Qué significa para las organizaciones la prohibición de pagos mediante ransomware en el Reino Unido

Por Nicholas Fearn • 27 de febrero de 2025

El gobierno del Reino Unido espera hacer frente al aumento de los ataques de ransomware prohibiendo lo que afirma ser su principal facilitador: los pagos de rescates. La prohibición propuesta, descrita por los funcionarios como un "nuevo régimen de prevención de pagos de ransomware", impediría que las organizaciones del sector público, como las autoridades locales y los proveedores de infraestructura nacional crítica (CNI) en áreas como la energía, el agua y la atención sanitaria paguen rescates después de ser víctimas de un ataque de ransomware.

Estas propuestas, que actualmente se encuentran en fase de consulta, también obligarían a las empresas privadas a informar a las autoridades de su intención de pagar a los piratas informáticos en caso de un ataque de ransomware. Y si los autores del ataque de ransomware representan a un país extranjero o a un grupo incluido en la lista de sanciones del Reino Unido, el gobierno podría intervenir y detener los pagos. Mientras tanto, las organizaciones del sector público y privado tendrían que revelar los incidentes de ransomware a las autoridades, independientemente de si planean pagar rescates.

Sin embargo, las reacciones a estas propuestas han sido diversas. Algunos expertos sostienen que una prohibición de los pagos por ransomware podría ser una buena idea, ya que obligaría a las organizaciones a tomar en serio la ciberseguridad. Sin embargo, algunos se preguntan si una prohibición realmente disuadiría a los ciberdelincuentes de lanzar ataques cibernéticos y creen que las organizaciones del sector público podrían verse en situaciones precarias sin tener la opción de pagar a los piratas informáticos. De cualquier manera, contar con medidas para mitigar, contener y recuperarse de los ataques de ransomware es una necesidad absoluta para todas las organizaciones.

Obligados a tomar en serio la ciberseguridad

Si el gobierno del Reino Unido sigue adelante con su propuesta de prohibición de pagos mediante ransomware, supondría un cambio significativo en su anterior estrategia de no intervención frente al riesgo cibernético. Sean Tilley, director de ventas sénior de EMEA en la plataforma en la nube 11:11 Systems, lo describe como un “cambio significativo” en la política de ciberseguridad del gobierno que promete reducir la cantidad de ataques de ransomware dirigidos a organizaciones del sector público al disminuir las recompensas financieras para los piratas informáticos.

Sin embargo, para que esa prohibición sea efectiva, Tilley afirma que los organismos del sector público y los operadores de CNI tendrían que llevar a cabo una “reevaluación proactiva” de sus estrategias de ciberseguridad. Sin la opción de pagar a los piratas informáticos para recuperar datos robados o bloqueados, explica que las organizaciones tendrían que implementar fuertes medidas defensivas y planes de recuperación. Y añade: “Este cambio subraya la importancia de invertir en marcos integrales de ciberseguridad para salvaguardar las operaciones críticas”.

Jake Moore, asesor global de ciberseguridad del fabricante de antivirus ESET, coincide en que la prohibición de pagos por ransomware sería un gran cambio para las organizaciones afectadas. Afirma que obligaría a las organizaciones a reforzar sus ciberdefensas con nuevos enfoques que les permitan recuperarse de los ataques de ransomware sin tener que ceder a los rescates de los piratas informáticos.

Al igual que Tilley, Moore afirma que las organizaciones deberían centrar su atención en medidas de ciberseguridad sólidas, copias de seguridad y planes de respuesta a incidentes bajo estas nuevas reglas. Pero dada la rápida velocidad a la que evoluciona el panorama de amenazas en línea, le preocupa que las organizaciones aún puedan ser víctimas de ataques de malware con exigencias de rescate a pesar de las nuevas y mejoradas medidas de mitigación. En consecuencia, cree que las fugas de datos "seguirán siendo un problema".

La prohibición puede fracasar

Si bien parece razonable que prohibir los pagos de ransomware desalentaría a los piratas informáticos de realizar ataques y obligaría a las organizaciones a encontrar otras formas de mitigarlos, algunos expertos dudan de que pueda funcionar en la práctica.

