Los ataques de ransomware son omnipresentes. Ya sea a través de la cobertura mediática, historias del entorno laboral o conocidos, no hay forma de evitar el tema del cibercrimen y, especialmente, del ransomware. Sin embargo, la creciente presencia tiene un origen basado en hechos.

Los patrones de ataque se están volviendo más diversos, la frecuencia y el alcance de los ataques aumentan, y los afectados son cada vez más independientes del sector y el tamaño de la empresa. El experto estadounidense en ciberseguridad Recorded Future ha realizado un análisis del panorama de los ataques de ransomware en Alemania, del que se pueden extraer ideas interesantes. En esta entrada del blog, ofrecemos una visión general.

¿Qué es el ransomware y por qué es tan peligroso?

Los ataques de ransomware son ataques con programas maliciosos que tienen como objetivo cifrar PCs, datos y programas en ellos y hacerlos inutilizables. El objetivo es chantajear a los afectados y persuadirles para que respondan a las demandas de rescate, con la promesa de liberar los datos una vez realizado el pago. Ataques de este tipo están ocurriendo cada vez más contra empresas, así como contra autoridades y administraciones. Estos se están volviendo cada vez más complejos, sofisticados y personalizados. Los ciberdelincuentes actúan de manera dirigida y normalmente en varias etapas. Los incidentes cibernéticos cotidianos, como los mensajes spam, se utilizan para acceder a la red corporativa. En un segundo paso, se analiza la infraestructura informática para cifrar datos especialmente importantes o sensibles o para paralizar todo el sistema, incluidas las copias de seguridad conectadas. De este modo, los extorsionadores pueden ejercer mayor presión sobre las empresas afectadas y exigir rescates más altos. Sin embargo, siempre es incierto si los datos se publicarán realmente después de que se haya realizado el pago. Esto se debe a que algunos programas de ransomware, por ejemplo, no permiten descifrado o ni siquiera son posibles.

El sector industrial alemán fue el más afectado por el ransomware en 2020 y 2021

Se observa que el volumen de ataques de ransomware en todo el mundo y también contra empresas alemanas está aumentando de forma constante, con graves consecuencias para los afectados: los sistemas se infectan con el malware y quedan inutilizables. Las sucursales de negocio deben cerrarse temporalmente, para que los empleados puedan ser trasladados a trabajos a tiempo parcial como consecuencia. También existe el riesgo de que los secretos de la empresa se hagan públicos. En casos específicos de la industria, no se pueden proporcionar beneficios sociales o los hospitales no tienen la oportunidad de admitir pacientes. Independientemente de las consecuencias individuales, los ataques de ransomware suponen una amenaza seria y seria para las empresas y se consideran con razón uno de los mayores riesgos empresariales de la actualidad.

Recorded Future ha resumido la situación de ataques de ransomware contra empresas alemanas en 2020 y 2021 en un informe. De esto se pueden sacar conclusiones emocionantes y al mismo tiempo preocupantes.

En resumen: el panorama de amenazas de ransomware 

En general, el número de ataques de ransomware en Alemania aumentó un 83% entre 2020 y 2021. Según el análisis de Recorded Future, esta tendencia se debe en parte a los siguientes factores:

• El número de grupos de hackers criminales activos que cometen ataques de ransomware se ha duplicado. El profesionalismo de los grupos ha aumentado en paralelo.
• El volumen y la frecuencia de los ataques también están aumentando: se observa un aumento de la actividad de las bandas.
• Se están exigiendo rescates más altos, lo que complica los pagos.
• La presión sobre las empresas para que informen de incidentes ha aumentado debido a la creciente cobertura mediática.
• La digitalización avanzada y a veces apresurada debido a la pandemia provoca brechas de seguridad que pueden funcionar como una simple puerta de entrada.

Desarrollos que, en última instancia, llevan a que los ataques de ransomware se lleven a cabo con mayor frecuencia por un lado, pero también que sean más fáciles de llevar a cabo y tengan consecuencias existenciales para quienes se ven afectados.

Alrededor del 42% de los ataques de ransomware en Alemania afectan al sector industrial, considerado la columna vertebral de la economía alemana. Según Recorded Future, este sector incluye la ingeniería mecánica y las industrias automovilística, la industria metalúrgica, la ingeniería eléctrica y la industria de la construcción. Otras industrias como la educación, el sector público y la sanidad también están cada vez más en el centro de atención de los ciberdelincuentes. Sin embargo, la afiliación a la industria no es una única indicación de la probabilidad de un ciberataque. Debido al aumento de medios de vida y a la ejecución más sencilla, hoy en día puede afectar a cualquiera.

Los acontecimientos de los últimos años en detalle

El desarrollo posterior de la metodología de ataque no se detiene. Ambos tipos de ataques y el software utilizado están siendo continuamente ampliados por ciberdelincuentes y, por tanto, cada vez son más sofisticados. ¿Qué tendencias se pueden observar aquí en particular?

