Senadores del estado de Nueva York han propuesto dos proyectos de ley que implicarían que los organismos gubernamentales les anuncien a los atacantes de ransomware que no van a conseguir ni un dólar.
El primer proyecto de ley, el S7246, ha sido propuesto por el senador Phil Boyle el 14 de enero. El proyecto de ley mantendría las manos del gobierno fuera de los bolsillos de los contribuyentes, restringiendo el uso del dinero público cuando se trata de ciudades o pueblos pequeños -con poblaciones de menos de 1 millón de habitantes- para pagar a los ciberdelincuentes.
Si se aprueba, también crearía un fondo de 5 millones de dólares para ayudar a revisar las infraestructuras de TI de estas pequeñas ciudades.
Del proyecto de ley, actualmente en discusión en la comisión:
El Fondo para la Mejora de la Ciberseguridad que ofrecerá subvenciones y asistencia financiera a pueblos, ciudades y aldeas con una población de un millón de habitantes o menos con el fin de mejorar la seguridad de su gobierno local.
El segundo proyecto de ley, S7289, fue presentado por el Senador David Carlucci dos días después, el 16 de enero. Prohíbe a las agencias gubernamentales pagar rescates en caso de un ciberataque contra sus infraestructuras críticas.
El S7289 también está siendo discutido en la comisión, y no está claro qué proyecto de ley llegará a ser votado en el senado estatal.
El primer estado que une a los alcaldes para no pagar
Hemos visto a alcaldes de ciudades de EEUU decidir no pagar rescates para recuperar sus sistemas de los atacantes, pero Nueva York es el primer estado que ha hecho un movimiento en esa dirección – y respaldarlo con legislación real (aunque sólo una propuesta, por ahora).
En junio de 2019, la Conferencia de Alcaldes de EEUU aprobó una resolución no vinculante para negarse al pago del ransomware. Ese grupo está formado por alcaldes de 1.407 ciudades de EEUU con una población de 30.000 habitantes. En su resolución, los alcaldes citaron al menos 170 sistemas de gobierno de condados, ciudades o estados que han sufrido un ataque con rescate desde 2013, 22 de los cuales ocurrieron sólo en 2019, incluyendo las ciudades de Baltimore (fue al menos su segundo ataque con rescate, ya que también fue atacado un año antes); Albany, Nueva York; y los condados de Fisher, Texas y Genesee, Michigan.
Los ataques de ransomware contra los gobiernos estatales y locales, aunque están en aumento, no se hacen públicos, en gran parte porque no hay ninguna ley que obligue a los gobiernos a ser transparentes en este tema.
El texto del S7289 se refería a uno de esos ataques que ocurrió en Albany el mes pasado: el día de Navidad del mes pasado, el Aeropuerto Internacional de Albany fue atacado, paralizando el aeropuerto. Los atacantes exigieron un rescate a cambio de la devolución de los datos y la restauración de los sistemas del aeropuerto. Desesperado, el aeropuerto cumplió, pagando una cantidad no revelada que era inferior a seis cifras.
No queremos seguir haciendo esto, dice la proposición de ley. No queremos seguir recompensando a estos ladrones por estos ataques. En el texto del proyecto de ley:
Cuando las corporaciones municipales y agencias gubernamentales cumplen con estos rescates, incentivan a los ciberdelincuentes que buscan hacer dinero rápido. Prohibir que estas entidades cumplan con las solicitudes de rescate eliminará este incentivo y salvaguardará los dólares de los contribuyentes.
¿Rechazar el pago acabará con el problema?
Probablemente no, al menos inicialmente. Bill Siegel, CEO y cofundador de Coveware, una empresa de seguridad que ayuda en la recuperación de ransomware y a veces negocia pagos en nombre de las víctimas, dijo a ZDNet que los atacantes pueden estar tentados a probar la resolución de los legisladores:
No creo que los ataques a las organizaciones municipales con sede en Nueva York se estanquen a corto plazo, incluso pueden aumentar, ya que los distribuidores de ransomware pueden intentar probar la determinación de estas organizaciones.
Es más, si se aprueba uno de los proyectos de ley, bien podría haber un daño grave y una responsabilidad potencial para las agencias estatales, dijo:
Si un estado aprobara una ley que hiciera ilegal el pago de rescates, entonces se deberían considerar dos grandes temas. 1) ¿Qué pasa si un hospital municipal con sede en Nueva York es atacado, y durante el tiempo de inactividad causa la pérdida de vidas que podría haberse evitado si se les permitiera pagar? 2) ¿Las organizaciones municipales del estado cuentan con el personal y el presupuesto adecuados con planes [de recuperación de desastres], sistemas de respaldo y programas de seguridad para repeler y recuperarse eficazmente de un ataque sin crear una interrupción material de las operaciones cívicas?
No ha habido ninguna muerte atribuida a los ataques de rescate en los centros de salud, o prisiones, o en los despachos de los servicios de emergencia, o en las escuelas – todavía. Eso podría atribuirse a la simple suerte, dados los estragos que han causado tales ataques, incluyendo el hecho de que los pacientes de emergencia tengan que ser redirigidos a otros hospitales, que los registros médicos se vuelvan inaccesibles o se pierdan permanentemente, que se cancelen cirugías, que se pospongan pruebas médicas, que se interrumpan los servicios de llamadas de emergencia, que la policía pierda el acceso a los historiales criminales o a las órdenes de arresto, que las puertas de las cárceles no se puedan abrir de forma remota y que las escuelas pierdan el acceso a los datos sobre los medicamentos de los estudiantes o las alergias.
Una subvención de 5 millones de dólares para reforzar la ciberseguridad de los gobiernos locales sería un paso en la dirección correcta, pero es probable que sea sólo una gota en el vaso cuando se trata de fortalecer adecuadamente las defensas.
Después de todo, hay un largo, largo camino por recorrer. Un ejemplo: en octubre de 2019, una auditoría de la tan atacada ciudad de Baltimore concluyó que su almacenamiento de datos era “alucinantemente malo“, ya que muchos empleados del departamento de TI de la ciudad almacenaban archivos en los discos duros de sus ordenadores, en lugar de mantener una copia de seguridad adecuada de los datos, almacenados en la nube o fuera de ella.
Mantener los datos debidamente respaldados es uno de los requisitos clave cuando se trata de protegerse contra el software de rescate. A continuación, ofrecemos otros consejos:
Cómo protegerse del ramsonware
- Elegir contraseñas fuertes. Y no reutilices las contraseñas, nunca.
- Hacer copias de seguridad regularmente. Podrían ser la última línea de defensa contra una demanda de rescate de seis cifras. Asegúrate de mantenerlas fuera del sitio donde los atacantes no puedan encontrarlas.
- Parchear temprano, parchear a menudo. El ransomware como WannaCry y NotPetya se basaba en vulnerabilidades sin parches para propagarse por todo el mundo.
- Bloquear RDP. Las bandas criminales explotan las débiles credenciales de RDP para lanzar ataques ransomware dirigidos. Desactiva el RDP si no lo necesitas y utiliza la limitación intentos, 2FA o una VPN si lo usas.
- Utilizar protección anti-ransomware. Proteger sus equipos con protección next-gen. Sophos Intercept X, eleve al máximo su protección para evitar ataques de ransomware
Los particulares pueden protegerse con Sophos Home.