En esta foto de archivo del 22 de marzo de 2013, el exterior del edificio del Servicio de Impuestos Internos (IRS) en Washington. A medida que aumentan los ataques de ransomware, el FBI está redoblando su orientación a las empresas afectadas:no pague a los ciberdelincuentes. Pero el gobierno de EE. UU. también ofrece un incentivo poco conocido para quienes pagan:los rescates pueden ser deducibles de impuestos. Crédito:AP Photo/Susan Walsh, Archivo
A medida que aumentan los ataques de ransomware, el FBI está redoblando su orientación a las empresas afectadas:no pague a los ciberdelincuentes. Pero el gobierno de EE. UU. también ofrece un incentivo poco conocido para quienes pagan:los rescates pueden ser deducibles de impuestos.
El IRS no ofrece una guía formal sobre los pagos de ransomware, pero varios expertos en impuestos entrevistados por The Associated Press dijeron que las deducciones generalmente están permitidas por la ley y la guía establecida. Es un "lado positivo" para las víctimas de ransomware, como dicen algunos contadores y abogados fiscales.
Pero aquellos que buscan desalentar los pagos son menos optimistas. Temen que la deducción sea un incentivo potencialmente problemático que podría atraer a las empresas a pagar rescates en contra del consejo de las fuerzas del orden. Como mínimo, dicen, la deducibilidad envía un mensaje discordante a las empresas bajo coacción.
"Me parece un poco incongruente", dijo el representante de Nueva York John Katko, el principal republicano en el Comité de Seguridad Nacional de la Cámara de Representantes.
La deducibilidad es parte de un dilema mayor derivado del aumento de los ataques de ransomware, en los que los ciberdelincuentes codifican los datos de la computadora y exigen el pago por desbloquear los archivos. El gobierno no quiere pagos que financien bandas criminales y podrían alentar más ataques. Pero no pagar puede tener consecuencias devastadoras para las empresas y potencialmente para la economía en general.
Un ataque de ransomware en Colonial Pipeline el mes pasado provocó escasez de gas en partes de los Estados Unidos. La empresa, que transporta alrededor del 45 % del combustible consumido en la costa este, pagó un rescate de 75 bitcoins, valorado entonces en unos 4,4 millones de dólares. Un ataque a JBS SA, la empresa procesadora de carne más grande del mundo, amenazó con interrumpir el suministro de alimentos. La empresa dijo que había pagado el equivalente a 11 millones de dólares a los piratas informáticos que entraron en su sistema informático.
El ransomware se ha convertido en un negocio multimillonario y el pago promedio fue de más de $310 000 el año pasado, un 171 % más que en 2019, según Palo Alto Networks.
Las empresas que pagan las demandas de ransomware directamente tienen derecho a reclamar una deducción, dijeron los expertos fiscales. Para ser deducibles de impuestos, los gastos de negocios deben ser considerados ordinarios y necesarios. Durante mucho tiempo, las empresas han podido deducir pérdidas de delitos más tradicionales, como robo o malversación de fondos, y los expertos dicen que los pagos de ransomware también suelen ser válidos.
El CEO de Colonial Pipeline, Joseph Blount, testifica durante una audiencia del Comité Senatorial de Seguridad Nacional y Asuntos Gubernamentales un día después de que el Departamento de Justicia revelara que había recuperado la mayor parte del pago de rescate de $4.4 millones que la compañía hizo con la esperanza de que su sistema volviera a estar en línea, el martes 8 de junio. , 2021, en Capitol Hill, en Washington. Crédito:Andrew Caballero-Reynolds/Pool vía AP
"Aconsejaría a un cliente que hiciera una deducción por ello", dice Scott Harty, abogado de impuestos corporativos de Alston &Bird. "Se ajusta a la definición de un gasto ordinario y necesario".
