Algunos países ya han creado reglamentos para que sus empresas nacionales tengan la obligación de informar sobre si han sufrido ataques de ransomware y si se han filtrados datos. Y Reino Unido podría estar en no mucho tiempo entre ellos.
El gobierno británico está barajando la creación de una política por la que las organizaciones del país deberán comunicar estos incidentes. Su propuesta será incluida en una consulta pública que se realizará en junio.
La consulta permitirá a las empresas, expertos en ciberseguridad y otras partes interesadas expresar sus opiniones y ofrecer feedback.
La administración considera que gran parte del problema del ransomware viene porque muchas víctimas mantienen los ataques en secreto. El Centro Nacional de Ciberseguridad (NCSC) y la Oficina del Comisionado de Información (ICO) ya han expresado su preocupación por esto en el pasado.
Según recoge The Record Media, la presentación de informes obligatorios requeriría que todas las víctimas, tanto empresas como individuos, notifique al gobierno estos incidentes.
Además, el plan incluirá una prohibición total del pago de rescates por parte de organizaciones que gestionan infraestructura nacional crítica.
El veto de 'pasar por caja' para estas compañías tiene como objetivo eliminar el incentivo para que los piratas informáticos interrumpan estos servicios críticos impidiéndoles monetizar los ataques.
No obstante, la prohibición absoluta no afectará a otras empresas. A este respecto Reino Unido incluirá en su política un régimen de licencias para el pago de rescates. El objetivo sería proporcionar un marco regulado para estos desembolsos económicos. De esta manera, se podría disuadir a las víctimas de tomar decisiones apresuradas y encontrar soluciones alternativas.
Sin embargo, hay críticos con estas medidas que están preocupados porque el proceso de solicitud obstaculice los esfuerzos de recuperación, agravando aun más los daños por un ataque.
Entre las figuras que no ven este plan con buenos ojos está la responsable de seguridad de Microsoft, Sarah Armstrong-Smith, quien está preocupada porque se ejercería más presión sobre las víctimas que sobre los perpetradores.
"¿Qué estamos haciendo para ayudar a las autoridades? ¿Qué estamos haciendo para realmente perseguir y desmantelar estos entramados? ¿Cómo podemos impedir que puedan cruzar jurisdicciones y realizar lavado de dinero? Necesitamos hacer más hincapié en ello y verlo de manera más integral en lugar de castigar a las víctimas", se preguntaba hace unas semanas, según informa la edición inglesa de Computing.
Aun queda camino por andar
En cualquier caso, las propuestas están en su primera etapas y aun deben someterse a consulta pública antes de convertirse en ley.
Una vez que finalmente se completa una consulta, el gobierno del país normalmente tarda hasta 12 semanas antes de publicar su respuesta y luego exponer sus planes para modificar o introducir la nueva legislación que aborde el tema.
Sin embargo, los resultados de las elecciones generales de Reino Unido, previstas para finales de este año, podrían dejar esta inquietud frente a los ataques de ransomware y su ocultación en agua de borrajas.