Junto a la medida, el gobierno británico busca que las víctimas de extorsión notifiquen a las autoridades antes de pagar un rescate y la obligatoriedad de reportar ciberataques. Aunque la iniciativa busca disuadir las operaciones cibercriminales, expertos advierten sobre efectos contraproducentes.
El Reino Unido tomó la decisión de avanzar en una medida para prohibir que organismos del sector público y operadores de infraestructura crítica paguen rescates en casos de ataques de ransomware. La medida, impulsada por el Ministerio del Interior tras una consulta pública iniciada en enero de 2025, busca debilitar el modelo de negocio de los grupos criminales detrás de este tipo de amenazas.
La propuesta forma parte del llamado “Plan para el Cambio” y fue respaldada por el tres cuartas partes de los participantes en la consulta. De ser aprobada, aplicaría a entidades como consejos locales, escuelas, y al Servicio Nacional de Salud (NHS), entre otras organizaciones.
Para el ministro de Seguridad, Dan Jarvis, el “ransomware es un crimen depredador que pone en riesgo al público, destruye medios de vida y amenaza servicios esenciales. Por eso estamos decididos a aplastar el modelo de negocio de los ciberdelincuentes”.
Pero la estrategia no se limita al veto del pago de extorsiones, también contempla la creación de un régimen obligatorio de notificación de incidentes y la exigencia de que cualquier organización fuera del alcance de la prohibición que desee pagar un rescate informe primero al gobierno, que evaluará el riesgo de transferencias a grupos sancionados, muchos de los cuales están vinculados a Rusia.
El gobierno espera que este sistema no solo desaliente pagos ilegales, sino que también proporcione información clave para investigaciones policiales y operaciones internacionales. No obstante, la iniciativa ha despertado escepticismo entre expertos del ámbito de la ciberseguridad.
Jamie MacColl, investigador senior en el Royal United Services Institute (RUSI), comentó al medio de ciberseguridad The record, que el “ransomware es un delito en gran parte oportunista, y la mayoría de los atacantes no diferencian entre sectores públicos o privados ni analizan en detalle la legislación británica”. Para él, la medida podría complicar la recuperación de servicios esenciales sin reducir realmente el riesgo de ser atacados.
La falta de recursos en los organismos encargados de hacer cumplir la ley es otro punto crítico. Aunque el año pasado la Agencia Nacional del Crimen del Reino Unido (NCA) lideró una exitosa operación contra el grupo LockBit, su director general, Graeme Biggar, reconoció que “si tuviéramos más recursos, podríamos hacer más”, pero hasta ahora, el gobierno no ha realizado anuncios sobre aumentos en la presupuesto del organismo.
Además, algunos especialistas temen que las nuevas reglas incentiven el ocultamiento de incidentes o el uso de intermediarios para eludir la prohibición. Esa es la posición de Kev Breen, director de inteligencia en Immersive Labs, quien fue consultada por el medio Infosecurity Magazine, y señaló que “la tentación de pagar y no reportar puede crecer si las organizaciones consideran que es la única forma de recuperar sus operaciones”.
Por último, existe preocupación sobre la falta de alineación entre esta propuesta y otras legislaciones como el Cyber Security and Resilience Bill (CSRB), que también busca fortalecer la resiliencia cibernética del Reino Unido. “Podríamos terminar con un sistema descoordinado, donde algunos sectores críticos estén protegidos y otros expuestos”, advirtió el investigador Jamie MacColl.