Publicidad

Síguenos en nuestras redes sociales:

Publicidad

La evolución del ransomware, así llegaron a ser tan complejos

Aunque cada vez es más común escuchar de ellos, este tipo de ataques son relevantes desde hace varios años y en tiempos recientes alcanzaron su punto de mayor desarrollo.
mié 02 febrero 2022 06:00 AM
WannaCry (imagen conceptual de ransomware)
En México, 74% de las empresas fueron víctimas de un ransomware y en la mitad de los casos los ciberdelincuentes lograron cifrar información.

Los ataques de ransomware se han convertido en un asunto común y problemático para la ciberseguridad. Especialistas apuntan a que su actual proliferación se debe a una combinación de factores derivados de la pandemia, pero también a la propia evolución dentro del negocio del cibercrimen, la cual ha permitido incrementar sus alcances.

Se denomina ramsomware al software malicioso ('ware') cuyo fin es extorsionar ('ransom') al usuario afectado por este. A cambio de la liberación del dispositivo infectado, el extorsionador exige una cantidad de dinero.

De acuerdo con cifras de Kaspersky, en 2019, el número total de usuarios únicos que encontraron ransomware en sus plataformas fue de poco más de millón y medio. Para 2020, este número se redujo un 29%, debido a que a nivel individual estas campañas ya no eran tan rentables.

La razón detrás de esta dinámica, menciona Luis Corrons, especialista en seguridad de Avast, es que antes lanzaban una red al mar de internet y obtenían pequeñas cantidades de dinero por afectar a usuarios individuales, además de que se dieron cuenta de que ellos no estaban dispuestos a pagar mucho.

“Para un usuario 1,000 dólares es mucho dinero y muy raro que acepte, pero si lo hace a una empresa esa cifra la puede asumir. Los cibercriminales no empezaron así porque es más difícil y necesitan gente experta, además de que representa una inversión mayor a nivel conocimiento y herramientas, pero se dieron cuenta de que valía mucho la pena”, comenta Corrons.

Publicidad

Es así que los atacantes decidieron cambiar su enfoque hacia las empresas, pues son quienes cuentan con la posibilidad de pagar los rescates de información. Esto dio como consecuencia que en 2021, las empresas financieramente sanas vieran un incremento superior al 600% de los ataques de ransomware .

Las vulneraciones de ransomware, de acuerdo con la experta de Sophos, Daniela Arroyo, implican la integración de un agente malicioso a los sistemas informáticos de las compañías, con el objetivo de cifrar la información y restringir su acceso para después pedir su rescate.

¿Cuándo surgió el ataque ransomware?

Si bien estos ataques han sido más conocidos en tiempos recientes, no son un asunto nuevo. Surgieron a finales de los años 80, pero en ese entonces, el uso de los dispositivos digitales y de internet no estaba tan extendido, por lo tanto, no representaban un negocio, explica Roberto Martínez, investigador senior de Kaspersky.

Otro elemento que no permitió su expansión fue el asunto logístico, pues quienes buscaban sacar provecho de ellos debían pedir los rescates a través de cheques o tarjetas de prepago, sin embargo, en los últimos años el problema volvió a aparecer, por una parte, debido al surgimiento de las criptomonedas, las cuales permitieron que la monetización fuera anónima y con un menor riesgo, menciona Corrons.

Publicidad

“El ransomware ya venía siendo un problema desde hace más de cuatro años, pero cambiaron algunas circunstancias derivadas de la pandemia y de su evolución, las cuales hicieron que se convirtiera en un mejor negocio”, detalla Martínez.

Sin embargo, en la actualidad los grupos de cibercriminales han modificado sus formas de ataque, pues antes los malware se dirigían por medio de un correo electrónico, pero desde el ataque WannaCry, en mayo de 2017, se distribuyeron en forma de gusano y no requería que alguien instalara un archivo, sino que aprovechaba las vulnerabilidades de la red.

Otra variante en el modelo de ataque se ejemplifica con casos como el de Kaseya, en el que los delincuentes vulneran los proveedores de servicio para llegar a sus víctimas finales de una manera mucho más optimizada.

La información también evolucionó, detalla Corrons, pues ya no sólo se trata de cifrar el acceso, sino que también se generaron dinámicas para extorsionar a las empresas bajo amenazas de vender o publicar su información, lo cual generaría un fuerte impacto a la reputación del negocio.

Publicidad

Martínez menciona que esto quiere decir que las vulneraciones han pasado de restringir el acceso a los datos de forma arbitraria a ser ataques manuales y dirigidos. “Se toman el tiempo para identificar la información importante de la compañía, así como sus respaldos para que no pueda recuperarse y presionar más para obtener el pago del rescate”, describe.

Esto ha dado como consecuencia que los ataques del más alto perfil, comenta Corrons, sean ejecutados por grupos de ciberdelincuentes que operan de manera similar a empresas tradicionales, pues cuentan con empleados, objetivos de ingresos y jerarquías internas, así como otros departamentos.

Un ejemplo de esta situación, resaltan los especialistas, es la manera de operar basada en ofrecer el ransomware como servicio, es decir, venden su malware a quien pueda pagar, mientras otros rentan su servicios para operar el proceso. Además, existen otras áreas especializadas que evalúan a qué empresas van a atacar y qué tan viable es que estas puedan pagar por los rescates.

Evaluación de los daños y cómo protegerse

Para evaluar el impacto de un incidente, puntualiza el evangelizador en seguridad de Avast, lo primero que se necesita es conocer la manera en que ingresaron los cibercriminales al sistema, además de qué hicieron en el interior y qué datos expusieron para saber cómo actuar hacia la recuperación.

Los especialistas concuerdan en que la recuperación va a depender de las condiciones en que se encontraba la compañía, además de que este proceso puede llevar de días a semanas para una organización que no se ha visto muy afectada y tiene buenas copias de seguridad. Pero en empresas más grandes, o aquellas sin buenas copias, el proceso puede llevar meses.

El pago del rescate si bien es una práctica que no se recomienda, pues fomenta esta actividad delictiva, para muchas empresas ni siquiera es lo más costoso, ya que los gastos de recuperación pueden ser mucho mayores e, igualmente, este proceso irá en función de cuán preparada estaba la organización para enfrentar un ataque.

Aunque los ataques de ransomware pueden generar temor, Martínez detalla que para protegerse, las organizaciones primero deben entender el problema, es decir, no se trata de algo que un antivirus, por sí mismo, pueda resolver.

Luis Corrons también resalta que las empresas deben asumir que por muy bien que lo hagan en la cuestión de protección, quienes atacan sólo deben tener éxito una vez para vulnerar toda la red y no lo van a dejar de intentar.

Por lo tanto, las estrategia comienza desde desarrollar una capacidad de detección temprana a partir de cómo trabajan los atacantes para hacer diagnósticos de si las compañías tienen la capacidad de detectar los comportamientos que realizan los operadores de ransomware.

“Las compañías deben asumir una postura más proactiva en lugar de reactiva y enfocarse en entender cómo operan los grupos de ransomware para desarrollar mejores capacidades de detección y protección'', concluye Martínez.

¿Quieres enterarte de lo más reciente de la tecnología?
Entrevistas, noticias y reseñas sobre los últimos gadgets e innovaciones.

¡Falta un paso! Ve a tu email y confirma tu suscripción (recuerda revisar también en spam)

Ha ocurrido un error, por favor inténtalo más tarde.

Publicidad