Desde el 30 de mayo de 2025, las empresas australianas con una facturación anual superior a 3 millones de dólares australianos (unos 1,92 millones de dólares estadounidenses) están obligadas a informar al Gobierno si pagan un rescate tras un ataque de ransomware. Así lo establece la Cyber Security Act 2024, una ley que pretende recopilar información sobre la actividad delictiva en el ciberespacio y ayudar a las organizaciones a protegerse mejor.
Las compañías disponen de 72 horas para presentar el informe a la Australian Signals Directorate (ASD), a través de un portal específico. El formulario debe incluir, entre otros datos, el importe del pago, los detalles del ataque, si los datos fueron cifrados o robados, qué vulnerabilidades fueron explotadas y una estimación del impacto económico.
“La ASD podrá usar la información para ayudar a la empresa afectada a responder al incidente o cumplir con sus funciones como agencia de inteligencia”, señala el Departamento de Asuntos Internos, que ha publicado un documento informativo oficial.
Aunque el pago de rescates no está prohibido en Australia, las autoridades no lo recomiendan. En su último informe, la ASD reconocía haber investigado solo 121 casos en un año, una cifra muy inferior a la incidencia real estimada, debido a la falta de notificación voluntaria. La nueva ley pretende cambiar esa dinámica.
Durante los primeros seis meses –hasta el 31 de diciembre de 2025– el Gobierno se centrará en educar a las empresas y facilitar el cumplimiento de la norma. Solo sancionará casos de incumplimiento grave. A partir de 2026, el régimen será plenamente obligatorio, y las infracciones conllevarán multas de 19.800 dólares australianos (unos 12.700 dólares estadounidenses) por cada caso no reportado.
Aunque la obligación sólo afecta a alrededor del 7 % de las empresas registradas, se trata de las más grandes, y por tanto, las que gestionan más datos sensibles. Con la información recopilada, el Gobierno quiere detectar patrones de ataque, conocer los tipos de ransomware más frecuentes, los sectores más vulnerables y el volumen de dinero que pierden las organizaciones. También usará esos datos para ofrecer recomendaciones más eficaces a pymes y preparar futuras medidas legislativas.
Australia se sitúa así entre los países que lideran la lucha normativa contra el ransomware. En Estados Unidos, una ley federal similar aprobada en 2022 encargó a la CISA (Cybersecurity and Infrastructure Security Agency) la elaboración de reglas de notificación, pero no entrarán en vigor hasta octubre de este año. El Reino Unido también estudia medidas similares, que podrían incluir la prohibición del pago de rescates en el sector público o la necesidad de pedir permiso al Gobierno antes de realizar un pago.