Dan Kitchen, director ejecutivo del proveedor de servicios gestionados de TI Razorblue, plantea dudas sobre el elemento de notificación obligatoria de la prohibición propuesta de pagos por ransomware. En particular, le preocupa que la divulgación pública de ataques de ransomware y el daño a la reputación que esto podría causar puedan dar lugar a que algunas organizaciones encubran incidentes. Teme que esto haría que la prohibición perdiera su eficacia.

En lugar de prohibir los pagos de ransomware, Kitchen sugiere que las iniciativas respaldadas por el gobierno, como el programa de certificación Cyber Essentials, son un enfoque más práctico para abordar los ataques de ransomware. Kitchen explica que este tipo de programas ofrecen a las organizaciones la “base ideal” para mejorar su ciberseguridad. Sin embargo, anima a las empresas a ir un paso más allá creando planes integrales de respuesta a incidentes en colaboración con el gobierno y sus pares de la industria, lo que “mejoraría la respuesta nacional general a los delitos cibernéticos”.

Crystal Morin, estratega de ciberseguridad de la empresa de software de seguridad informática Sysdig, también prevé grandes problemas si el gobierno implementa su propuesta de prohibición de pagos de ransomware. Sugiere que si las organizaciones de servicios e infraestructuras críticas, como los proveedores de atención médica, sufren un ataque de ransomware y no pueden volver a poner en funcionamiento sus sistemas rápidamente pagando un rescate, podrían correr peligro vidas.

“En la práctica, la responsabilidad de decidir si pagar o no a causa del ransomware debería recaer en la organización afectada”, afirma. “Sólo las empresas afectadas tienen la suficiente información para sopesar los posibles riesgos e impactos de pagar o no pagar”.

Morin insta al gobierno a considerar planes de contingencia antes de prohibir los pagos de ransomware en el sector público. En concreto, las organizaciones del sector público necesitarían recursos para mejorar su resiliencia frente a las infracciones cibernéticas y garantizar que sus planes de respaldo sean eficaces.

Ella cree que también sería necesario un apoyo adicional para los proveedores de servicios e infraestructuras críticos que tienen mucho que perder si no pagan los rescates después de sufrir un ataque de ransomware. Al describir esto como un "centro de enfoque excelente", dice que garantizaría que las organizaciones estén "mejor preparadas" para responder y recuperarse de los ataques de ransomware.

Y añade: “En general, las prohibiciones solo animarán a los atacantes a cambiar de táctica y a volverse más encubiertos en sus operaciones, solicitudes y transacciones. Es una línea de trabajo lucrativa que no desaparecerá en el corto plazo”.

Mitigar los ataques de ransomware

Incluso si se prohibiera el pago de ransomware en el Reino Unido, existen innumerables prácticas recomendadas que pueden ayudar a las organizaciones a mitigar los ataques de ransomware. Morin recomienda que las organizaciones inviertan en medidas sólidas de detección y respuesta ante amenazas, realicen copias de seguridad periódicas de sus datos y segmenten sus entornos de nube para contener posibles infracciones. Estas medidas “reforzarán su infraestructura y facilitarán la recuperación en caso de que se nieguen a pagar”.

Según Tilley de 11:11 Systems, las arquitecturas de confianza cero también podrían ayudar a prevenir ataques de ransomware al garantizar que los usuarios solo tengan los privilegios de acceso necesarios para hacer su trabajo. Pero al optar por esta vía, es importante evaluar y cambiar los privilegios de acceso con regularidad.

Dado que los ataques de ransomware suelen producirse debido a errores humanos, como hacer clic en un enlace malicioso en un correo electrónico o configurar una contraseña poco segura, también es importante educar a los empleados sobre los riesgos de la ciberseguridad. Tilley afirma que los programas de concienciación sobre ciberseguridad deberían incluir información sobre phishing, ingeniería social y otras amenazas comunes en línea.

Además de atacar a usuarios poco cualificados para difundir ataques de ransomware, los piratas informáticos también pueden utilizar software obsoleto como punto de entrada. Por ello, las organizaciones no pueden permitirse el lujo de ignorar la importancia de la gestión de parches. Según Tilley, el aumento de los ataques de ransomware significa que las organizaciones necesitan "un proceso riguroso para aplicar parches y actualizaciones de seguridad a todos los sistemas y software con rapidez".

