La Ley de Ciberseguridad, anunciada a finales de enero por el Ministerio de Transformación Digital y Función Pública, no conseguirá evitar que las empresas paguen por los rescates tras un ciberataque de ransomware, para recuperar el funcionamiento de sus sistemas y sus datos. Según los expertos consultados en materia de ciberseguridad, aunque nunca se recomienda pagar, y además no está bien visto, es difícil que la Ley acabe pudiendo frenar esta práctica e imponiendo multas, como sí ocurre con la Agencia Española de Protección de Datos (AEPD).
El ministro José Luis Escrivá anunció a finales de enero la redacción de una nueva Ley de ciberseguridad con la que se busca, entre otras cosas, mejorar la preparación del país para afrontar y responder a ciberataques, y reducir su posible incidencia en la economía nacional. Desde el ministerio indican que no saben si la Ley, todavía en proceso de redacción, va a recoger aspectos punitivos sobre el pago de los rescates por el ransomware o no, y no confirman si esa es la intención inicial de la norma.
Desde el ministerio indican que no saben si la Ley, todavía en proceso de redacción, va a recoger aspectos punitivos sobre el pago de los rescates por el ransomware o no
Según apunta Gartner, el gasto mundial de los usuarios finales en seguridad y gestión de riesgos ascenderá a 215.000 millones de dólares en 2024, lo que supone un aumento del 14,3% respecto a 2023. La continua adopción de la nube, la consolidación del modelo de trabajo híbrido y la rápida aparición y adopción de la IA generativa han obligado a los líderes de seguridad a mejorar su presupuesto en seguridad y gestión de riesgos. Por otro lado, Gartner prevé que el gasto en privacidad de datos y seguridad en la nube registre las mayores tasas de crecimiento durante los próximos doce meses, con un aumento interanual de cada segmento superior al 24%.
El problemas es grave porque los ciberdelincuentes consiguieron robar en todo el mundo más de mil millones de euros a lo largo de 2023, y alcanzaron un récord histórico de ingresos por el ransomware. Para el director del Máster Universitario Online en Ciberseguridad de la Universidad Alfonso X el Sabio, Juan Manuel Matalobos, el anuncio de una nueva ley de ciberseguridad realizado por el ministro para la Transformación Digital y Función Pública, «se produce en un momento clave del desarrollo de la economía digital y de las regulaciones en ciberseguridad.
ESCRIVÁ APORTA OTRA REGULACIÓN MÁS
Para Matalobos, según la sociedad y la economía avanzan hacia la digitalización, la ciberdelincuencia también encuentra mayores oportunidades para desarrollar sus actividades. «Esto hace que la lucha contra el cibercrimen haya pasado progresivamente de ser un problema reducido al ámbito puramente tecnológico, a estar en la agenda de la dirección de las empresas y, finalmente, a afectar a la sociedad en su conjunto y estar en la agenda de los reguladores».
La actividad regulatoria en materia de ciberseguridad en Europa está en plena ebullición. La Directiva NIS2 (Seguridad de las Redes y Sistemas de Información, en sus siglas en inglés) se publicó en diciembre de 2022 para sustituir a la Directiva NIS, «que no tuvo el efecto deseado de incrementar el nivel de ciberseguridad a nivel europeo, y debe transponerse al ordenamiento jurídico español antes del 17 de octubre de 2024», explica Matalobos.
importante que la regulación sea suficientemente estricta para que tenga un efecto real en su aplicación, pero suficientemente flexible para que no limite el desarrollo
El 13 de diciembre de 2023 se publicó el Reglamento 2023/2841, «que tiene como objetivo garantizar un elevado nivel común de ciberseguridad en las instituciones, los órganos y los organismos de la UE. Y a nivel sectorial, la directiva DORA (Ley de Resiliencia Operativa Digital, en sus siglas en inglés), de aplicación específica al sector financiero, se publicó el 14 de diciembre de 2022 y entrará en vigor el 17 de enero de 2025».
La elaboración de toda esta regulación implica multitud de retos para los reguladores, según explica el profesor universitario. «Por un lado, es importante conjugar los intereses de los distintos grupos de interés, que no siempre están alineados. Para eso es muy importante la participación de expertos que aporten un conocimiento profundo de los diferentes posicionamientos y su justificación».
Por otro lado, debido al rápido progreso asociado al mundo digital, es importante que la regulación sea suficientemente estricta para que tenga un efecto real en su aplicación, pero suficientemente flexible para que no limite el desarrollo y mantenga su vigencia y utilidad con los nuevos desarrollos que están por venir. Por otro lado, está el reto de la armonización en distintos países. Siendo Internet un entorno sin fronteras, la regulación puede llegar a generar distorsiones en la competitividad, lastrando el progreso de organizaciones que se puedan encontrar con restricciones superiores a las de su competencia.
A ninguno de los expertos consultados le parece mal que haya regulación, pero todos coinciden en que frenar los efectos más nocivos de ransomware, como el el pago de los rescates, una vez que una empresa o institución se ha visto atacada, va a ser muy complicado de regular y de aplicar. El experto Román Ramírez, fundador del prestigioso congreso de ciberseguridad RootedCON, no le ve recorrido a la futura Ley en este sentido, porque no parece recoger aspectos como la manera en la que se minimizará su aplicación en el impacto en la economía, y se pregunta si las autoridades «van a realizar controles de seguridad por ley que van a tener que implantarse las empresas».
frenar los efectos más nocivos de ransomware, como el el pago de los rescates, una vez que una empresa o institución se ha visto atacada, va a ser muy complicado de regular y de aplicar.
Tanto Rodríguez como David Soto, de ERNI, no creen que es muy difícil sancionar a las ‘víctimas’ y que por esa razón el Gobierno no incluirá en la norma española algún artículo que pretenda prohibir o penalizar el pago de rescates, porque no va a tener recorrido, ni posibilidades reales de control, «salvo que la intención sea poner sanciones a las empresas», buscando otros motivos que no sean los difícilmente demostrables pagos por rescates. Pese a que los profesionales del sector de la ciberseguridad en España son favorables a las regulaciones para prevenir los ciberataques, entienden que esta regulación tiene difícil implantar, por ejemplo, multas por pagos que nunca se hacen con luz y taquígrafos.
Aunque luchar contra el ransomware y los pagos de los rescates de sistemas y de datos fue una de las razones por la que se reunieron y se pusieron de acuerdo en una reunión de 46 Estados a primeros del pasado mes de noviembre, propuesta por USA y celebrada en Nueva York, leyes como la española que podrían intentar poner puertas a ese campo «no tienen recorrido porque, básicamente, nadie ha sido capaz de evitar el pago de rescates en secuestros de personas, por ejemplo, es imposible que se logre en cuestiones más ‘virtuales'», explica a MERCA2 otro experto en GRC (gestión de Riesgo y Cumplimiento) que prefiere no identificarse.
Este profesional nos indica que, por el momento, el ransomware es delincuencia, pero no está calificado como terrorismo. «Si se le otorgara esa calidad, generaríamos otro gran problema, porque en ese caso se aplicarían muchas otras complicadas legislaciones».