«Entre la cárcel y la muerte»: empresas advierten sobre la prohibición de pagar a hackers

Los planes gubernamentales del Reino Unido por la prohibición de pagos a los operadores de infraestructuras críticas han provocado un agudo debate entre empresas y comunidades profesionales. La iniciativa fue presentada por el Ministerio del Interior en verano y se presenta como una herramienta para socavar el modelo económico de los extorsionadores; sin embargo, representantes del sector empresarial advierten: tal medida podría tener el efecto contrario y poner en riesgo el funcionamiento estable de servicios clave, desde la sanidad hasta el sistema de transporte.

El debate comenzó en un contexto de notable aumento de ataques destructivos contra organizaciones británicas. Durante el año, los delincuentes paralizaron las operaciones de grandes cadenas minoristas como Marks and Spencer y Harrods, así como del fabricante de automóviles Jaguar Land Rover. A raíz de estos incidentes, las autoridades expresan su preocupación por el nivel de resiliencia de la infraestructura y la magnitud de los riesgos para las cadenas de suministro, donde un ataque exitoso puede provocar interrupciones prolongadas en varios sectores a la vez.

Las empresas que participan en las consultas han informado que una prohibición directa de los pagos les privaría de uno de los pocos mecanismos para mitigar las consecuencias de los incidentes, especialmente cuando se ven afectados datos sensibles o servicios vitales. Representantes de la firma legal Linklaters señalan que, ante una parada total de los sistemas de respaldo, las organizaciones tendrían que elegir entre incumplir la ley y la pérdida de funciones clave que garantizan el funcionamiento ininterrumpido del país. Según participantes en las discusiones, en escenarios así el valor del pago del rescate no se reduce a una decisión económica, sino que se convierte en una cuestión de recuperación operativa.

Los defensores de la prohibición consideran que el motivo financiero es la principal razón de la actividad de los grupos extorsionadores, y que negarse a pagar podría socavar su modelo de negocio. Sin embargo, los críticos señalan que las organizaciones criminales ignoran las limitaciones legales, y que los intentos de eliminar la posibilidad de recibir un rescate podrían provocar una transición hacia métodos más agresivos y una mayor monetización de los datos robados. Según el informe de Sophos, casi la mitad de las organizaciones atacadas en 2024 pagaron el rescate, lo que subraya la vulnerabilidad de la infraestructura y la insuficiente preparación para la recuperación.

El proyecto gubernamental aún no ha definido la lista exacta de sectores, pero se sabe que el documento podría afectar a trece áreas clasificadas como críticas. En esa lista tradicionalmente se incluyen el transporte aéreo, las telecomunicaciones, el sector bancario y otras industrias sobre las que se basa el funcionamiento del país. Al mismo tiempo, varias empresas están considerando la posibilidad de trasladar sistemas clave fuera del Reino Unido si las restricciones entran en vigor, lo que añade otro nivel de riesgo para la economía nacional.

Los representantes de la industria enfatizan que la formulación de una política eficaz en este ámbito requerirá un enfoque integral. La prohibición de pagos puede formar parte de la estrategia, pero solo si va acompañada de un trabajo sistémico para aumentar la resiliencia de la infraestructura, cerrar las brechas y tener en cuenta las posibles consecuencias no deseadas. Los organismos recuerdan la posición del ministro de Seguridad, que afirmó que los ataques de extorsión siguen siendo una forma depredadora de delincuencia capaz de socavar los servicios en los que se basa la vida cotidiana del país.