La senadora estadounidense y ex candidata presidencial demócrata Elizabeth Warren, junto con las congresistas de Carolina del Norte Deborah Ross, han presentado un nuevo proyecto de ley que, si se promulga, requeriría que las víctimas estadounidenses divulguen públicamente información sobre incidentes de ransomware.
La Ley de divulgación de rescate bicameral supuestamente proporcionará al Departamento de Seguridad Nacional (DHS) datos sobre pagos de ransomware con la intención de mejorar la comprensión de cómo operan los grupos delictivos cibernéticos y ofrecer una imagen más completa del alcance del problema del ransomware.
“Los ataques de ransomware se están disparando, pero carecemos de datos críticos para perseguir a los ciberdelincuentes”, dijo Warren. “Mi proyecto de ley con la congresista Ross establecería requisitos de divulgación cuando se paguen los rescates y nos permitiría saber cuánto dinero están extrayendo los ciberdelincuentes de las entidades estadounidenses para financiar empresas delictivas, y nos ayudaría a perseguirlos”.
En esencia, la ley exige que las organizaciones que deciden pagar un rescate, no las personas privadas, divulguen información sobre los pagos del rescate dentro de las 48 horas posteriores a la realización del pago y a más tardar. Esto incluiría cuánto pagaron, qué moneda se utilizó y cualquier información conocida sobre sus atacantes.
La legislación también requerirá que el DHS establezca un servicio de informes, publique la información divulgada anualmente, redacte las identidades de las víctimas y realice un estudio sobre las similitudes entre los ataques de ransomware y la medida en que las criptomonedas los facilitan, en para ofrecer recomendaciones para una mejor protección.
“Los ataques de ransomware se están volviendo más comunes cada año, amenazando nuestra seguridad nacional, economía e infraestructura crítica, pero desafortunadamente, debido a que las víctimas no están obligadas a reportar ataques o pagos a las autoridades federales, carecemos de los datos críticos necesarios para comprender estas empresas criminales cibernéticas y contrarrestar estas intrusiones ”, dijo Ross.
“Me enorgullece presentar esta legislación con el senador Warren, que implementará importantes requisitos de presentación de informes, incluida la cantidad de rescate exigido y pagado, y el tipo de moneda utilizada. Estados Unidos no puede seguir luchando contra los ataques de ransomware con una mano atada a la espalda. Los datos que proporciona esta legislación garantizarán que tanto el gobierno federal como el sector privado estén equipados para combatir las amenazas que los ciberdelincuentes representan para nuestra nación ”.
Callum Roman, jefe de inteligencia de amenazas de F-Secure, comentó: “Los gobiernos saben que el ransomware es un problema, pero no está claro en qué medida es un problema. La notificación obligatoria de los pagos de ransomware podría ayudar a arrojar luz sobre la verdadera escala del problema y no solo la punta del iceberg que vemos en los medios.
“La legislación puede tener problemas al informar sobre la base de cómo y dónde las organizaciones deciden pagar el rescate. Si organizan el pago a través de un intermediario, ¿tendrán que informar? Si pagan el rescate de una empresa de su cartera que no está bajo la jurisdicción de los EE. UU., ¿Tendrán que declarar? Siempre habrá formas de sortear este tipo de legislación, pero si se construye bien, puede tener un impacto positivo en informar al gobierno del alcance real del problema “.
Roman agregó que la propuesta para investigar los vínculos entre el ransomware y los ecosistemas de criptomonedas fue particularmente digna de mención, y sugirió que podría conducir a una mayor legislación y un enfoque regulatorio sobre las criptomonedas más adelante.