Los ataques de ransomware son omnipresentes. Ya sea a través de la cobertura de los medios de comunicación, de las historias del entorno de trabajo o de los conocidos, uno ya no puede evitar el tema de la ciberdelincuencia y, especialmente, del ransomware. Sin embargo, la creciente presencia tiene un origen fáctico.
Los patrones de ataque son cada vez más diversos, la frecuencia y el alcance de los ataques aumentan y los afectados son cada vez más independientes del sector y del tamaño de la empresa. La empresa estadounidense experta en ciberseguridad Recorded Future ha realizado un análisis del panorama de los ataques de ransomware en Alemania, del que se pueden extraer interesantes conclusiones. En esta entrada del blog, ofrecemos una visión general.
¿Qué es el ransomware y por qué es tan peligroso?
Los ataques de ransomware son ataques con malware cuyo objetivo es cifrar los ordenadores y los datos y programas que contienen y dejarlos inutilizables. El objetivo es chantajear a los afectados y convencerlos de que paguen un rescate, con la promesa de que los datos serán liberados una vez que se haya efectuado el pago. Los ataques de este tipo se producen cada vez más en las empresas, así como en las autoridades y administraciones públicas. Cada vez son más elaborados, sofisticados y personalizados. Los ciberdelincuentes proceden de forma selectiva y normalmente en varias etapas. Los incidentes cibernéticos cotidianos, como los mensajes de spam, se utilizan para acceder a la red corporativa. En un segundo paso, se analiza la infraestructura informática para cifrar los datos especialmente importantes o sensibles o para paralizar todo el sistema, incluidas las copias de seguridad conectadas. De este modo, los chantajistas pueden ejercer una mayor presión sobre las empresas afectadas y exigir rescates más elevados. Sin embargo, siempre es incierto si los datos serán realmente liberados después del pago. Esto se debe a que algunos programas de ransomware, por ejemplo, no prevén el descifrado o no es posible en absoluto.
El sector industrial alemán fue el más afectado por el ransomware en 2020 y 2021
Se observa que el volumen de ataques de ransomware aumenta constantemente en todo el mundo y también en las empresas alemanas, con graves consecuencias para los afectados: Los sistemas son infectados por el malware y quedan inutilizados. Hay que cerrar temporalmente las sucursales de las empresas para que los empleados puedan pasar a trabajar a tiempo parcial. También existe el riesgo de que se hagan públicos los secretos de la empresa. En casos específicos del sector, las prestaciones sociales no pueden proporcionarse o los hospitales no tienen la posibilidad de admitir pacientes. Independientemente de las consecuencias individuales, los ataques de ransomware suponen una amenaza tan grave como trascendental para las empresas y se consideran, con razón, uno de los mayores riesgos empresariales actuales.
Recorded Future ha resumido en un informe la situación de los ataques de ransomware a las empresas alemanas en 2020 y 2021. De ello se desprenden conclusiones emocionantes y, al mismo tiempo, preocupantes.
Resumen: la situación de la amenaza del ransomware
En general, el número de ataques de ransomware en Alemania aumentó un 83% de 2020 a 2021. Según el análisis de Recorded Future, la tendencia se debe en parte a los siguientes factores:
- El número de grupos de hackers activos que perpetran ataques con ransomware se ha duplicado. La profesionalidad de los grupos ha aumentado paralelamente.
- El volumen y la frecuencia de los ataques también están aumentando: se observa una mayor actividad de las bandas.
- Se están pidiendo rescates más altos, lo que complica los pagos.
- La presión sobre las empresas para que notifiquen los incidentes ha aumentado debido a la creciente cobertura de los medios de comunicación.
- La digitalización progresiva, y a veces precipitada, debido a la pandemia, conduce a lagunas de seguridad que pueden servir de puerta de entrada fácil.
Una evolución que, en última instancia, hace que los ataques de ransomware se perpetren con más frecuencia, por un lado, pero que, por otro, también son más fáciles de llevar a cabo y tienen consecuencias existenciales para los afectados.
Alrededor del 42% de los ataques de ransomware en Alemania afectan al sector industrial, considerado la columna vertebral de la economía alemana. Según Recorded Future, este sector incluye la ingeniería mecánica y la industria del automóvil, la industria del metal, la ingeniería eléctrica y la industria de la construcción. Otros sectores, como la educación, el sector público y la sanidad, también se están convirtiendo cada vez más en el objetivo de los ciberdelincuentes. Sin embargo, la afiliación al sector no es un indicador exclusivo de la probabilidad de un ciberataque. Con el aumento de los medios de vida y la facilidad de ejecución, hoy en día puede afectar a cualquiera.
La evolución de los últimos años en detalle
El desarrollo de los métodos de ataque no se detiene. Los ciberdelincuentes amplían continuamente tanto los tipos de ataques como el software utilizado, por lo que cada vez son más sofisticados. ¿Cuáles son las principales tendencias que se observan aquí?
En general, los ataques de ransomware son cada vez mayores, más extensos y más graves. Mientras que en el pasado los ataques de ransomware eran principalmente individualizados y se dirigían a usuarios individuales, hoy en día tienen lugar a gran escala y se dirigen principalmente a redes y cadenas de suministro de grandes organizaciones. Debido a la codificación de sistemas operativos enteros en red de diferentes empresas, los efectos de un ataque así como los medios de presión de los atacantes son cada vez más masivos. Además de los ataques generalizados, siguen produciéndose ataques personalizados y altamente profesionales contra organizaciones objetivo meticulosamente seleccionadas.
