El ransomware –secuestro de información– se convirtió en una lucrativa industria para los ciberdelincuentes. Como si del ecosistema de startups de Silicon Valley se tratara, los ciberdelincuentes ubicaron una necesidad y proveyeron las herramientas para satisfacerla.
Así surgió el “ransomware como servicio”, un modelo de suscripción en el que ya no hace falta ser hacker, sino que se contrata el software necesario para perpetrar el ataque. Esta industria también incursionó en estudios de mercado para decidir a cuáles empresas atacar.
Sin embargo, a medida que ha crecido su popularidad, también se ha creado más conciencia en las empresas para combatir esta práctica fraudulenta que no solo deja pérdidas económicas, sino también daños reputacionales en la compañía.
De acuerdo con Chainalysis, los ingresos del ransomware disminuyen a medida que más víctimas se niegan a pagar rescate de la información que les es secuestrada. Y ofrece un par de datos: mientras en 2021 los atacantes extorsionaron 765.6 millones de dólares, para el año pasado esta cifra bajó a 456.8 millones de dólares, un 40.3% menos.
No obstante, la firma asegura que los montos totales reales son mucho más altos, ya que hay direcciones de criptomonedas controladas por atacantes de ransomware que aún no se han identificado en la cadena de bloques ni se han incorporado a nuestros datos.
“Cuando publicamos la versión del año pasado de este informe, por ejemplo, solo habíamos identificado 602 millones en pagos de ransomware en 2021. Aun así, la tendencia es clara: los pagos de ransomware han disminuido significativamente”, refiere la consultora.
Que las empresas víctimas de este tipo de ciberataques se nieguen a pagar los rescates no significa que el número de ataques vaya a la baja, sino que estos van al alza, y aunque las empresas están contratando soluciones cada vez más robustas, se están negando a pagar los rescates.
“La evidencia sugiere que esto se debe a la creciente falta de voluntad de las víctimas para pagar a los atacantes de ransomware en lugar de una disminución en la cantidad real de ataques. Hablamos con varios expertos en ransomware para obtener más información”, comenta la firma.
A pesar de la caída de los ingresos, la cantidad de cepas de ransomware únicas en funcionamiento se disparó en 2022, con una investigación de la firma de seguridad cibernética Fortinet que indica que más de 10,000 cepas únicas estaban activas en la primera mitad de 2022
“Del mismo modo, la vida útil del ransomware continúa disminuyendo. En 2022, la cepa de ransomware promedio permaneció activa durante solo 70 días, frente a 153 en 2021 y 265 en 2020”, refiere Chainalysis en un blog publicado en su sitio web.
La mayoría de las cepas funcionan según el modelo de ransomware como servicio (RaaS), en el que los desarrolladores de una cepa de permiten que otros ciberdelincuentes, conocidos como afiliados, utilicen el malware del administrador para llevar a cabo ataques a cambio de una pequeña cantidad fija de ingresos.
“Sin embargo, hemos visto una y otra vez que muchos afiliados llevan a cabo ataques para varias cepas diferentes. Entonces, si bien es posible que docenas de cepas de ransomware hayan estado técnicamente activas durante 2022, es probable que muchos de los ataques atribuidos a esas cepas hayan sido realizados por los mismos afiliados”.
Podemos pensar en ello, refiere la firma, como los conductores de aplicaciones como Uber, Didi, InDrive, que tienen sus sesiones abiertas a la vez, creando la ilusión de que se trata de tres conductores diferentes en servicio, pero en realidad es el mismo auto.
Michael Phillips, director de reclamos de la firma de seguros cibernéticos Resilience, indicó que las empresas no deben descansar tranquilas solo porque los ingresos por ransomware han disminuido.
“Los datos de las reclamaciones en la industria de los seguros cibernéticos muestran que el ransomware sigue siendo una amenaza cibernética creciente para las empresas. Sin embargo, ha habido señales de que las interrupciones significativas contra los grupos de actores de ransomware están generando intentos de extorsión exitosos más bajos de lo esperado”, dijo Phillips a Chainalysis.
Un factor que podría explicar esta tendencia a la baja en el pago de extorsiones es que se ha vuelto legalmente más riesgoso, especialmente después de un aviso de la Oficina de Control de Activos Extranjeros del Departamento del Tesoro de Estados Unidos en septiembre de 2021 sobre el potencial de violaciones de sanciones al pagar rescates.
“Con la amenaza de sanciones inminentes, existe la amenaza adicional de consecuencias legales por pagar [a los atacantes de ransomware]”, dijo Allan Liska, analista de inteligencia y experto en ransomware de Recorded Future, a Chainalysis.
“Los seguros cibernéticos realmente han tomado la delantera al restringir no solo a quién asegurarán, sino también para qué se pueden usar los pagos del seguro, por lo que es mucho menos probable que permitan que sus clientes usen un pago de seguro para pagar un rescate”, añadió Liska.
Chainalysis señala que esta tendencia a la baja en el pago de rescates de ransomware podría mantenerse así durante este año si las empresas mejoras sus prácticas de ciberseguridad y hacen que éstas permeen en todas las áreas vitales de la compañía, como ciberseguridad, redes, TI, administración de servidores, equipos de respaldo, relaciones públicas, finanzas.
Las empresas deben identificar vulnerabilidades y fortalezas, así como comprender quién es responsable de todos los aspectos de la seguridad para estar mejor preparadas ante un eventual ataque. Además de, claro, que los directivos estén conscientes de que es mejor invertir para proteger a la compañía antes de que ocurra un ataque.
“Si más organizaciones pueden implementar estas mejores prácticas de la forma en que tienen copias de seguridad de datos y otras medidas de seguridad, esperamos ver que los ingresos por ransomware continúen cayendo en 2023 y más allá”, cierra la consultora.