ilegal, el seguro no lo cubrirá. En cambio, las aseguradoras tendrían que cubrir los costos de recuperación, lo que podría llevarlas a exigir medidas de resiliencia más estrictas».

El proyecto de ley de Thomas se someterá a segunda lectura en mayo, y ambas propuestas buscan restringir el pago de rescates. Sin embargo, para las empresas donde el pago parece ser la única opción, las alternativas podrían ser limitadas.

La investigación de Sophos En 2025, se descubrió que casi el 50% de las empresas pagaron un rescate para recuperar sus datos. Otro propuesta Busca mejorar los estándares de resiliencia de las empresas del Reino Unido.

En última instancia, la mayoría de las partes interesadas parecen apoyar los requisitos de información, pero la cuestión de si se debe pagar se volverá más compleja con un mandato legal. Ahora es el momento de que las organizaciones fortalezcan su resiliencia y decidan si pueden sobrevivir sin comprar su salida de la ciberdelincuencia.

Daniel Raywood

Dan Raywood ha escrito sobre seguridad de TI desde 2008 y fue analista en la práctica de seguridad de la información en 451 Research. Ha hablado en programas como 44CON, SecuriTay, SteelCon, Irisscon e Infosecurity Europe, además de escribir para varios blogs de proveedores y realizar presentaciones en webcasts.

Lea más de Dan Raywood

La seguridad cibernética 30 Septiembre 2025

¿La violación de GROK generará grandes preocupaciones de seguridad?

¿La violación de Grok creará preocupaciones de seguridad para GenAI?

Un incidente reciente ha suscitado inquietud sobre el manejo de datos por parte de las herramientas GenAI. ¿Es hora de garantizar que sus datos no terminen en sus archivos?

Daniel Raywood

La seguridad cibernética 29 de mayo de 2025

El marco de ciberseguridad y privacidad del NIST se renueva

Ciberseguridad y privacidad: el marco del NIST se renueva

El NIST anunció recientemente planes para actualizar su marco de privacidad y convertirlo en una oferta más orgánica y menos estática. ¿Beneficia esto a la práctica...?

Daniel Raywood

La seguridad cibernética 21 de enero de 2025

Vulnerabilidades de día cero: ¿cómo prepararse para lo inesperado?

Las advertencias de las agencias globales de ciberseguridad mostraron cómo las vulnerabilidades a menudo se explotan como ataques de día cero. Ante una situación tan impredecible...

Daniel Raywood