¿Hackeado? Australia ayudará a su empresa... con una multa cuantiosa

Australia lanza una nueva etapa en la lucha contra el cibercrimen: ahora las grandes empresas deberán informar oficialmente al gobierno sobre los pagos de rescates a los operadores de ransomware. Esta obligación está estipulada en la ley «Cyber Security Bill 2024», que entró en vigor el 30 de mayo.

Las reglas introducidas se aplican a todas las empresas con una facturación anual superior a 3 millones de dólares australianos — aproximadamente 1,92 millones de dólares estadounidenses. Se les concede un plazo de 72 horas para informar a la Agencia Australiana de Señales (ASD) sobre el hecho del pago a los delincuentes. Los pagos en sí no están prohibidos, pero las autoridades enfatizan que tales acciones no se recomiendan oficialmente.

En el informe anual de la ASD solo se registraron 121 investigaciones de incidentes similares, mientras que el número real de ataques fue mucho mayor. Por ello, las autoridades esperan que el nuevo requisito de informes mejore la transparencia.

Tras la entrada en vigor de la ley, las empresas dispondrán de exactamente seis meses para «adaptarse»: durante este período solo se sancionarán las violaciones más evidentes. A partir de 2026, el requisito de notificación obligatoria se aplicará plenamente. La multa por incumplimiento será de 19 800 dólares australianos, aunque esta cantidad podría aumentar en el futuro.

Las organizaciones deberán proporcionar no solo su número de registro empresarial, sino también los detalles del incidente: la hora del ataque, si se robó o cifró información, qué vulnerabilidades fueron explotadas por los atacantes, pérdidas estimadas, y la suma y moneda del rescate.

Las autoridades australianas explican que recopilar estos datos permitirá comprender mejor qué familias de ransomware atacan con mayor frecuencia a las empresas locales y cuál es la magnitud del problema. El análisis estadístico podría influir en el desarrollo de futuras iniciativas legislativas.

El umbral para el requisito obligatorio de notificación se ha establecido bastante alto — según cálculos del gobierno, las nuevas reglas afectarán a menos del 7% de las empresas del país. Sin embargo, precisamente estas compañías manejan los mayores volúmenes de datos personales y representan el principal objetivo para los atacantes.

Normas similares se están desarrollando también en otros países. En Estados Unidos, por ejemplo, la agencia CISA está elaborando las reglas finales para los informes sobre pagos a extorsionadores. En el Reino Unido, se planea ir aún más lejos: prohibir que el sector público pague rescates bajo cualquier circunstancia, obligar a las grandes empresas privadas a informar de todos los pagos realizados y establecer un régimen especial según el cual las víctimas deben obtener primero la aprobación del gobierno antes de pagar a los delincuentes.