El ransomware es un tipo de ciberataque que en 2023 generó pérdidas en empresas de todo el mundo por aproximadamente 1,1 millardos de dólares. Los actores maliciosos que están detrás de estas agresiones cibernéticas siguen ganando en sofisticación, alcance y crueldad.
En diciembre pasado se cumplió el 35to aniversario del ransomware. Así fue cómo empezó, y cómo va:
El ransomware, como negocio global, representó el 44 % de todos los casos conocidos por el grupo de respuesta a incidentes de Cisco Talos entre junio de 2023 y junio de 2024. A medida que devasta y altera objetivos favorecidos en la atención médica, la educación, la fabricación y la infraestructura crítica, su costo humano (en el progreso, la confianza del cliente, el bienestar de los empleados y mucho más) es más difícil de cuantificar.
Nadie podría haber imaginado todo esto en 1989, cuando un disquete contenía un ransomware primitivo que se denominó ‘el troyano del SIDA’. Su autor, un doctor de nombre Joseph Popp, tenía un problema con el mundo médico, pero fue fácilmente detenido en aquel entonces.
No fue un método sofisticado, pero tenía potencial. Mientras que los computadores se conectan a redes más amplias, otros elementos maliciosos tomaron el relevo. Esto lleva a otro hito en la historia del ransomware: la primera criminalización en diciembre de 2004.
GPCode era un archivo adjunto a un correo electrónico que simulaba ser una oferta de trabajo, anticipándose a las sofisticadas manipulaciones de ingeniería social de la actualidad. Gracias al email, llegó a muchas más víctimas, principalmente en Rusia.
“Fue entonces cuando empezamos a ver que el ransomware se distribuía a mayor escala”, explicó Nick Biasini, responsable de divulgación de Cisco Talos. “Pero, aun así, la ganancia financiera era limitada. Básicamente, se trataba de: ‘Tu sistema está encriptado, ve a comprar varios cientos de dólares en tarjetas de regalo, comparte los códigos con nosotros y desencriptamos tu sistema’”.
El impacto de GPCode puede haber sido pequeño, pero como agregó Martin Lee, responsable de Cisco Talos para EMEA, «es realmente el génesis del ransomware tal como lo conocemos hoy»
Pagos ocultos, objetivos más ambiciosos
La dependencia de GPCode de las tarjetas de regalo anónimas revela uno de los principales desafíos del ransomware: ocultar el rastro del dinero. Aquí es donde entran en escena las criptomonedas. A principios de la década de 2010, la llegada del bitcoin fue la respuesta a los sueños más ambiciosos de cualquier cibercriminal, que marcó un antes y después en la historia del ransomware.
“Eso fue lo que realmente dio paso al surgimiento de una epidemia de ransomware”, afirmó Mick Baccio, estratega de seguridad global de Splunk, una empresa de Cisco. “Bitcoin, cuando apareció por primera vez, era un método de pago transfronterizo prácticamente imposible de rastrear. Hasta ese momento, se enviaba el dinero por correo, se utilizaban tarjetas de regalo o se dependía de transferencias bancarias. Pero con la introducción de Bitcoin, se volvió cada vez más anónimo”.
Pronto, los objetivos se hicieron más grandes. En 2016, el ransomware SamSam atacó a empresas más grandes. Poco después, comenzaron a formarse los cárteles cibernéticos. Fue entonces cuando se empezó a ver que los rescates alcanzaban cifras de seis y, finalmente, de siete cifras y, en consecuencia, cuando el daño y el impacto realmente comenzaron a notarse.
En la actualidad, grupos sofisticados se especializan en sectores específicos, como la atención sanitaria o los servicios financieros. Y algunos, comenzando con el ransomware Maze de 2019, recurren a la extorsión: amenazan con publicar los datos extraídos si no les pagan.
Los objetivos también incluyen grandes cantidades de pequeñas empresas e infraestructuras críticas como los sistemas de agua, electricidad y transporte. Estos suelen carecer de la tecnología y los recursos adecuados para combatir una ola creciente de amenazas.
Cómo contraatacar
El panorama actual del ransomware puede parecer sombrío, especialmente ahora que los actores de los estados nacionales y las tecnologías emergentes como la inteligencia artificial (IA) están aumentando la apuesta, pero no todo está perdido.
Para empezar, a los cibercriminales les encanta aprovecharse de las oportunidades más fáciles. Y hay medidas fundamentales que las organizaciones pueden adoptar para hacerles más difícil el trabajo.
Hay una defensa clave que se conoce desde hace años, pero que no siempre se practica adecuadamente.
“El ransomware tiene un enorme talón de Aquiles: las copias de seguridad de los datos”, explicó Lee. “Si tienes una copia de seguridad de tus datos y los malos cifran los datos del disco duro, puedes restaurarlos sin ningún problema”.
Sin embargo, no siempre es tan fácil como parece.
“Incluso las organizaciones que realizan copias de seguridad de sus datos”, continuó Lee, “a veces descubren que los datos de la copia de seguridad están dañados, que no se crearon correctamente o que no saben cómo restaurarlos. Así que, sí, es la debilidad número uno de los actores maliciosos, pero puede ser difícil hacerlo”.
Al mismo tiempo, las defensas de software mejoradas, los avances en redes y los parches actualizados pueden desempeñar un papel importante, como también la segmentación de redes para limitar el daño si ocurre una intrusión.
El elemento humano
Más allá de la tecnología, el factor humano es fundamental. Tener un plan en marcha, en caso de que se produzca una infracción, es otro elemento clave. La coordinación y la respuesta rápida entre los equipos pueden suponer la diferencia entre un impacto masivo o menor en la productividad y la confianza del cliente.
Pero a medida que las defensas, la detección y las respuestas se fortalecen, los actores del ransomware dependen de trabajadores distraídos e inconscientes. Es decir, personas que responden sin saberlo a correos electrónicos fraudulentos, llamadas telefónicas y otras formas de ingeniería social. Con grandes modelos de lenguaje como Chat GPT a su disposición, los cibercriminales pueden ingresar a las redes con mayor facilidad sin el arduo trabajo de piratear.
Los tres expertos reiteraron que, si bien el ransomware es una amenaza formidable, las organizaciones no están indefensas. Pero frenar su avance requerirá un esfuerzo coordinado y una distribución más democrática de las defensas para proteger a las pequeñas empresas y organizaciones del sector público vulnerables.
Puedes seguir leyendo: Pronostican un resurgimiento del metaverso: un billón de dólares para 2030, según informe
Nuestras redes sociales, únete y sé parte de la tecnología
