En respuesta a la creciente amenaza de ciberataques, el gobierno del Reino Unido ha anunciado un conjunto de medidas orientadas a desmantelar la economía global del ransomware —software malicioso que bloquea el acceso a archivos o sistemas informáticos y exige un pago para liberarlos— y a proteger servicios públicos esenciales frente a bloqueos e interrupciones.
El plan, encabezado por el ministro de Seguridad, Dan Jarvis, contempla prohibir que instituciones del sector público —incluido el Servicio Nacional de Salud (SNS), ayuntamientos, escuelas y operadores de infraestructura— paguen rescates a hackers. “El ransomware es un delito predatorio que pone en riesgo a la ciudadanía, destruye sustentos de vida y amenaza los servicios de los que dependemos”, declaró Jarvis, comprometiéndose a “destruir el modelo de negocio de los cibercriminales”.
La medida surge tras una oleada de ataques de alto perfil, entre ellos los perpetrados contra la Biblioteca Británica, la cadena Co-op y Marks & Spencer. El ataque de 2023 a la Biblioteca destruyó su infraestructura digital, y la Co-op confirmó el robo de datos de 6.5 millones de sus miembros. En otro caso, la empresa de logística KNP quebró tras negarse a pagar un rescate multimillonario, dejando sin empleo a 700 personas. Muchos de estos ataques se atribuyen a grupos de hackers internacionales como LockBit, Akira o Evil Corp.
Según el nuevo régimen, las empresas privadas no estarán impedidas para pagar rescates, pero deberán notificar previamente a las autoridades si planean hacerlo. Esto permitiría al gobierno intervenir en caso de que el pago implique el riesgo de financiar el terrorismo, beneficiar a grupos sancionados o a actores rusos o norcoreanos. Omitir esta notificación podría derivar en multas de hasta un millón de libras.
El sector sanitario, especialmente vulnerable por la escasa inversión en ciberseguridad, ha sido uno de los más afectados. En un caso concreto, un ataque al SNS que retrasó servicios de patología fue señalado como uno de los factores vinculados a la muerte de un paciente.
En la Unión Europea la situación no es mejor. Los hospitales figuran entre los principales objetivos, y entidades como la Organización Mundial de la Salud (OMS) califican al ransomware como una amenaza potencialmente mortal. No obstante, la ciberseguridad sigue ocupando un lugar secundario en muchas instituciones médicas, donde el personal carece de formación suficiente y los sistemas se mantienen rezagados frente a amenazas cada vez más sofisticadas.