Dado que el panorama de amenazas en línea está evolucionando rápidamente, Tilley dice que las organizaciones deben mejorar continuamente sus procesos de gestión de incidentes mediante la realización de "simulacros periódicos y revisiones posteriores a los incidentes". Agrega: "Un plan de respuesta a incidentes bien estructurado permite a las organizaciones identificar, contener y remediar rápidamente los incidentes de seguridad, minimizando

interrupción operativa”.

Pero crear un plan de este tipo no tiene por qué ser difícil. Tilley afirma que los marcos profesionales de la industria, como la norma ISO 27001, proporcionan muchas de las mejores prácticas necesarias para mitigar el ransomware y otras amenazas cibernéticas. Es más, adherirse a estas mejores prácticas demostrará que una organización está comprometida con la ciberseguridad y la ayudará a fomentar una "cultura continua de mejora de la seguridad", añade.

Según Moore, de ESET, la prohibición de los pagos por ransomware aumentará la importancia de los procesos de notificación de incidentes optimizados. Afirma que las organizaciones deberían prepararse para esta inevitabilidad adoptando herramientas automatizadas para el seguimiento de incidentes y siguiendo de cerca normativas como GDPR y NIS2. Y añade: “Las auditorías de cumplimiento competentes y los canales de comunicación claros también ayudan a lograr una mayor claridad, lo que es esencial para comprender un ataque y avanzar”.

En general, la prohibición de los pagos de ransomware puede parecer una buena idea, ya que disuadiría a los delincuentes de realizar ataques de ransomware, ya que no tendrían nada que ganar con ellos. Pero las cosas son mucho más matizadas. La realidad es que, incluso si se prohibieran los pagos de ransomware, los piratas informáticos simplemente centrarían sus esfuerzos en otros vectores de ataque o en sectores que no están cubiertos por la prohibición general. Sin poder pagar a los ciberdelincuentes que lanzan ataques de ransomware, el sector público y los operadores nacionales críticos podrían sufrir graves interrupciones en sus operaciones, lo que podría poner en riesgo la vida de las personas.

Un enfoque mejor podría ser que el gobierno brindara más apoyo y recursos para ayudar a las organizaciones a disuadir los ataques de ransomware, y que el pago de rescates fuera el último recurso, pero no completamente descartado. Sea como fuere, los ataques de ransomware siguen creciendo en escala y sofisticación, por lo que las organizaciones no pueden darse el lujo de ignorar este hecho y bajar la guardia.

Nicholas fearn

Nicholas Fearn es un periodista independiente de los valles de Gales. Ha escrito para los principales medios de comunicación como Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost e Insider, así como para publicaciones B2B como Computer Weekly, Computing y IT Pro. Cuando Nic no está escribiendo sobre los últimos dispositivos y tendencias tecnológicas, probablemente esté escuchando la discografía completa de Mariah Carey.

Qué significa para las organizaciones la prohibición de pagos mediante ransomware en el Reino Unido

Obligados a tomar en serio la ciberseguridad

La prohibición puede fracasar

Mitigar los ataques de ransomware

Nicholas fearn

Lea más de Nicholas Fearn

Cómo los incidentes cibernéticos de alto perfil demuestran el impacto real de las vulnerabilidades en la cadena de suministro en las empresas

Violación de datos de Qantas: Por qué la supervisión de los proveedores debe ser una prioridad de cumplimiento

¿Qué significa el aumento del gasto en defensa para el sector de la ciberseguridad?

Qué significa para las organizaciones la prohibición de pagos mediante ransomware en el Reino Unido

Obligados a tomar en serio la ciberseguridad

La prohibición puede fracasar

Mitigar los ataques de ransomware

Nicholas fearn

Artículos relacionados

Informe sobre el estado de la seguridad de la información: 11 estadísticas y tendencias clave para el sector financiero

IO nombrado líder de G2 Grid® en gobernanza, riesgo y cumplimiento para el invierno de 2025

Qué significa el proyecto de ley de ciberseguridad y resiliencia para las infraestructuras críticas

Lea más de Nicholas Fearn

Cómo los incidentes cibernéticos de alto perfil demuestran el impacto real de las vulnerabilidades en la cadena de suministro en las empresas

Violación de datos de Qantas: Por qué la supervisión de los proveedores debe ser una prioridad de cumplimiento

¿Qué significa el aumento del gasto en defensa para el sector de la ciberseguridad?