Ataques de ransomware: ¿cómo reaccionar ante el chantaje?

¿Qué es el ransomware?

El ransomware es un ataque en el que un cibercriminal encripta los archivos de los equipos y dispositivos móviles de una entidad, impidiendo el acceso a la información, y solicita un rescate (ransom, en inglés) para que vuelva a ser accesible. Además, en los últimos años es frecuente que los cibercriminales también roben la información antes de encriptarla, pudiendo amenazar con publicar la información de la entidad atacada en internet si no se realiza el pago exigido.

¿Se aconseja pagar el rescate?

El Instituto Nacional de Ciberseguridad (INCIBE) desaconseja que se pague el rescate, ya que no existe garantía de recuperar la información de este modo y fomenta el lucro de los ciberdelincuentes, tal y como apuntan en este artículo.

Conclusiones sobre las consecuencias legales del pago del ransomware

Durante la jornada, organizada en Garrigues y a la que asistieron numerosos expertos en la materia, se alcanzaron algunas conclusiones dignas de reseñar:

• Según explicó Guillermo Christensen, abogado (socio de K&L Gates) y ex oficial de inteligencia y diplomático, durante la sesión, en Estados Unidos no hay leyes federales que prohíban el pago del rescate, aunque el gobierno federal lo desaconseja, si bien en el sector público algunos estados sí prohíben a entidades públicas pagar. No obstante, sí existen restricciones generales (no relacionadas con el ransomware) sobre a quién se puede hacer pagos: el gobierno americano prohíbe que cualquier persona trate con los “specially designated individuals” o SDN, por sus siglas en inglés, tal y como se recoge en el documento “Specially Designated Nationals And Blocked Persons List (SDN) Human Readable Lists”. 

Por lo tanto, aunque el pago del rescate no está prohibido, sí lo estaría si se hiciese a una de las entidades de la lista SDN. Con el fin de descartar que el pago se haga a uno de estos SDN, es habitual realizar averiguaciones a modo de due diligence siguiendo unos protocolos comúnmente aceptados que se basan en el análisis de indicadores de compromiso (IOCs) y herramientas de inteligencia de negocio. Con ello, la entidad atacada puede estar en disposición de acreditar que ha adoptado todas las medidas de diligencia necesarias antes de proceder al pago. Para más información sobre los pagos en los ataques ransomware en Estados Unidos, consulta esta presentación de K&L Gates

• En opinión del segundo de los ponentes invitados, Alfredo Arredondo, representante de la Policía Nacional experto en ciberdelincuencia, en España, habitualmente, no existen consecuencias penales para quien paga un rescate ransomware. España tiene una amplia jurisprudencia del Tribunal Supremo en este tipo de asuntos por ataques similares que analizaron nuestros órganos jurisdiccionales durante la lucha contra el terrorismo. Recientemente, en 2018, el Tribunal Supremo absolvió a dos personas que habían pagado el “impuesto revolucionario”, que sería el equivalente al pago del rescate en un ataque ransomware, basándose en la eximente completa de miedo insuperable. Sin perjuicio de ello, el artículo de nuestro ordenamiento análogo a la prohibición americana del pago a las entidades de la lista “SDN” es el 576 del Código Penal, que tipifica el favorecimiento de organizaciones terroristas a través del aporte de fondos monetarios.
• Aunque las consecuencias penales no son evidentes en España, sí lo son en mayor medida las consecuencias administrativas cuando el ataque conlleva una pérdida sobre el control de datos personales que haya que reportar a la Agencia Española de Protección de Datos. Además, el ataque también podría tener consecuencias bajo la Ley de Prevención del Blanqueo de Capitales, si la entidad se encuentra regulada por la misma. En cualquier caso, no existe en España una metodología comúnmente aceptada para evitar, excluir o minimizar el riesgo legal del pago del ransomware.
• También en palabras de los expertos invitados, los exchangesde criptomonedas que facilitan los pagos de los rescates incurren en riesgo de blanqueo de capitales. De hecho, los exchanges tendrían que dar cuenta de dichos pagos a la Financial Intelligence Unit (FIU), con el riesgo de incurrir en infracción administrativa grave y, posiblemente, en un delito de blanqueo de capitales, en caso contrario.

Buenas prácticas sobre las respuestas a los ataques ransomware

En la sesión también hubo ocasión de compartir buenas prácticas, entre las que destacamos las siguientes:

• Alejandro Padín apuntó que, aunque hoy en día no existe una respuesta jurídica clara para las entidades que son víctimas de un ataque ransomware, una buena práctica que puede dar seguridad a la entidad atacada es la de seguir unos protocolos de investigación -facilitados por empresas que ayudan a la defensa ante un ataque ransomware-, para poder documentar que se ha actuado de una forma diligente y descartar que se esté pagando a una entidad terrorista.
• Según Guillermo Christensen, es de vital importancia que, llegada la situación en la que se va a hacer un pago por un rescate, dicho pago se haga en coordinación con las fuerzas y cuerpos de seguridad del Estado.

Laboratorio Legal de Ciberseguridad

El Laboratorio Legal de Ciberseguridad es una iniciativa que se enmarca dentro de las actividades del Observatorio Legaltech & NewLaw Garrigues-ICADE, con la misión de fomentar la investigación y el debate relativo a cuestiones jurídicas relacionadas con la ciberseguridad. El contenido de los debates y de las sesiones no constituye asesoramiento legal y se pone a disposición del público general como una herramienta para el conocimiento y la transparencia. La participación en las actividades del Laboratorio Legal de Ciberseguridad es libre, gratuita y voluntaria e invitamos a cualquier persona interesada en formar parte de este proyecto a ponerse en contacto con nosotros a través del correo baguayo@comillas.edu con el fin de mantenerse informado de nuestras iniciativas.