La segunda tendencia preocupante se refiere a la precisión con la que los ciberdelincuentes atacan a sus víctimas. El aumento de la frecuencia de los ataques y la ampliación de los objetivos ha ido acompañado de una optimización de las tecnologías utilizadas. Para obtener acceso y control sobre todos los sistemas operativos, los actores de las amenazas están recurriendo a software que hace que los ataques requieran menos tiempo y sean más selectivos. A menudo se utilizan métodos para acelerar el cifrado, como el software LockBit. Además, los controladores de dominio se utilizan para tomar el control de todos los directorios activos, a partir de los cuales se pueden cifrar redes completas en un segundo paso. Los pagos de rescates ahora también se realizan no sólo a través de Bitcoin, sino también a través de criptodivisas alternativas como Monero. En este caso, los atacantes se benefician de la simple ocultación de las transacciones y de la preservación de la privacidad y el anonimato.
La profesionalidad y la organización interna de los grupos criminales de piratas informáticos también son llamativas en la evolución de los últimos años. Aquí se observa una transformación de las estructuras organizativas. En primer lugar, las bandas criminales están ofreciendo sus servicios a la venta en la darknet en forma de modelos de ransomware como servicio (RaaS). Ahora se da el caso de que prácticamente cualquiera tiene acceso a los servicios de los ciberdelincuentes y puede aprovecharse de ellos en sencillos pasos. Es casi tan fácil como pedir un taxi: Los delincuentes son fichados, pagados y a veces incluso evaluados en los portales de calificación de la Darknet. Estas órdenes pueden incluir desde la manipulación de elecciones hasta la minería de bitcoins, ransomware, sabotaje, espionaje y mucho más. Las asociaciones entre los actores de las amenazas también se forman a través de los foros de la Darknet. Los actores individuales se especializan en diferentes componentes de los ataques aquí y luego se unen para las actividades. De este modo, se dificulta considerablemente el rastreo de los ataques de ransomware hasta las bandas individuales.
Además, la progresiva globalización no sólo afecta a la política, la economía y la sociedad, sino también a la ciberdelincuencia organizada. Los ciberataques son un riesgo empresarial global que no se limita a un país o una región, sino que tiene relevancia internacional. Mientras que, según Recorded Future, en el pasado eran principalmente los Estados Unidos los que se veían afectados por la ciberdelincuencia, las estadísticas actuales muestran que los Estados Unidos siguen liderando la clasificación, pero no hay limitaciones geográficas. La amenaza para las empresas y organizaciones no sólo es real, sino que está aumentando con vehemencia en todo el mundo. Los factores decisivos en este caso son, en particular, el volumen de negocios, la infraestructura informática especialmente vulnerable y la importancia crítica de cada una de las organizaciones objetivo, y no la afiliación territorial.
¿De dónde proceden los resultados y qué nos depara el futuro?
Se estima que el número de ataques de ransomware no denunciados es superior al número real de casos registrados. El reto de registrar los incidentes reales se debe, por un lado, a que los casos no se comunican en parte a las autoridades y, por otro, a que los ataques de ransomware se identifican en parte como incidentes de seguridad habituales y se registran en consecuencia. El análisis de Recorded Future se basa en datos recogidos a través de diversos canales: Se recogieron o evaluaron los informes de los medios de comunicación y de las respectivas organizaciones afectadas. Sin embargo, la mayor parte del conjunto de datos procede de los llamados sitios de filtración: Sitios web que los atacantes de ransomware utilizan para comunicarse con el público y chantajear a sus víctimas.
Aunque es difícil hacer una previsión general de la evolución futura, cabe suponer que las tendencias aquí enumeradas se acentuarán aún más. Según los resultados, las tecnologías serán aún más sofisticadas en el futuro, los ataques serán más amplios y las bandas criminales estarán aún más organizadas y especializadas. Todo el ecosistema de la ciberdelincuencia será más accesible y estará cada vez más interconectado.
Sin embargo, junto a este sombrío panorama, existe también una tendencia positiva en la lucha contra la ciberdelincuencia: se observan cada vez más esfuerzos coordinados a nivel internacional por parte de las fuerzas del orden, se desmantelan bandas delictivas y se retiran de la red sitios web de dudosa reputación. Se están realizando esfuerzos para acabar con la infraestructura en la que operan las bandas, para responsabilizar a los actores de las amenazas y a sus asociados y facilitadores.
Además de las acciones de las fuerzas del orden, la conciencia general sobre la ciberdelincuencia ha aumentado en la sociedad en general, pero especialmente en las empresas y organizaciones. Esto está llevando a que se realicen esfuerzos para defenderse activamente de los ciberpeligros y evitar que ocurra lo peor a través de medidas preventivas. Junto con las iniciativas de concienciación y el uso de recursos técnicos, hoy en día se están tomando medidas activas contra los ciberataques, lo que se espera que reduzca la tasa de éxito del ransomware y ponga fin a esta tendencia.
¿Qué está haciendo activamente contra la ciberdelincuencia? ¿Están sus empleados preparados para una emergencia?