La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los Estados Unidos ha emitido un aviso sobre los riesgos de sanciones a las personas que faciliten el pago de rescates por ransomware. Las sanciones podrían variar desde sanciones civiles y multas hasta cargos penales.
Durante la pandemia del COVID-19, la demanda de pagos de ransomware ha aumentado. Las empresas que facilitan los pagos de ransomware a los ciberdelincuentes, en nombre de las víctimas, incluídas instituciones financieras, empresas de seguros cibernéticos y empresas involucradas en análisis forense digital y respuesta a incidentes, no sólo fomentan futuras demandas de pago de ransomware sino también pueden correr el riesgo de violar las regulaciones de la OFAC.
La OFAC ha designado a numerosos actores cibernéticos maliciosos bajo su programa de sanciones relacionadas con el ciberespacio, incluidos los perpetradores de ataques de ransomware y los que facilitan las transacciones de ransomware. Por ejemplo en el caso de una variante del ransomware Cryptolocker, utilizada en 2013 para infectar más de 234,000 computadores, la mitad de ellas en los Estados Unidos, la OFAC designó al desarrollador de Cryptolocker, Evgeniy Mikhailovich Bogachev, en diciembre de 2016.
Facilitar un pago de ransomware que se exige como resultado de actividades cibernéticas maliciosas puede permitir que los criminales y adversarios con un nexo de sanciones se beneficien y promuevan sus objetivos ilícitos. Por ejemplo, los pagos de ransomware realizados a personas sancionadas o a jurisdicciones sancionadas podrían utilizarse para financiar actividades adversas a la seguridad nacional y objetivos de política exterior de los Estados Unidos. Los pagos de ransomware también pueden envalentonar a los actores para participar en futuros ataques. Además, pagar un rescate a los actores cibernéticos no garantizar que la víctima recuperará el acceso a sus datos robados.
La OFAC puede imponer sanciones civiles por infracciones de sanciones basadas en responsabilidad estricta, lo que significa que una persona sujeta a la jurisdicción de EE. UU. puede ser considerado civilmente responsable incluso si no sabía o tenía razones para saber que estaba participando en una transacción con una persona que está prohibida por las leyes y regulaciones de sanciones administradas por la OFAC.
La OFAC recomienda a las instituciones financieras y otras empresas a implementar un programa de cumplimiento basado en riesgos para mitigar la exposición a infracciones relacionadas con sanciones. Esto también se aplica a empresas que se relacionan con víctimas de ataques de ransomware, tales como las que proporcionan seguros cibernéticos, análisis forense digital y respuesta a incidentes, y servicios financieros que pueden implicar el procesamiento de pagos de rescate (incluidas las instituciones de depósito y las empresas de servicios monetarios).
La OFAC considerará como atenuante el informe completo y oportuno de la empresa a la policía, sobre un ataque de ransomware, así como la plena y oportuna cooperación con los oficiales de la ley.
Fuente: Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments (PDF).