Fernando Anaya
- Country manager de Proofpoint para España y Portugal
Podría parecer que los grandes ataques mundiales de ransomware se están estancando últimamente. Esa sensación de tregua puede deberse a que algunos grupos prolíficos han sido detenidos por las fuerzas de seguridad, mientras que otros se han disuelto o reorganizado.
Pero el ransomware sigue siendo una amenaza persistente: casi el 90% de organizaciones españolas consultadas sufrió un intento de ransomware durante 2022. Y, según los expertos en investigación de estas amenazas, 2023 está siendo otro año movido en el que los atacantes intentarán asegurarse pagos más grandes y devolver aún menos datos.
Estas son las cinco razones por las que los ataques de ransomware seguirán sacudiendo el panorama de la ciberseguridad:
1. Los ciberdelincuentes avanzan más rápido que nunca
Muchos grupos de ransomware están ganando agilidad y flexibilidad para aprovecharse de vulnerabilidades una vez que estas se conocen o incluso adelantándose a ellas, con el objetivo de mejorar sus productos y evadir a las fuerzas de seguridad. Avanzan tan rápido que las cepas de ransomware más comunes que se emplearon en 2022 ni siquiera existían un año antes.
El entorno es, por tanto, extremadamente agitado, en el que se mueven grupos de ransomware que intentan pasar desapercibidos para no ser detectados. Al menos, lo justo para mejorar su malware y resurgir con un nombre diferente después, algo que dificulta enormemente su seguimiento y detención.
En este tiempo también se han ido consolidando organizaciones de ransomware como servicio (RaaS), que desarrollan y venden herramientas de ransomware listas para ejecutar bajo un modelo de suscripción, abriendo el mercado a atacantes con menos experiencia.
2. Los ataques se centran en objetivos más fáciles
En la actualidad, muchos objetivos de los grupos de ransomware están reforzando sus medidas de seguridad, lo que reduce el número de potenciales víctimas y consigue desviar el foco hacia objetivos más fáciles, pero con mayor repercusión. Estas suelen ser organizaciones de infraestructuras críticas como el transporte, las comunicaciones o la sanidad, que a menudo se quedan atrás en cuanto a invertir en tecnología de seguridad. Se da además la circunstancia de que cuando sufren un ataque, los costes suelen ser altos, pasando a considerarse toda una amenaza para la seguridad nacional y pública, así como para la prosperidad económica.
3. Las técnicas de extorsión no dejan de evolucionar
Antes, cuando se producía un ataque de ransomware, bastaba con un simple bloqueo y cifrado del sistema, pero eso pasó a la historia. Los atacantes quieren aumentar sus ingresos mediante múltiples filtraciones de datos con las que piden varios pagos de rescate. En España, prácticamente la mayoría de organizaciones infectadas por ransomware el año pasado pagaron a los atacantes; en un 64% de los casos hasta en más de una ocasión, pues solo la mitad consiguió recuperarse tras un primer pago inicial.
Los atacantes consiguen avergonzar públicamente a las víctimas, chantajeándolas frecuentemente con técnicas de doble extorsión, las cuales implican exportar y usar datos de clientes en vez de simplemente detener las operaciones de la empresa. Aunque los ciberdelincuentes no se detienen ahí y ya han adoptado incluso tácticas de triple extorsión, con las que se saltan a las organizaciones objetivo y se dirigen directamente con datos robados a sus consumidores para alertarles del incidente, lo que aumenta la presión sobre la víctima.
4. Pagar o no un rescate
El pago del rescate sigue siendo una preocupación para las organizaciones afectadas por ransomware. Pese a que en algunas de estas entidades se confía en pólizas de seguro frente a estos ciberincidentes, en muchos casos la cobertura no alcanza para recibir una compensación completa tras las demandas de los atacantes, siendo además estos ciberseguros cada vez más caros y difíciles de contratar. De esto se aprovechan algunos ciberdelincuentes que han optado incluso por hacer descuentos de entre el 20% y el 60% en el precio de los rescates de ransomware. Todo ello pone de nuevo el acento en la necesidad de las organizaciones de prepararse lo más posible para prevenir un ataque inicial de ransomware de forma efectiva.
5. Pasos más estratégicos y altamente dirigidos
El modo de ataque de los grupos de ransomware requiere cada vez de más estrategia. Para ello, los ciberdelincuentes no han dudado en ampliar sus canales de ataque incluyendo aplicaciones de mensajería, llamadas telefónicas o mensajes de texto, que suelen quedar más desprotegidos que otras vías de comunicación; y se han vuelto más selectivos en sus relaciones con víctimas, reclutando directamente a empleados de las empresas objetivo para solicitar acceso a ellas y comprometerlas desde dentro.
Una vez en la organización, los atacantes se mueven lateralmente por la red para buscar datos sensibles, apoderarse de cuentas privilegiadas y comprometer identidades. Unos pasos que están llevando a los ciberdelincuentes a emplear malware altamente codificado y a medida, lo que seguirá aumentando sus probabilidades de éxito y de maximizar cada intento de ciberataque.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios