WASHINGTON - A medida que aumentan los ataques en los que piden dinero de rescate tras hackeo, el FBI está duplicando su orientación para las empresas afectadas: no pague a los ciberdelincuentes. Pero el gobierno de Estados Unidos también ofrece un incentivo poco notorio para quienes sí pagan: los rescates pueden ser deducibles de impuestos.
El IRS no ofrece una guía formal sobre los pagos de ransomware, pero varios expertos en impuestos entrevistados por The Associated Press dijeron que las deducciones generalmente están permitidas por la ley y la orientación establecida. Es un "rayo de luz" para las víctimas de ransomware, como dicen algunos abogados fiscales y contables.
Pero aquellos que buscan desalentar los pagos son menos optimistas. Temen que la deducción sea un incentivo potencialmente problemático que podría incitar a las empresas a pagar rescates contra el asesoramiento de las fuerzas del orden. Como mínimo, dicen, la deducibilidad envía un mensaje discordante a las empresas bajo coacción.
"Me parece un poco incongruente", dijo el representante de Nueva York John Katko, el principal republicano del Comité de Seguridad Nacional de la Cámara de Representantes.
La deducibilidad es parte de un dilema mayor derivado del aumento de los ataques de ransomware, en los que los ciberdelincuentes codifican datos informáticos y exigen un pago por desbloquear los archivos.
El gobierno no quiere pagos que financien bandas criminales y puedan alentar más ataques. Pero no pagar puede tener consecuencias devastadoras para las empresas y, potencialmente, para la economía en general.
EEUU
EL 'RANSOMWARE' SE HA VUELTO UN NEGOCIO MULTIMILLONARIO
Un ataque de ransomware en Colonial Pipeline el mes pasado provocó escasez de gas en partes de Estados Unidos. La compañía, que transporta alrededor del 45% del combustible consumido en la costa este, pagó un rescate de 75 bitcoins, luego valorado en aproximadamente $4.4 millones.
Un ataque a JBS SA, la empresa procesadora de carne más grande del mundo, amenazó con interrumpir el suministro de alimentos. La compañía dijo que había pagado el equivalente a $11 millones a piratas informáticos que irrumpieron en su sistema informático.
El ransomware se ha convertido en un negocio multimillonario y el pago promedio fue de más de $ 310,000 el año pasado, un 171% más que en 2019, según Palo Alto Networks.
Las empresas que pagan directamente las demandas de ransomware tienen derecho a reclamar una deducción, dijeron expertos en impuestos. Para ser deducible de impuestos, los gastos comerciales deben considerarse ordinarios y necesarios.
Durante mucho tiempo, las empresas han podido deducir las pérdidas de delitos más tradicionales, como el robo o la malversación de fondos, y los expertos dicen que los pagos de ransomware también suelen ser válidos.
“Aconsejaría a un cliente que tomara una deducción por ello”, dice Scott Harty, un abogado de impuestos corporativos de Alston & Bird. "Se ajusta a la definición de gasto ordinario y necesario".
Don Williamson, profesor de impuestos en la Kogod School of Business de la American University, escribió un artículo sobre las consecuencias fiscales de los pagos de ransomware en 2017. Desde entonces, dijo, el aumento de los ataques solo ha fortalecido el caso para que el IRS permita pagos de ransomware como deducciones fiscales.
"Se está volviendo más común, por lo tanto, se vuelve más ordinario", dijo.
CRÍTICOS DICEN QUE INCENTIVOS PROMUEVEN LOS PAGOS A CIBERDELINCUENTES
Esa es una razón más, dicen los críticos, para no permitir los pagos de ransomware como deducciones de impuestos.
"Cuanto más barato sea pagar ese rescate, más incentivos estamos creando para que las empresas paguen, y más incentivos estamos creando para que las empresas paguen, más incentivos estamos creando para que los delincuentes continúen". dijo Josephine Wolff, profesora de políticas de seguridad cibernética en la Escuela Fletcher de la Universidad de Tufts.
Durante años, el ransomware fue más una molestia económica que una gran amenaza nacional. Pero los ataques lanzados por bandas cibernéticas extranjeras fuera del alcance de las fuerzas del orden de Estados Unidos han proliferado en escala durante el último año y han llevado el problema del ransomware a las primeras páginas.
En respuesta, los principales funcionarios encargados de hacer cumplir la ley de EEUU han instado a las empresas a no cumplir con las demandas de ransomware.
"Es nuestra política, es nuestra guía, del FBI, que las empresas no deben pagar el rescate por una serie de razones", declaró el director del FBI, Christopher Wray, este mes ante el Congreso. Ese mensaje fue repetido en otra audiencia esta semana por Eric Goldstein, un alto funcionario de la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional.
Los funcionarios advierten que los pagos conducen a más ataques de ransomware. "Estamos en este barco en el que estamos ahora porque en los últimos años la gente ha pagado el rescate", dijo Stephen Nix, asistente del agente especial a cargo del Servicio Secreto de Estados Unidos, en una cumbre reciente sobre ciberseguridad.
No está claro cuántas empresas que pagan pagos de ransomware se benefician de las deducciones fiscales.
Cuando se le preguntó en una audiencia del Congreso si la compañía buscaría una deducción de impuestos por el pago, el director ejecutivo de Colonial, Joseph Blount, dijo que no sabía que esa era una posibilidad.
“Gran pregunta. No tenía ni idea de eso. No estoy consciente de eso en absoluto ”, dijo.
Hay límites para la deducción. Si la pérdida para la empresa está cubierta por un seguro cibernético, algo que también se está volviendo más común, la empresa no puede tomar una deducción por el pago que realiza la aseguradora.
El número de pólizas de seguro cibernético activas saltó de $2.2 millones a $3.6 millones de 2016 a 2019, un aumento del 60%, según un nuevo informe de la Oficina de Responsabilidad del Gobierno, el brazo de auditoría del Congreso. Vinculado a eso, hubo un aumento del 50% en las primas de seguros pagadas, de $ 2.1 mil millones a $ 3.1 mil millones.