Prohibir todos los pagos de ransomware, en Bitcoin o de otra forma

Todos sabemos que es ilegal secuestrar a alguien y pedir un rescate. Pero ¿debería ser también ilegal que la víctima pague el rescate?

A principios de este mes, el Departamento del Tesoro de EE. UU. hizo precisamente eso. Notificó al mundo que ciertos pagos de rescate son ilegales, en especial aquellos a operadores de ransomware sancionados. Si una víctima paga un rescate a una entidad sancionada, podría enfrentarse a una multa cuantiosa.

JP Koning, columnista de CoinDesk , trabajó como investigador de renta variable en una firma de corretaje canadiense y redactor financiero en un importante banco canadiense. Dirige el popular blog Moneyness.

Castigar a las víctimas de rescates parece cruel. Pero podría ser una de las mejores maneras de proteger al público de los extorsionadores. Y si quiere DENT considerablemente el creciente mercado del ransomware, el Departamento del Tesoro tendrá que ir mucho más allá de incluir a unas pocas entidades en su lista de sanciones.

El 1 de octubre, la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro de Estados Unidos...publicó un avisoRecordando a todos que varios operadores de ransomware han sido incluidos en la lista de entidades sancionadas de la OFAC, también conocida como suLista de Nacionales Especialmente Designados (SDN)La carta de la agencia aclara que si una víctima realiza un pago de rescate a un operador de ransomware sancionado por la OFAC, esa persona podría estar infringiendo la ley.

La ola de ransomware

El ransomware es un software malicioso que bloquea el acceso a un sistema informático cifrando los datos. Una vez bloqueados, el operador del ransomware exige a la víctima el pago de un rescate a cambio de una clave de descifrado.

El surgimiento deBitcoin, un activo digital no censurable, ha facilitado especialmente que los operadores de ransomware se beneficien de sus ataques. Las primeras variantes de ransomware de Bitcoin... consumidores habituales objetivoCon rescates de $300 o $400. En 2019, operadores como Sodinokibi, Netwalker y REvil comenzaron a atacar a corporaciones, gobiernos municipales, juntas escolares y hospitales.

Ver también:JP Koning -El problema del ransomware en Bitcoin no desaparecerá

Los rescates se han vuelto mucho mayores. Este verano, la Universidad de Utah...pagó $457,059 en Bitcoinpara una clave de descifrado. CWT, una compañía de viajes, pagó4,5 millones de dólaresA los operadores del ransomware Ragnar Locker en julio. La lista de víctimas crece cada hora.

El daño va más allá del pago del rescate. Muchas organizaciones se niegan valientemente a ceder a las exigencias del operador del ransomware. Reconstruir su red suele costar más que el pago del rescate. El sistema dañado probablemente permanecerá inactivo durante días, incluso semanas. El Gobierno de Nunavut, un territorio canadiense,no podía servir a los ciudadanosdurante casi un mes después de que se negó a pagar a los operadores del ransomware Dopplemayer.

Un problema de acción colectiva

La respuesta de la sociedad al ransomware es un ejemplo de un problema de acción colectiva. La ciudadanía estaría mejor si todos cooperaran y se negaran a pagar a los operadores de ransomware. Sin ingresos por rescates, el negocio del ransomware dejaría de ser rentable, los ataques cesarían y los daños colaterales se detendrían.

Desafortunadamente, la cooperación espontánea entre miles de corporaciones, gobiernos y organizaciones sin fines de lucro es difícil de lograr. Cualquier intento de boicot a los pagos de rescates debe basarse en llamados a la solidaridad. Pero las organizaciones se enfrentarán a la presión de los accionistas o ciudadanos para recuperarse lo antes posible, por lo que pagarán en secreto. Si el 10% o el 20% de las víctimas abandonan el boicot y pagan el rescate, la industria del ransomware será rentable y, por lo tanto, todos sufrirán mientras la plaga persiste.

Prohibir los pagos de ransomware puede no ser la opción perfecta para detener la creciente ola de ransomware, pero puede ser la mejor opción que tenemos.

Una forma de solucionar el problema de la acción colectiva es que el gobierno ayude a impulsar a la ciudadanía hacia la mejor solución. El gobierno puede lograrlo declarando ilegales los pagos de rescate y estableciendo sanciones para quienes infrinjan las normas. El castigo por infringir la ley sería una multa de 20 millones de dólares, o algo similar.

Ahora, cuando un operador de ransomware ataca, todas las víctimas cooperan por defecto. "No, no podemos pagarte. Si lo hacemos, tendremos que pagar una tarifa aún mayor al gobierno". Los pagos de rescate cesarán, los operadores de ransomware cesarán sus ataques y el daño terminará.

