Desde ahora las organizaciones críticas y las que facturen sobre 3 millones de dólares australianos deberán informar a las autoridades dentro de un plazo de 72 horas si realizaron un pago de ransomware, imponiendo así el primer requisito legal en el mundo en la materia.
Australia se convirtió este viernes 30 de mayo en el primer país del mundo en exigir a las víctimas de ransomware que informen si realizaron pagos de extorsión en una negociación con cibercriminales. La nueva normativa busca aumentar la visibilidad estatal sobre esta amenaza y obtener datos concretos para enfrentarla con mayor eficacia.
Desde ahora, las empresas tendrán 72 horas para reportar cualquier pago a la Dirección Australiana de Señales (Australian Signals Directorate, ASD), o arriesgarse a sanciones civiles.
Este mandato legal, aprobado el viernes, solo aplica a organizaciones con una facturación anual superior a los 3 millones de dólares australianos (1,93 millones de dólares) y a algunas entidades estratégicas de infraestructura crítica. El umbral alcanza apenas al 6,5 % de las empresas registradas, las que representan cerca de la mitad del producto económico del país.
El Instituto Australiano de Criminología indicó que solo una de cada cinco víctimas reporta un ataque, lo que impide conocer el verdadero impacto económico y social del ransomware en el país. El gobierno espera que la obligación de reportar contribuya a transparentar estas cifras en el panorama general de ciberamenazas.
“Los mecanismos actuales de denuncia voluntaria están infrautilizados y, en consecuencia, los ataques de ransomware y extorsión cibernética siguen siendo significativamente subnotificados”, señaló el gobierno cuando propuso la ley originalmente.
Las autoridades anunciaron que, hasta comienzos del próximo año, adoptarán un enfoque más colaborativo con las víctimas, endureciendo posteriormente la regulación.
La medida australiana surge tras una serie de ciberataques de alto perfil, entre ellos los sufridos por Optus, Medibank y MediSecure, que elevaron el debate dentro del país sobre el estado de la ciberseguridad. En paralelo, el Reino Unido ha lanzado una consulta para evaluar una iniciativa similar, que incluye la prohibición de pagos de rescate por parte del sector público y entidades privadas críticas, así como la obligación de notificar antes de transferir fondos a los delincuentes.
“Los servicios esenciales de los que depende el país deben ser los objetivos menos atractivos para el delito de ransomware”, argumentó el gobierno británico. Según su propuesta, los pagos podrían ser bloqueados si se identifican como dirigidos a entidades sancionadas.
Cabe recordar que durante la tramitación de la actual ley marco de ciberseguridad de Chile, en la versión evacuada desde el Senado se consideraba la prohibición del pago de ransomware, algo que luego fue descartado en la discusión en la Comisión de Seguridad en la Cámara de Diputadas y Diputados.