¿Es viable para las empresas la prohibición del pago de rescates?
En algunos recientemente Contribuciones, Abandoné la idea de prohibir que las empresas paguen por ransomware. Esperaba que la idea fuera rechazada en la sección de comentarios, pero no vi ningún argumento convincente en contra de la propuesta. Sin embargo, para ser justos con mis comentaristas, la mayoría de sus argumentos son muy superiores a los ofrecidos en un artículo presentado recientemente. Artículo de Bloomberg:
Considere un ejemplo sencillo. Supongamos que una legislatura estatal, cansada de cuánta gente es robada en las calles, decide convertir en delito dar dinero a un atracador. La legislación bien podría reducir la oferta de robos, pero solo haciendo que las víctimas paguen el costo de este bien público: menos robos. Pero es perfectamente razonable darle mi billetera al atracador que me apunta con un arma a la cabeza. Castigarme para reducir el crimen es una forma de conducta especial para una nación libre.
¿Libertad? Con este argumento, la Ley de Prácticas Corruptas en el Extranjero interfiere con la «libertad» de las empresas para pagar sobornos a funcionarios extranjeros.
Sin embargo, el artículo de Bloomberg ofrece información útil:
[A]Después de que Colonial Pipeline entregó más de $ 4.4 millones en bitcoins a los piratas informáticos de DarkSide, la herramienta de descifrado que la compañía recibió a cambio resultó tan ineficaz que la compañía reconstruyó su red desde cero.
Entonces, Colonial Pipeline no solo afectó la economía de los EE. UU. Al alentar a otros delincuentes a extorsionar a otras empresas estadounidenses, sino que ni siquiera lograron su objetivo después de pagar el rescate. Le hubiéramos hecho un favor a Colonial Pipeline al prohibir los pagos de rescate. Este tampoco es un caso aislado:
Incluso para aquellos que pagan, las posibilidades de una recuperación completa de los datos son escasas. Un informe de Sophos de abril de 2021 sitúa la probabilidad de recuperar todos los datos en un 8%.
En cuanto a afirmar que mi idea es obviamente impracticable, dígale a la administración de Biden que:
En respuesta a la creciente amenaza, cada vez más observadores se sienten atraídos por la teoría de que la mejor manera de detener los ataques de ransomware es hacer que el pago del rescate sea ilegal. Los funcionarios del gobierno de Biden han sugerido que el término es legítimo.
Podemos acabar con el problema del pago del rescate de las corporaciones estadounidenses. ¿Entonces por qué no?