**Australia impone obligación de notificar pagos y comunicaciones de ransomware en 72 horas**

### Introducción

El gobierno australiano ha dado un paso significativo en la lucha contra el cibercrimen al promulgar una nueva normativa que obliga a las organizaciones críticas a notificar cualquier pago o comunicación con actores de ransomware en un plazo máximo de 72 horas. Esta medida, alineada con las tendencias internacionales de gestión de incidentes, pretende mejorar la capacidad de respuesta nacional ante ataques de ransomware, una amenaza que ha experimentado un auge sin precedentes en los últimos años.

### Contexto del Incidente o Vulnerabilidad

Durante 2023, Australia fue blanco de múltiples campañas de ransomware dirigidas a sectores sensibles como salud, educación, energía y servicios financieros. Según el Australian Cyber Security Centre (ACSC), los ataques de ransomware contra infraestructuras críticas aumentaron un 23% respecto al año anterior, con pérdidas económicas directas que superan los 100 millones de dólares australianos. El caso Medibank, con más de 9,7 millones de registros comprometidos, fue el detonante que llevó al gobierno a endurecer la legislación y centrar los esfuerzos en la notificación temprana y la coordinación institucional.

### Detalles Técnicos

La nueva normativa afecta principalmente a organizaciones cubiertas por la ley australiana de infraestructuras críticas (Critical Infrastructure Act), incluyendo operadores de servicios esenciales y proveedores de tecnología clave. A partir de ahora, estos deberán reportar a la ACSC cualquier pago realizado a grupos de ransomware, así como cualquier comunicación mantenida con los atacantes, en un plazo no superior a 72 horas.

Los incidentes típicos implican el despliegue de ransomware como LockBit, BlackCat (ALPHV) o Cl0p, a menudo mediante técnicas de spear phishing, explotación de vulnerabilidades conocidas (CVE-2023-34362 en MOVEit, por ejemplo) o ataques de fuerza bruta contra servicios expuestos. Los atacantes emplean TTPs documentadas en MITRE ATT&CK, como la persistencia mediante la creación de cuentas administrativas (T1136) o la exfiltración de datos a través de protocolos cifrados (T1041). Herramientas como Cobalt Strike, Metasploit y scripts personalizados de PowerShell son habituales en las fases de post-explotación.

Los Indicadores de Compromiso (IoC) que deben ser reportados incluyen hashes de archivos maliciosos, direcciones IP de command & control, URLs empleadas en la negociación de rescates y detalles de los monederos de criptomonedas utilizados para los pagos.

### Impacto y Riesgos

El principal riesgo para las organizaciones reside en las posibles sanciones civiles asociadas al incumplimiento de esta obligación de notificación, que podrían alcanzar hasta varios millones de dólares australianos dependiendo de la gravedad y recurrencia. Además, la nueva legislación expone a las empresas a un mayor escrutinio público y regulatorio, lo que puede afectar a su reputación y confianza de los clientes.

Desde el punto de vista operativo, la obligación de notificar en 72 horas puede suponer un reto para los departamentos de TI y los equipos de respuesta a incidentes (CSIRT), que deberán adaptar sus procedimientos para recopilar y comunicar información técnica en plazos muy ajustados.

### Medidas de Mitigación y Recomendaciones

Para cumplir con la normativa y minimizar los riesgos asociados, se recomienda:

– Implementar procedimientos internos de notificación de incidentes que prioricen la recopilación y documentación de IoCs relevantes.
– Mantener actualizados los sistemas de detección y respuesta ante amenazas (EDR, SIEM) para identificar rápidamente compromisos relacionados con ransomware.
– Realizar simulacros periódicos de respuesta a incidentes, incluyendo escenarios de negociación y pago de rescates.
– Revisar las pólizas de ciberseguro y los acuerdos con proveedores para asegurar la cobertura y los procedimientos de reporte.
– Formar al personal en la identificación de tácticas de ingeniería social y phishing, principales vectores de entrada de ransomware.
– Consultar con asesores legales sobre el cumplimiento de otras normativas aplicables, como la GDPR y la NIS2 europea, en caso de operar internacionalmente.

### Opinión de Expertos

Según Tony Vizza, director de ciberseguridad de ISACA Australia, “la notificación temprana de pagos y comunicaciones con actores de ransomware es clave para coordinar la respuesta nacional y dificultar la operación de bandas criminales. Sin embargo, la presión de los plazos podría generar fricciones operativas, especialmente en organizaciones con recursos limitados”.

Por su parte, consultores de Mandiant advierten que la obligación de reportar puede disuadir a algunas empresas de negociar con los atacantes, pero podría también incentivar un mercado negro de pagos no declarados.

### Implicaciones para Empresas y Usuarios

Para los CISOs y responsables de cumplimiento, la nueva normativa implica la necesidad de revisar de inmediato las políticas de gestión de incidentes y reforzar la colaboración con los equipos legales y de comunicación. Los usuarios finales, por su parte, podrían beneficiarse de una mayor transparencia y una mejor contención de los incidentes, aunque el aumento de los reportes también podría traducirse en una mayor exposición mediática de los ataques.

### Conclusiones

La exigencia de notificar pagos y contactos con actores de ransomware en 72 horas marca un punto de inflexión en la gestión de ciberincidentes en Australia. Si bien la medida puede mejorar la inteligencia colectiva y la capacidad de respuesta estatal, plantea desafíos significativos para las empresas en cuanto a rapidez, precisión y cumplimiento normativo. La adaptación de procedimientos internos y la formación continua serán claves para afrontar este nuevo escenario regulatorio.

(Fuente: www.darkreading.com)