Entre los numerosos ataques cibernéticos que pueden resultar en el robo de dinero, uno de los más conocidos es el ransomware. Recientemente, en Australia se ha implementado una nueva legislación que obliga, en ciertas circunstancias, a reportar un pago financiero tras haber sido víctima de un ataque de este tipo. A continuación, te explicaremos en qué consiste esta ley, su finalidad y si podría ser viable su adopción en España.
Esta normativa no se aplica a todas las empresas, sino a aquellas que poseen una facturación anual significativa y que se ven obligadas a realizar un pago por ransomware. Específicamente, se refiere a cualquier organización cuya facturación anual supere los 3 millones de dólares australianos (alrededor de 1,7 millones de euros, según el tipo de cambio actual).
Australia exige reportar pagos por ransomware en determinados casos
Hemos presenciado ataques de ransomware que han impactado a hospitales, universidades, bancos y diversas organizaciones. Sin embargo, esto también podría afectarte a ti, a cualquier usuario común. Generalmente, los atacantes eligen víctimas con la capacidad económica para satisfacer demandas elevadas. Por ejemplo, una empresa podría perder dinero por cada minuto que su operación esté interrumpida y decidir pagar para restablecer la normalidad lo antes posible. Ejemplos de ataques de este tipo incluyen WannaCry, Ragnar Locker y Kronos, de los cuales hemos hablado en RedesZone.
La ley, que comenzó a regir en Australia el 30 de mayo de 2025, obliga a reportar un pago por ransomware en un plazo de 72 horas después del mismo. No solo se aplica a organizaciones que superen el umbral mencionado, sino también a cualquier empresa que maneje activos de infraestructuras críticas.
Adicionalmente, deberán informar sobre ciertos aspectos. Las víctimas deberán indicar el monto pagado, lo que se exigió previamente (que podría o no coincidir con lo que finalmente se pagó), el método utilizado (los pagos pueden hacerse mediante criptomonedas, transferencias bancarias, etc.), así como detalles sobre la comunicación con los ciberdelincuentes.
De esta manera, Australia se convierte en el primer país del mundo en contar con una ley que exige a las empresas, al menos si cumplen con ciertos criterios, informar sobre un pago tras haber sufrido un ataque de ransomware. El gobierno australiano proporciona información en un PDF.
Buscan visibilizar el problema
Pero, ¿cuál es el objetivo de esta medida? Se busca aumentar la visibilidad del ransomware. La información solicitada puede ser crucial para combatir esta amenaza, entender mejor las tácticas de los cibercriminales y, en última instancia, ayudar a potenciales futuras víctimas.
Las autoridades australianas consideran que hay muchos más ataques de ransomware de los que realmente se registran. Muchas empresas optan por pagar sin reportar el incidente por diversas razones, como evitar dañar la reputación de su marca.
Además, creen que esta medida puede servir como disuasivo para reducir los pagos tras un ataque de ransomware. Es importante recordar que la recomendación es nunca pagar después de sufrir un ataque de este tipo. Pagar no asegura la resolución del problema y puede incentivar la recurrencia de ataques.
¿Podríamos ver una regulación similar en España en un futuro? Cuando algún país implementa medidas de este tipo, se suele debatir sobre su conveniencia en otras naciones. Por el momento, el Reino Unido también está considerando una legislación similar a la de Australia. Aunque es pronto para evaluar la efectividad de esta medida, en RedesZone creemos que cualquier esfuerzo por informar y hacer públicos los ataques de ransomware y otros similares será beneficioso para concienciar a la población.
Como siempre, te aconsejamos tener precauciones en Internet, instalar software únicamente de fuentes oficiales y mantener todo actualizado. Esto te ayudará a protegerte de este tipo de software malicioso y de otras estafas en línea.
