IDCare, una organización sin ánimo de lucro que ayuda a las víctimas de delitos en Internet, afirmó que al facilitar que los reguladores multen a las empresas por una deficiente seguridad de los datos y no tipificar como delito el pago de rescates, Australia podría alimentar inadvertidamente una ola de ciberdelincuencia.

El mensaje llegó en una presentación no publicada, revisada por Reuters, al fiscal general que está trabajando para actualizar la ley de privacidad para la era de Internet justo cuando el país experimenta un repunte de robos de datos a gran escala que, según el gobierno, ha afectado a casi todas las familias.

"Una razón importante por la que los gobiernos y las empresas australianas son cada vez más el objetivo de los ataques de ransomware (...) es porque pagamos", afirmó IDCare en la presentación.

Las opiniones de IDCare contarán mucho en una revisión gubernamental de las leyes de privacidad que se espera que facilite multar o demandar a las empresas que no protejan los datos de sus clientes, ya que se ha convertido en uno de los grupos de referencia de Canberra para ayudar a las víctimas de la ciberdelincuencia.

Canberra elevó la multa máxima a 50 millones de dólares australianos (34 millones de dólares) desde los 2,2 millones de dólares australianos para las empresas que no impidan el robo de datos tras el primer gran ataque de octubre, cuando se sustrajo información de unos 10 millones de cuentas de clientes de la teleco número 2, Optus, propiedad de Singapore Telecommunications.

El gobierno estudia ahora facilitar la aplicación de esa multa y simplificar las demandas de los particulares por robo de información personal.

IDCare afirmó que, al elevar la amenaza de multas masivas, Australia obligaría a las empresas a elegir entre pagar 1 millón de dólares australianos, el coste típico de una petición de rescate, o notificarlo a las autoridades y arriesgarse a una multa de hasta 50 millones de dólares australianos.

"En términos de ataques de ransomware, Australia está abierta a los negocios", afirmó.

IDCare señaló que Australia fue el quinto país más atacado por los ladrones de datos en enero de 2023, mucho peor que otros países en relación con su economía y población.

Sin normas que prohíban o desincentiven el pago de rescates, afirmó que "es poco probable que los grupos de ransomware que atacan a nuestras organizaciones reduzcan sus actividades".

Un portavoz del fiscal general, Mark Dreyfus, declaró que el gobierno había actuado con rapidez para aumentar las penas tras las violaciones de datos a gran escala y que estudiaría 116 propuestas en una revisión de la ley de privacidad antes de decidir nuevos pasos.

La Oficina del Comisario de Información australiano afirmó que su enfoque a la hora de buscar sanciones o establecer nuevas normas sería "pragmático, basado en pruebas y proporcionado".

PICO DE DEMANDA

Desde que Australia hizo obligatorio que las empresas informaran de las violaciones de datos en 2018, la presentación de IDCare dijo que la demanda comunitaria de sus servicios se había disparado.

Un mes después del hackeo de Optus, la principal aseguradora sanitaria Medibank Private Ltd reveló que millones de sus cuentas habían sido comprometidas, con el robo de información médica potencialmente sensible de cientos de miles de personas.

Después, el mes pasado, un proveedor de financiación al consumo, Latitude Financial Group Holdings Ltd, dijo que los piratas informáticos habían robado datos de unos 14 millones de cuentas de clientes durante casi 20 años.

En cada caso, las autoridades dirigieron a los clientes afectados a IDCare, que asesora a las víctimas sobre el cierre de las cuentas expuestas, la notificación a los proveedores de servicios pertinentes y la prevención de pérdidas.

Para frenar el aumento de llamadas, IDCare crea ahora sitios web de "incidentes graves" para las personas afectadas por las violaciones, según declaró a Reuters su director comercial, Mark Rowley.

También tiene previsto abrir un nuevo centro de asistencia en Sídney a mediados de 2023, que se sumará a los centros de Brisbane, Perth y Nueva Zelanda, y aumentar su plantilla de 40 a 60 empleados.

"No hay duda de que desde el pasado octubre la oleada de incidentes de datos en curso ha continuado, si no escalado, por lo que realmente ha requerido una aceleración de los planes", dijo Rowley.

"No creo que este año ninguno de nosotros planeara acontecimientos de esa magnitud en Australia".

(1 dólar = 1,4806 dólares australianos)