La agencia de ciberseguridad y el organismo de control de la protección de datos del Reino Unido han pedido a los abogados que no animen a sus clientes a pagar las peticiones de los programas de rescate.
El Centro Nacional de Ciberseguridad (NCSC) y la Oficina del Comisionado de la Información (ICO) han manifestado su preocupación por el reciente aumento de los pagos por ransomware, en los que las víctimas de ciberataques pagan una cantidad con la esperanza de que se les devuelvan sus datos.
Las dos organizaciones han escrito al Colegio de Abogados para pedirle que recuerde a sus miembros su orientación oficial en materia de ciberseguridad, según la cual el pago de un rescate no mantendrá la seguridad de los datos ni será considerado por la ICO como una mitigación en la acción reguladora.
El NCSC y el ICO dicen que creen que en algunos casos los abogados pueden haber aconsejado a sus clientes que paguen un rescate en la creencia de que esto garantizaría la seguridad de los datos afectados o que podría conducir a una sanción menor por parte del regulador de datos, lo cual no es el caso.
Los organismos de control dijeron que no fomentan ni aprueban el pago de rescates porque pueden incentivar aún más a los delincuentes y no garantizan la devolución de los archivos.
El ransomware es un tipo de ciberataque que consiste en que los delincuentes acceden a los archivos de una organización o de un individuo y los cifran antes de exigir dinero a cambio de su devolución.
Lindy Cameron, directora ejecutiva del NCSC, declaró: “El ransomware sigue siendo la mayor amenaza en línea para el Reino Unido y no alentamos ni aprobamos el pago de peticiones de rescate a organizaciones criminales.
“Desgraciadamente, hemos visto un aumento reciente de los pagos a los delincuentes de ransomware y el sector legal tiene un papel vital que desempeñar para ayudar a invertir esa tendencia.
“La ciberseguridad es un esfuerzo colectivo e instamos al sector legal a trabajar con nosotros mientras continuamos nuestros esfuerzos para luchar contra el ransomware y mantener al Reino Unido seguro en línea.”
Las dos firmas dijeron que si una organización se ve afectada por un ciberataque debe informar de cualquier incidente en curso a Action Fraud y a la ICO y NCSC, según corresponda, con la aplicación de la ley entonces capaz de mitigar el impacto del ataque.
El Comisario de Información, John Edwards, dijo: “Comprometerse con los ciberdelincuentes y pagar rescates sólo incentiva a otros delincuentes y no garantizará que se liberen los archivos comprometidos”.
“Ciertamente, no reduce la escala o el tipo de acción coercitiva de la ICO o el riesgo para los individuos afectados por un ataque.
“Hemos visto cómo la ciberdelincuencia ha costado miles de millones a las empresas británicas en los últimos cinco años. La respuesta a esto debe ser la vigilancia, una buena higiene cibernética, incluyendo el mantenimiento de archivos de respaldo apropiados, y la formación adecuada del personal para identificar y detener los ataques. Las organizaciones obtendrán más crédito con estas medidas que pagando a los delincuentes.
“Quiero trabajar con la profesión jurídica y el NCSC para garantizar que las empresas entiendan cómo consideraremos los casos y cómo pueden tomar medidas prácticas para salvaguardarse de una manera que reconoceremos en nuestra respuesta si ocurre lo peor.”
Comments