El negocio del ransomware explota en Internet

El código malicioso que secuestra datos bate récords con sus rescates.

Son las 22.00 horas del viernes 2 de julio. Kaseya, compañía estadounidense de software que ofrece servicios TI a más de 40.000 empresas en todo el mundo, realiza un comunicado en su página web en el que informa de que «un ataque potencial» ha afectado a un «pequeño grupo» de las firmas para las que trabaja. La incidencia, que en un primer momento parecía que había quedado limitada a 40 compañías, ha terminado causando problemas en unas 1.500 empresas a nivel global. Desde Estados Unidos, hasta Suecia, Reino Unido, Canadá o España.

Para realizar la infección, el grupo de cibercriminales empleó un código de tipo ‘ ransomware‘ llamado REvil; de la misma clase que el que  sufrió el SEPE esta primavera y el Ministerio de Trabajo hace apenas un mes. Entre sus funciones destaca el cifrado de la información que almacena la víctima en sus equipos con el objetivo de extorsionarla para que pague un rescate a cambio de recuperarla. En el caso de Kaseya, los criminales – antes de desconectar su infraestructura en línea tras haber llamado la atención del Gobierno de Estados Unidos– llegaron a solicitar más de 70 millones de dólares por liberar a las firmas afectadas. Una buena muestra de los pingües beneficios que proporciona una amenaza que cada vez hace más daño a quien la sufre. Sobre todo a nivel económico.

«Los delincuentes saben los recursos económicos con los que cuentan las empresas. Por eso saben a quién pueden solicitarle más dinero y a quién menos. A partir de ahí los grandes grupos de cibercriminales pueden intentar dirigir los ataques contra objetivos más grandes», explica a ABC Josep Albors, jefe de investigación y concienciación de la compañía de ciberseguridad ESET. De acuerdo con recientes estudios, el empleo del ‘ransomware’ en la Red ha explotado en los últimos meses. Algunas empresas, como Check Point, apuntan a que su uso ha crecido en un 93% durante 2021 en comparación con el año anterior, en el que ya tuvieron lugar un buen puñado de ataques sonados, como el que afectó a la tecnológica Garmin y por el que la empresa, presuntamente, llegó a pagar a los cibercriminales 10 millones de dólares.

Los rescates, no obstante, han seguido aumentando. En 2020 un 300% alcanzando los 350 millones de dólares en beneficios, según la firma de analítica Chainalysis. En el presente curso, todo indica que la tendencia seguirá al alza. De acuerdo con un estudio de la firma de seguridad israelí Cybereason, las pérdidas que ocasionan estas amenazas podrían alcanzar, en términos globales, los 20.000 millones de dólares.

«Últimamente los atacantes han conseguido entrar en algunas empresas o infraestructuras críticas en las que hay mucho en juego. Un ejemplo lo encontramos en el caso del oleoducto estadounidense Colonial Pipeline (que pagó un rescate de 5 millones de dólares para recuperar la normalidad). Además, estamos observando que los atacantes están recurriendo a nuevas fórmulas en las que, además de cifrar los datos de las víctimas, las someten a una extorsión amenazando con la publicación de los datos», señala a este periódico Josu Franco, asesor en estrategia y tecnología de WatchGuard Technologies.

El experto añade que el objetivo que persiguen los criminales que utilizan este código es siempre el mismo: «lograr que las víctimas paguen, a pesar de que las autoridades recomienden no hacerlo para no seguir alimentando el negocio, puesto que no hay garantías de que los atacantes cumplan con devolver el acceso a la información o con no volver a extorsionar a largo plazo».

La mayoría pagan

Los grandes grupos de cibercriminales, efectivamente, se están centrando, cada vez más, en grandes objetivos, capaces de realizar importantes pagos a cambio de recuperar el control de su información. Ese es el caso, por ejemplo, de REvil, este código malicioso de origen ruso, y que estuvo detrás del ataque contra Kaseya, fue empleado el pasado marzo para secuestrar información de la empresa de informática Acer. En este caso, se llegó a solicitar un rescate de 50 millones de dólares.