El mercado de sobornos como analogía

Utilizar al gobierno para encontrar la mejor solución a un problema de acción colectiva tiene precedentes. Otro tipo de pago turbio, el pago de sobornos, ofrece una analogía útil.

Si las empresas tienen que sobornar habitualmente a funcionarios de gobiernos extranjeros para obtener contratos, eso incrementa los costos de hacer negocios. El público estaría mejor si todos se negaran a pagar sobornos. Pero la cooperación es difícil.

Hasta las décadas de 1970 y 1980, los sobornos internacionales eran deducciones fiscales válidas en muchos países. Pero iniciativas como laLey de Prácticas Corruptas en el Extranjero de los Estados Unidos de 1977El FCAP ilegalizó el soborno a funcionarios de gobiernos extranjeros. Las multinacionales ahora pueden oponerse a las solicitudes de soborno citando el FCAP. Esto ayuda a impulsar a la sociedad a adoptar una solución sin sobornos.

La reciente aclaración del Departamento del Tesoro de EE. UU. sobre la ilegalidad de ciertos pagos de rescate es solo parcial. Prohíbe los pagos a unos pocos actores maliciosos, pero hay muchos operadores de ransomware que no aparecen en la lista SDN de la OFAC. Para ayudar a resolver el problema de la acción colectiva, la OFAC tendría que ser más proactiva en la designación de operadores de ransomware.

Ver también:El G7 advierte sobre la amenaza Cripto derivada de una oleada de ataques de ransomware

Sin embargo, averiguar los nombres e identidades de todos los productores y distribuidores de ransomware parece una tarea imposible. Sería mucho más fácil declarar una prohibición general de todos los pagos de ransomware, al igual que el FCAP prohíbe el soborno. Las prohibiciones de rescates T precedentes. En respuesta a una ola de secuestros perpetrados por el crimen organizado, Italia... pagos de rescate prohibidos En 1991, Colombia y Suiza también ilegalizaron el pago de rescates. El Grupo de los Siete mantiene una Regulación de larga data de negarse a pagar rescates por rehenes de grupos terroristas.

La crítica a la prohibición de sobornos o pagos de rescates es que aumenta la opacidad del mercado. Si es legal sobornar, quien lo paga puede denunciar a quien lo recibe. Esto limita el mercado de sobornos. Prohibir los sobornos incentiva a quien lo paga a cooperar con quien lo recibe para KEEP la Secret.

Es por esto que Kaushik Basu, ex economista jefe del Banco Mundial, ha...defendido durante mucho tiempopara legalizar el pago de sobornos.

En cuanto al ransomware, las víctimas que pagan un rescate pueden denunciar el ataque a las fuerzas del orden, como el FBI, sin temor a una multa. Esto permite al FBI realizar un Síguenos . Sin embargo, si pagar un rescate es ilegal, las víctimas que deciden pagar KEEP sus acciones en Secret. Al carecer de datos precisos, el FBI no podrá defenderse del ransomware.

La otra crítica a la prohibición de los pagos de ransomware es su aparente inhumanidad. Intente decirle a una madre o un padre que es ilegal pagar un rescate para liberar a su hijo secuestrado. Lo mismo ocurre con el ransomware. Una junta escolar afectada por el ransomware puede reanudar las clases inmediatamente pagando un rescate de 20.000 dólares en Bitcoin . Pero bajo la prohibición, los niños podrían tener que pasar una o dos semanas sin clases mientras la junta escolar reconstruye sus sistemas.

También existen preocupaciones sobre las libertades civiles. Las empresas argumentarán que la prohibición de los rescates vulnera su capacidad para controlar su propiedad.

Bitcoin no es Green DOT

Cuando los extorsionadores encuentran formas rentables de estafar al público, una forma de combatirlos es modificar la plataforma de pago subyacente que utilizan. Los estafadores del Servicio de Impuestos Internos (IRS) se unieron a las tarjetas Green DOT MoneyPak a mediados de la década de 2010 como una forma útil de extorsionar a estadounidenses inocentes. La solución elegida no fue advertir a las víctimas de que pagar un rescate era ilegal. En cambio, Green DOT Bank retiró el producto durante un año. y lo reprograméY funcionó. Los delincuentes ya no usan MoneyPaks para estafas al IRS.

A diferencia de MoneyPaks, Bitcoin no se puede reprogramar. Esto deja a la sociedad con una opción menos para protegerse de los ataques de ransomware. Por lo tanto, la solución de "no pagar" al problema de la acción colectiva se hace evidente. Prohibir los pagos de ransomware puede no ser la opción ideal para detener la creciente ola de ransomware, pero podría ser la mejor opción disponible.