Los expertos rechazan acceder al chantaje e insisten en las medidas de prevención
El conocido como ransomware –o secuestro de información de una empresa a cambio de un rescate– es uno de los principales temores de los Comités de Dirección y los Consejos de Administración de las empresas durante 2020. La Agencia Española de Protección de Datos (AEPD), en su memoria de actividad ha calificado a este riesgo como una de las principales amenazas a los derechos de los ciudadanos, al poner en peligro la accesibilidad y confidencialidad de información personal que cus-todian las empresas.
“La ausencia de protección adecuada hace que la información financiera, contable y comercial de la empresa, pueda perderse para siempre. Pero puede evitarse realizando copias de seguridad periódicas”, destaca Francisco Pérez Bes, antiguo secretario general del Instituto Nacional de Ciberseguridad de España (Incibe) y actual socio de Derecho digital en Ecix Group, despacho especializado en la gestión de ciberataques.
Dos de las cuestiones que más debate han suscitado son las que se refieren a si las empresas deben pagar el rescate exigido por los cibercriminales, y si el pago de ese rescate puede cubrirse a través de una póliza de seguro. En cuanto a la primera cuestión, un reciente informe de la empresa Kaspersky muestra que casi 3 de cada 4 empresas que acceden a pagar el chantaje no recupera la información. En cuanto al perfil de víctimas, son los directivos más jóvenes (entre 35 y 44 años) los más proclives a pagar, mientras que los mayores de 55 años son los que menos.
Antes de tomar una decisión, el empresario extorsionado no debe olvidar que con el pago de este “rescate” se puede estar financiando un negocio ilegal de organizaciones criminales que, de un lado, se convierte en cada vez más rentable gracias a esa financiación y, por lo tanto, se sigue perpetuando; y, de otro lado, que el pago ni garantiza el descifrado de la información ni asegura que no vuelvan a atacar a la misma empresa, a la vista de su disposición a acceder a los chantajes, explica Pérez Bes.
El debate jurídico se centra en si la empresa que accede a pagar un ransomware puede ser acusada de cometer un delito, como el de co-laboración con banda u organización criminal o el de sufragar a organizaciones dedicadas al blanqueo de capitales y a la financiación del terrorismo. Esto podría derivar en una exigencia de responsabilidad -incluso penal- a los administradores de las empresas que acceden al pago. Ante la pregunta de si este tipo de incidentes de ransomware pueden cubrirse a través de una eventual póliza aseguradora, hasta la fecha la contratación de este tipo de pólizas ha venido siendo una solución recomendada, de cara a la gestión de los ciberriesgos a los que se enfrenta cualquier organización.
Fuente: eleconomista.es
Autor: Ignacio Faes