Más sonado, si cabe, fue el incidente sufrido en mayo por el oleoducto estadounidense Colonial Pipeline y que dificultó el abastecimiento de petróleo en la costa este de Estados Unidos durante días. Detrás de esta acción se encontraba el grupo cibercriminal de Europa del Este DarkSide. Un ‘ransomware’ que apenas alcanza los dos años de vida y que, según un reciente estudio publicado por la firma de análisis Elliptic, ha conseguido ganar 90 millones de dólares desde octubre de 2020 con sus rescates. Un botín considerable que ha logrado atacando a empresas de alto perfil. En concreto, con unos ingresos superiores a los 87 millones de dólares anuales de media, de acuerdo con una reciente investigación de la firma de ciberseguridad Trend Micro.

Evidentemente, si los cibercriminales cada vez emplean más los ataques de tipo ‘ransomware’ es porque, en muchos casos, la empresa o la institución que lo sufre termina plegándose a las demandas. «La extorsión asusta a las empresas y en muchos casos están consiguiendo que se paguen los rescates. Ese éxito económico les incita a continuar. Si a esto le sumas las facilidades que les ha proporcionado la pandemia, con la llegada del teletrabajo, los criminales lo tienen más sencillo. El nergocio es redondo», explica a este periódico José de la Cruz, director técnico de  Trend Micro. De acuerdo con un reciente estudio de Kaspersky, en 2020 el 56% de las empresas atacadas por un código de este tipo terminaron pagando un rescate. En el caso de España, la cifra se reduce hasta el 32%. «Los ataques de ‘ransomware’ a usuarios comunes están bajando mucho. Pero los que están dirigidos contra entidades y grandes empresas se han disparado. La tendencia está asentada», explica recientemente a este periódico Dani Creus, jefe de investigación de Kaspersky.

Aumento del Phishing y Spam por el coronavirus

Tiendas cerradas, restaurantes cerrados, hoteles vacíos, la pandemia del coronavirus ha paralizado el mundo en las últimas semanas. Son muchas las pymes que se enfrentan a un grave desequilibrio. Por eso, muchas de ellas han reubicado sus negocios en Internet donde no hay virus, al menos ningun virus dañino para el cuerpo humano. Y los clientes también están apostando por las compras online frente a las puertas de las tiendas cerradas. Esto tiene consecuencias: según los proveedores de correo Egahost AS y GMX, el uso del correo electrónico ha aumentado en un 40% desde el comienzo de la crisis del nuevo coronavirus, los correos electrónicos de compras aumentaron en más del 30.

Este desarrollo no es un problema en principio, pero los estafadores ingeniosos aprovechan la situación actual abusando de la confianza del destinatario. Una búsqueda en Google de los términos «correo electrónico» y «corona» casi exclusivamente da como resultado aciertos relacionados con el phishing. Por ejemplo, el centro de asesoramiento al consumidor advirtió recientemente sobre un correo electrónico de phishing que se suponía que provenía del banco Sparkasse. Los clientes deben proporcionar información personal a través de un enlace, que luego terminaría inmediatamente en manos de los estafadores. Los phishers aprovechan el hecho de que corona cultiva cada vez más las relaciones con los clientes por correo electrónico y que los destinatarios también aceptan esto y pueden no ejercer la precaución necesaria. Esto es molesto para los destinatarios de tales correos electrónicos y, en el peor de los casos, realmente puede costar dinero. El alto volumen de dichos correos electrónicos también puede tener consecuencias para los remitentes legítimos de correos electrónicos si se envían correos electrónicos de phishing en su nombre, como en el caso mencionado anteriormente.

Un segundo problema es el spam. Los correos con ofertas dudosas de máscaras respiratorias o desinfectantes, por ejemplo, utilizan los temores de los destinatarios para sus propósitos. Incluso correos electrónicos no deseados en nombre de la Organización Mundial de la Salud (OMS) ya han aparecido. Los proveedores de buzones también lo han reconocido y están implementando sus reglas de spam aún más rigurosamente. Y muy importante para los remitentes: una vez que haya aterrizado en la carpeta de correo no deseado de un destinatario, no llegará a la carpeta de la bandeja de entrada del mismo destinatario en el futuro. En este contexto, es particularmente importante que los remitentes se adhieran estrictamente a ciertas reglas para que sus correos también se entreguen.

Scroll to top