Desde el 30 de mayo de 2025, las organizaciones australianas deberán informar al gobierno si pagan un rescate por un ataque de ransomware o extorsión cibernética, o si saben que alguien lo hizo en su nombre. La medida, establecida por el Ministro del Interior a través de las nuevas Cyber Security (Ransomware Payment Reporting) Rules 2025, busca mejorar la respuesta nacional ante estos delitos, desalentar los pagos y fortalecer la cooperación entre sector público y privado.

Según la nueva legislación, las entidades afectadas deberán reportar el incidente en la página de la Dirección de Señales de Australia (ASD) dentro de las 72 horas posteriores al pago. Están obligadas a hacerlo las empresas con una facturación anual superior a 3 millones de dólares australianos (unos 1,93 millones de dólares estadounidenses) y las organizaciones responsables de infraestructura crítica.

Aunque el reporte no implica una sanción por pagar el rescate, no hacerlo podría derivar en multas. El objetivo no es castigar, sino construir una base de datos nacional que permita entender mejor cómo, cuándo y a quiénes atacan los ciberdelincuentes, evaluar su impacto y diseñar estrategias más eficaces de defensa.

El formulario de reporte solicitará información clave como: datos de contacto de quien hizo el pago; fecha estimada del ataque y su detección; impacto en la empresa y sus clientes; tipo de malware utilizado (si se conoce); vulnerabilidades explotadas; y cualquier otro dato útil para que las autoridades puedan colaborar en la respuesta y mitigación del incidente.

Para el gobierno australiano, esta normativa cumple tres funciones principales: identificar actores maliciosos y sus métodos; ofrecer recomendaciones específicas al sector privado, en especial a pymes, para mejorar su higiene digital; y fundamentar futuras leyes y políticas públicas contra el ransomware.

En un escenario donde los ataques son cada vez más frecuentes, el enfoque australiano podría marcar el camino para otros países que buscan equilibrar la protección de las víctimas con una respuesta nacional estratégica.

Fuente

https://therecord.media/australia-ransomware-victims-must-report-payments

https://www.cyberdaily.au/security/12164-pay-up-understanding-australia-s-new-ransomware-reporting-requirements?+Information+and+Cyber+Security+News

https://www.homeaffairs.gov.au/cyber-security-subsite/files/factsheet-ransomware-payment-reporting.pdf

https://www.legislation.gov.au/C2024A00098/latest/text

https://www.legislation.gov.au/F2025L00278/asmade/text