Reino Unido prohíbe pagos de ransomware en el sector público: un paso clave frente a la extorsión digital
Introducción
El ransomware continúa posicionándose como una de las amenazas más críticas en el panorama global de la ciberseguridad. El último Informe Anual de Ransomware 2025 elaborado por Zscaler confirma el crecimiento sostenido de este tipo de ataques, que afectan tanto a organismos públicos como a empresas privadas y ciudadanos. En respuesta a esta escalada, el gobierno del Reino Unido ha tomado una decisión sin precedentes: prohibir oficialmente los pagos de rescates a cibercriminales en el sector público. Esta medida, que busca desincentivar la economía clandestina del cibercrimen, supone un punto de inflexión en la gestión de incidentes de ransomware en Europa.
Contexto del Incidente o Vulnerabilidad
El auge del ransomware ha sido especialmente notorio en los últimos años, con un aumento del 65% en el número de ataques reportados a nivel global entre 2023 y 2024, según Zscaler. España figura entre los países europeos más afectados, junto con Reino Unido, Francia y Alemania. El sector público británico ha sufrido incidentes notables, como el ataque a la NHS (Servicio Nacional de Salud) y varias universidades, lo que ha puesto de manifiesto la necesidad de un cambio de enfoque en la respuesta ante este tipo de crisis.
Hasta la fecha, la decisión de pagar o no un rescate recaía en la entidad afectada, lo que en ocasiones motivaba el desembolso de sumas millonarias. Estos pagos, además de financiar la actividad delictiva, no garantizaban la recuperación total de los datos ni la no publicación de la información sustraída. La nueva normativa del Reino Unido prohíbe terminantemente estos pagos en cualquier entidad pública, alineándose con las recomendaciones de organismos internacionales como ENISA y Europol.
Detalles Técnicos
Las variantes de ransomware más utilizadas en los ataques recientes incluyen LockBit 3.0, BlackCat/ALPHV y Clop, todas ellas asociadas a campañas de extorsión doble (encriptación y filtración de datos). Los vectores de ataque predominantes en 2024 han sido la explotación de vulnerabilidades conocidas (CVE-2023-34362 en MOVEit Transfer, CVE-2023-0669 en GoAnywhere MFT), credenciales comprometidas mediante phishing y ataques a la cadena de suministro.
Los atacantes emplean técnicas TTPs recogidas en el framework MITRE ATT&CK, tales como:
– Initial Access: Spear phishing (T1566), explotación de RCEs (T1190).
– Lateral Movement: Remote Service Session Hijacking (T1563), Pass-the-Hash (T1075).
– Impact: Data Encrypted for Impact (T1486), Data Leak (T1537).
Se han identificado indicadores de compromiso (IoC) como direcciones IP asociadas a infraestructuras de Cobalt Strike y Metasploit, así como dominios de comando y control registrados en Rusia y Europa del Este.
Impacto y Riesgos
El impacto económico del ransomware en el sector público británico se estima en más de 150 millones de libras anuales en costes directos e indirectos, según el National Cyber Security Centre (NCSC). Más allá de las pérdidas financieras, el riesgo para la continuidad operativa de servicios esenciales y la protección de datos personales es significativo, especialmente bajo el paraguas del GDPR y la inminente entrada en vigor de la directiva NIS2 en la UE.
El pago de rescates, además de suponer un incentivo para nuevos ataques, puede exponer a las organizaciones a sanciones regulatorias y pérdidas reputacionales irreparables. En el caso de incidentes recientes, se ha constatado que el 30% de las víctimas que pagaron el rescate no lograron recuperar la totalidad de sus datos cifrados.
Medidas de Mitigación y Recomendaciones
El NCSC británico ha publicado directrices específicas para reforzar la resiliencia ante ataques de ransomware, entre las que destacan:
– Implementación de copias de seguridad offline y pruebas periódicas de restauración.
– Actualización inmediata de sistemas y parcheo de vulnerabilidades críticas (especialmente CVE con exploits activos).
– Segmentación de redes y aplicación de privilegios mínimos.
– Formación continua en concienciación sobre phishing para empleados.
– Monitorización avanzada de logs y detección de movimientos laterales mediante SIEM y EDR.
Se recomienda a las empresas privadas adoptar políticas similares y colaborar activamente con los CERT nacionales en caso de incidente.
Opinión de Expertos
Especialistas como Kevin Beaumont, exanalista del NCSC, consideran que la prohibición de pagos es «una medida valiente pero necesaria para romper el ciclo de financiación de bandas criminales». Sin embargo, advierten que «sin inversiones paralelas en ciberresiliencia y respuesta a incidentes, la efectividad podría verse limitada». Otros expertos señalan la importancia de compartir inteligencia de amenazas y actuar coordinadamente a nivel europeo, dada la transnacionalidad de las campañas de ransomware.
Implicaciones para Empresas y Usuarios
La decisión del Reino Unido marca un precedente que podría extenderse a otros países europeos, sobre todo con la aplicación de NIS2, que exige estándares más estrictos de notificación y gestión de incidentes. Las empresas privadas, aunque no afectadas directamente por la prohibición, deben anticipar un endurecimiento de los requisitos regulatorios y del escrutinio por parte de aseguradoras de ciberseguridad.
Para los usuarios, la protección de datos personales y la garantía de servicios públicos estables dependen ahora más que nunca de la capacidad de las instituciones para prevenir y responder eficazmente a estas amenazas.
Conclusiones
La prohibición de pagos de ransomware en el sector público británico representa un cambio de paradigma en la gestión de ciberincidentes, orientado a frenar la economía del cibercrimen y fortalecer la resiliencia organizacional. Su éxito dependerá de la implementación efectiva de medidas técnicas, el intercambio de inteligencia y la colaboración internacional. El reto es mayúsculo, pero la tendencia es clara: la lucha contra el ransomware exige un enfoque integral y coordinado a todos los niveles.
(Fuente: www.cybersecuritynews.es)