En general, los ataques de ransomware son cada vez más grandes, extensos y con más consecuencias. Mientras que en el pasado los ataques de ransomware se realizaban principalmente contra usuarios individuales, hoy en día se producen a gran escala y se dirigen principalmente a redes y cadenas de suministro de grandes organizaciones. Al cifrar sistemas operativos en red completos de diferentes empresas, el impacto de un ataque y la influencia de los atacantes se están volviendo cada vez más masivos. Además de ataques de gran alcance, continúan ocurriendo ataques personalizados y altamente profesionales contra organizaciones objetivo meticulosamente seleccionadas.

La segunda tendencia preocupante concierne a la precisión con la que los ciberdelincuentes atacan a sus víctimas. Con el aumento de la frecuencia de ataques y objetivos más amplios, las tecnologías utilizadas se han optimizado. Para obtener acceso y control sobre todos los sistemas operativos, los actores amenazantes utilizan software que puede emplearse para llevar a cabo ataques de forma menos lenta y más dirigida.   A menudo se utilizan métodos para acelerar el cifrado, como el software LockBit. Además, los controladores de dominio se utilizan para tomar el control de todos los directorios activos, desde los cuales se pueden cifrar redes enteras en un segundo paso. Los pagos de rescate ahora no solo se realizan a través de Bitcoin, sino también mediante criptomonedas alternativas como Monero. Aquí, los atacantes se benefician de un simple ocultamiento de las transacciones, así como de la preservación de la privacidad y el anonimato.

El profesionalismo y la organización interna de los grupos hackers criminales también son llamativos en los acontecimientos de los últimos años. Aquí se puede ver una reestructuración de las estructuras organizativas. Por encima de todo, las bandas criminales que ofrecen sus servicios a la venta en la darknet en forma de modelos de ransomware como servicio (RaaS) deberían mencionarse aquí. Ahora es cierto que prácticamente todo el mundo tiene acceso a los servicios de los ciberdelincuentes y puede aprovecharse de ellos con pasos sencillos. Es casi tan fácil como pedir un taxi: los delincuentes son detenidos, pagados e incluso a veces evaluados en portales de reseñas de la darknet. Estos contratos pueden incluir desde manipulación electoral hasta minería de Bitcoin, ransomware, sabotaje, espionaje y más. También se forman alianzas entre los actores amenazantes a través de foros en la darknet. Los actores individuales se especializan en diferentes componentes de los ataques y luego unen fuerzas para realizar actividades. Esto dificulta mucho rastrear los ataques de ransomware hasta bandas individuales.

Además, avanzar en la globalización no solo afecta a la política, la economía y la sociedad, sino que también afecta al cibercrimen organizado. Los ciberataques son un riesgo empresarial global que no se limita a un solo país o región, sino que tiene relevancia internacional. Mientras que según Recorded Future, Estados Unidos se vio principalmente afectado por la ciberdelincuencia en el pasado, las estadísticas actuales muestran que sigue liderando el ranking, pero no hay limitaciones geográficas. El peligro no solo es real para las empresas y organizaciones, sino que está aumentando de forma vehemente en todo el mundo. Los factores decisivos aquí son, en particular, los ingresos, la infraestructura informática especialmente vulnerable y la relevancia crítica de las organizaciones objetivo individuales: la ausencia de afiliación territorial.

¿De dónde provienen los hallazgos y cómo será el futuro?

Se estima que el número de ataques de ransomware no reportados es mayor que los casos reales registrados. El desafío para registrar los incidentes reales se debe, por un lado, a que algunos casos no se denuncian a las autoridades y, por otro, a que los ataques de ransomware a veces se identifican como incidentes de seguridad habituales y se registran en consecuencia. El análisis de Recorded Future se basa en datos recogidos a través de varios canales: se recopilaron y evaluaron informes de medios y de las organizaciones afectadas respectivas. Sin embargo, la mayoría del conjunto de datos proviene de los llamados sitios de filtración: sitios web que los atacantes de ransomware utilizan para comunicarse con el público y chantajear a sus víctimas.

Aunque es difícil hacer una previsión general de los desarrollos futuros, se puede suponer que las tendencias aquí enumeradas seguirán intensificándose. Según los hallazgos, las tecnologías se volverán aún más sofisticadas en el futuro, los ataques más extensos y las bandas criminales aún más organizadas y especializadas. Todo el ecosistema del cibercrimen se está volviendo más accesible y conectado.

Además de estas perspectivas sombrías, también existe una tendencia positiva arraigada en la lucha contra la ciberdelincuencia: cada vez se observan más medidas policiales coordinadas internacionalmente, bandas criminales están siendo desmanteladas y sitios web turbios están siendo desconectados. Se están haciendo esfuerzos para desestabilizar la infraestructura en la que operan las bandas, para responsabilizar a los actores amenazantes y a sus socios e intermediarios.

Además de las medidas tomadas por las fuerzas del orden, la conciencia general sobre el cibercrimen ha aumentado en la sociedad en general, pero especialmente en empresas y organizaciones. Esto conduce a esfuerzos para defenderse activamente contra las amenazas cibernéticas y prevenir emergencias mediante medidas preventivas. Junto con iniciativas para aumentar la concienciación y utilizar recursos técnicos, ahora existe una resistencia activa a los ciberataques, lo que con suerte reducirá la tasa de éxito del ransomware y pondrá fin a esta tendencia.

¿Qué estás haciendo activamente contra el ciberdelito? ¿Están tus empleados preparados para una emergencia?