Don Williamson, profesor de impuestos en la Escuela de Negocios Kogod de la Universidad Americana, escribió un artículo sobre las consecuencias fiscales de los pagos de ransomware en 2017. Desde entonces, dijo, el aumento de los ataques de ransomware solo ha fortalecido el caso para que el IRS permita pagos de ransomware como deducciones de impuestos.
"Se está volviendo más común, por lo que se vuelve más común", dijo.
Esa es una razón más, dicen los críticos, para prohibir los pagos de ransomware como deducciones de impuestos.
"Cuanto más barato hagamos pagar ese rescate, más incentivos crearemos para que las empresas paguen, y cuantos más incentivos creemos para que las empresas paguen, más incentivos crearemos para que los delincuentes continúen". dijo Josephine Wolff, profesora de políticas de seguridad cibernética en la Escuela Fletcher de la Universidad de Tufts.
Durante años, el ransomware fue más una molestia económica que una gran amenaza nacional. Pero los ataques lanzados por bandas cibernéticas extranjeras fuera del alcance de las fuerzas del orden de EE. UU. proliferaron en escala durante el año pasado y llevaron el problema del ransomware a las portadas.
En respuesta, los principales funcionarios encargados de hacer cumplir la ley de EE. UU. han instado a las empresas a no cumplir con las demandas de ransomware.
“Es nuestra política, es nuestra guía, del FBI, que las empresas no paguen el rescate por una serie de razones”, testificó este mes el director del FBI, Christopher Wray, ante el Congreso. Ese mensaje fue repetido en otra audiencia esta semana por Eric Goldstein, un alto funcionario de la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional.
En esta foto de archivo del 12 de octubre de 2020, un trabajador ingresa a la planta empacadora de carne JBS en Greeley, Colorado. La compañía de procesamiento de carne más grande del mundo dice que pagó el equivalente a $11 millones a los piratas informáticos que ingresaron a su sistema informático a fines del mes pasado. JBS SA, con sede en Brasil, dijo el 31 de mayo que fue víctima de un ataque de ransomware, pero el miércoles 9 de junio de 2021 fue la primera vez que la división estadounidense de la compañía confirmó que había pagado el rescate. Crédito:AP Photo/David Zalubowski, Archivo
Los funcionarios advierten que los pagos conducen a más ataques de ransomware. "Estamos en este barco en el que estamos ahora porque en los últimos años la gente ha pagado el rescate", dijo Stephen Nix, asistente del agente especial a cargo del Servicio Secreto de EE. UU., en una cumbre reciente sobre seguridad cibernética.
No está claro cuántas empresas que pagan ransomware aprovechan las deducciones fiscales. Cuando se le preguntó en una audiencia en el Congreso si la compañía buscaría una deducción de impuestos por el pago, el director ejecutivo de Colonial, Joseph Blount, dijo que no sabía que esa era una posibilidad.
"Gran pregunta. No tenía ni idea de eso. No lo sabía en absoluto", dijo.
Hay límites a la deducción. Si la pérdida de la empresa está cubierta por un seguro cibernético, algo que también se está volviendo más común, la empresa no puede tomar una deducción por el pago realizado por la aseguradora.
La cantidad de pólizas de seguro cibernético activas aumentó de 2,2 millones a 3,6 millones de 2016 a 2019, un aumento del 60 %, según un nuevo informe de la Oficina de Responsabilidad Gubernamental, el brazo de auditoría del Congreso. En relación con eso, hubo un aumento del 50 % en las primas de seguros pagadas, de $2100 millones a $3100 millones.
La administración de Biden se comprometió a hacer que frenar el ransomware sea una prioridad a raíz de una serie de intrusiones de alto perfil y dijo que está revisando las políticas del gobierno de los EE. UU. relacionadas con el ransomware. No ha proporcionado ningún detalle sobre qué cambios, si los hubiera, puede hacer en relación con la deducción fiscal del ransomware.
"El IRS está al tanto de esto y lo está investigando", dijo Robyn Walker, portavoz del IRS.
