Las empresas pueden ser castigadas por los pagos de los rescates: Tesoro

Las empresas pueden ser castigadas por los pagos de los rescates: Tesoro

En resumen

La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE.UU. emitió hoy un aviso.El aviso afirma que los ataques de rescate están en aumento.Pero también aclaró que cualquiera que ayude a facilitar un pago a actores maliciosos puede estar violando las sanciones de EE.UU.

Las demandas de pago de rescates podrían ser mucho más caras.

La Oficina de Control de Activos Extranjeros (OFAC) del Tesoro de los Estados Unidos emitió hoy un aviso de que las empresas que faciliten los pagos de rescates se arriesgan a recibir sanciones financieras adicionales… de los Estados Unidos.

Eso se debe a que, en virtud de la Ley de poderes económicos en caso de emergencia internacional (IEEPA) y la Ley de comercio con el enemigo (TWEA), los ciudadanos estadounidenses tienen prohibido realizar transacciones con los países o personas embargadas que figuran en la Lista de nacionales especialmente designados y personas bloqueadas de la OFAC, justo el tipo de personas que podrían llevar a cabo un ataque con fines de rescate.

A medida que crecen los ataques de rescate, han surgido empresas que ayudan a facilitar los pagos para que todo desaparezca. El aviso menciona específicamente “instituciones financieras, empresas de ciber-seguros y compañías involucradas en la forense digital y la respuesta a incidentes”, alegando que crean un ciclo no tan virtuoso al “alentar futuras demandas de pago de rescates”.

El rescate es esencialmente un malware diseñado para apoderarse de un sistema informático y hacerlo inaccesible, a menos que el propietario pague el precio de venta, generalmente en criptodólares, para desbloquearlo. El FBI encontró un aumento del 37% en los casos reportados el año pasado, y las cosas no han disminuido debido a COVID-19. Al comienzo de la pandemia de coronavirus, todos, desde los hospitales del área hasta la Organización Mundial de la Salud, fueron atacados y se les aconsejó que pagaran en criptografía.

La advertencia de la OFAC no debería ser una sorpresa, dados los recientes ataques de alto perfil.

La red de la compañía de GPS Garmin se cayó en julio, y una semana después la compañía confirmó que un grupo de hackers había exigido 10 millones de dólares. Un informe posterior encontró que el probable culpable era un grupo de hackers de Rusia conocido como Evil Corp, que el Departamento del Tesoro sancionó en diciembre pasado por supuestamente hackear empresas de EE.UU. en nombre de Rusia.

Garmin no confirmó que había pagado el rescate, pero tal pago podría haber sido ilegal, incluso si Garmin contrató a partes fuera de los EE.UU. (lo que también cubre la IEEPA y la TWEA). El aviso de la OFAC confirma que esto habría sido un no-no, incluso el nombre de Evil Corp en el aviso de hoy.

La preocupación específica del gobierno es que el pago de los rescates permite a los grupos que ha designado como actores maliciosos -desde Evil Corp hasta Lazarus Group de Corea del Norte- obtener dinero cuando el único propósito de las sanciones es privar a los grupos (o gobiernos) del dinero que necesitan para operar.

“Los pagos de rescates efectuados a personas sancionadas o a jurisdicciones ampliamente sancionadas podrían utilizarse para financiar actividades adversas a los objetivos de seguridad nacional y de política exterior de los Estados Unidos”, dice el comunicado.

Y, como aclara el documento, la ignorancia no es una excusa: “La OFAC puede imponer sanciones civilespara sancionar las violaciones basadas en la responsabilidad estricta, lo que significa que una persona sujeta a la jurisdicción de los Estados Unidospuede ser considerado civilmente responsable aunque no supiera o tuviera razones para saber que estaba involucrado en unatransacción con una persona que esté prohibida en virtud de las leyes y reglamentos de sanciones administrados porOFAC”.

Sin embargo, eso no significa que nunca se puedan hacer pagos por el rescate. Las directrices de aplicación de la OFAC piden a las empresas en el negocio de facilitar los pagos de rescates que “implementen un programa de cumplimiento basado en el riesgo para mitigar la exposición a las violaciones relacionadas con las sanciones”. Esas mismas empresas también deberían considerar sus “obligaciones reglamentarias” en el marco de la Red para la Represión de los Delitos Financieros (FinCEN), señaló la OFAC.