Ante el ataque de ransomware que sufrió el Ministerio de Hacienda con datos de contribuyentes, sobre los cuales los delicuentes generalmente piden un pago por el rescate de la información, especialistas en ciberseguridad y protección de datos analizaron las posibilidades legales que tiene el Gobierno de realizar un pago al grupo Conti, perpetrador del golpe: en todas ellas el camino ofrece grandes complicaciones prácticas, legales y administrativas.
Daniel Rodríguez, abogado especialista en Tecnología y Protección de Datos, explicó que, hasta donde le consta, Costa Rica no tiene una política o regulación sobre pagos de rescates en caso de un ataque de ransomware (secuestro de datos).
“Por lo tanto, para que sea legal pagar un rescate, se debe realizar un análisis costo beneficio que demuestre que no pagar el rescate sería mucho más perjudicial para el interés público. En la realidad y por lo general, ese análisis suele concluir que es preferible no realizar el pago, pues no hay garantía de que la información no se vaya a publicar, aun cuando se pague el rescate”, explicó el especialista.
Añadió que hay instituciones que tendrían una presión mayor a pagar el rescate, como son aquellas que prestan servicios públicos esenciales, donde el costo no es solo el robo de información, sino el de no poder utilizar sus sistemas y por ende prestar sus servicios esenciales al público.
LEA MÁS: Banco Central intensifica vigilancia en sus sistemas por ‘hackeos’ en Costa Rica de grupo Conti
“En ese caso, la presión por pagar es mayor pero siguen existiendo riesgos en el pago del rescate, que se deben poner en la balanza”, añadió Rodríguez.
León Weinstok, director del bufette BLP y profesor de Protección de Datos, y Andrés Casas, gerente de Ciberseguridad en SISAP, empresa de sistemas aplicativos, explicaron que es diferente si se trata de una empresa privada o de una institución pública.
Weinstok comentó que estas organizaciones atacan empresas, algunas acceden al pago para poder recuperar la información y hay otras que no por un tema de riesgo y para evitar fomentar este tipo de actividades, pero en el caso del sector público no lo ve posible.
Añadió que para evaluar si se realiza o no un pago es importante tomar en consideración el trabajo previo. Si se hizo un buen trabajo previo muy probable que la información que está comprometida es muy poca o hay respaldos que permitan restablecerla.
En el caso de Hacienda, por ejemplo, el pago tendría que estar presupuestado (el presupuesto lo debe aprobar la Asamblea Legislativa) y tener todas las normas que rigen la Administración Pública, que claramente ninguna se ajusta a una organización criminal.
“Hay algunas (organizaciones) que el FBI (Oficina Federal de Investigaciones de Estados Unidos) ha catalogado como terroristas, eso es muy importante porque en caso de que se haga ese pago, (a la empresa) podrían verlos ligados como un pago a una organización terrorista, lo cual por algunas normas de anticorrupción de Estados Unidos, podría ser sancionado”, añadió Weinstok.
Casas añadió que en el caso de una entidad pública para hacer el pago tendría que hacer un proceso de contratación.
“Directamente que la institución pague, lo vemos complicado. Porque cuando va a hacer una contratación tiene que contratar una empresa, aquí, ¿a cuál empresa va a contratar?, tiene que haber un presupuesto, no hay un presupuesto”, comentó Casas.
Añadió que puede ser una contratación de emergencia cuando un servicio crítico o esencial es afectado; se le pide una autorización a la Contraloría General de la República, puede ser una llamada y después se documenta y se procede, pero deben ser fondos para fines lícitos, entonces un pago directo no lo considera factible.
Casas añadió que existen organizaciones que ofrecen servicios de consultoría para recuperar información, que es una opción que tendría el Gobierno si la requiriera.
Pero también, el acceder o negarse a girar un pago a un grupo de ciberdelincuentes pone el Gobierno en una gran disyuntiva, de acuerdo con el especialista en derecho informático y capacitador en ciberdelincuencia Adalid Medrano. Él sostiene que el país no se puede exponer a depositar dinero a los delincuentes porque se verá como un territorio vulnerable y aprovechable para otras organizaciones criminales de Internet, pero si no lo hace, las autoridades deben estar conscientes de que los datos e información obtenidas por los hackers quedarán en riesgo.
Colaboró José Andrés Céspedes