El gobierno neerlandés ha declarado que no apoya la introducción de una prohibición legal para pagar rescates a ciberdelincuentes tras ataques de ransomware, según una carta del Ministerio de Justicia y Seguridad.
El ministro de Justicia y Seguridad, David van Weel, afirmó que el gobierno no quiere criminalizar a las organizaciones que se conviertan en víctimas de incidentes de ransomware. Afirmó que, aunque los ataques de ransomware pueden causar una interrupción significativa y daños financieros, la decisión sobre si pagar un rescate debe permanecer en la organización afectada.
El ministro señaló que el gobierno sigue desaconsejando el pago de rescates. Según el comunicado, pagar a los atacantes no garantiza que los sistemas se restauren, que los datos robados sean eliminados o que no se compartan ni vendan. La guía también establece que los pagos de rescate contribuyen a la continuación de la actividad cibercriminal.
La posición fue expuesta en respuesta a preguntas parlamentarias relacionadas con un reciente ciberataque que involucró al proveedor de telecomunicaciones neerlandés Odido. En ese incidente, atacantes asociados al grupo ShinyHunters afirmaron haber robado datos personales de más de seis millones de personas y amenazaron con difundir la información en línea.
A pesar de las preocupaciones sobre el impacto más amplio del ransomware, el gobierno señaló que existe una tensión persistente entre los intereses de las víctimas individuales y los esfuerzos más amplios para reducir la ciberdelincuencia. Los responsables indicaron que las organizaciones pueden enfrentarse a presiones operativas y financieras inmediatas que influyen en su toma de decisiones durante un ataque.
El ministro afirmó que, mientras estas consideraciones en competencia no puedan resolverse claramente, el gobierno mantendrá su enfoque actual. Este enfoque está alineado con las políticas de varios otros países de la Unión Europea, donde el pago de un rescate está desaconsejado pero no prohibido por la ley.
La declaración refleja un debate político en curso sobre cómo deberían responder los gobiernos ante incidentes de ransomware y si las restricciones legales en los pagos reducirían o desplazarían la actividad cibercriminal. No se ha proporcionado ningún calendario para cambios en el marco actual, y las directrices vigentes siguen vigentes.