Ciberdelincuencia simplificada 2023: El auge del Ransomware como servicio (RaaS)
• Ransomware 2.0 o de doble extorsión, el uso de IA para desarrollar código malicioso, el print-bombing y el cold-calling, algunas de las tendencias relevantes en 2023
• El uso de criptomonedas es la principal forma de pago para desbloquear la información cifrada
• El mercado mundial de protección contra ransomware en 2022 alcanzó los 20.3 MMDD y se estima que superará los 73.9 MMDD para 2030
• En 2022 más del 40% de las empresas enfrentaron al menos un ataque de ransomware, por lo que, el promedio de rescate pagado por las PyMEs fue de aproximadamente 6 mil 500 dólares, mientras que las grandes empresas pagaron alrededor de 98 mil dólares
• Se estima que el impacto económico global de los ataques de ransomware alcanzará los 26 MMDD en 2023
En el pasado, el ransomware emergió como una de las amenazas más devastadoras y alarmantes en el panorama de la ciberseguridad, ya que este tipo de malware, que data de hace varias décadas, ganó notoriedad por su capacidad para cifrar los archivos de las víctimas y exigir un rescate monetario a cambio de su liberación, convirtiéndose en un problema alarmante para individuos, empresas e instituciones gubernamentales por igual y provocando pérdidas económicas masivas y dañando la reputación en muchas organizaciones.
Inicialmente, el ransomware era relativamente rudimentario y menos frecuente, pero con el avance de la tecnología y la sofisticación de los ciberdelincuentes, así como acelerada digitalización y el home office, producto de la pandemia, esta amenaza fue evolucionando significativamente; anteriormente, la mayoría de los ataques se realizaban a través de correos electrónicos no deseados y sitios web maliciosos, pero con el tiempo, los métodos de distribución se volvieron más elaborados y efectivos.
Ransomware en 2023
Recientemente, los especialistas en el tema han observado algunas tendencias en el panorama del ransomware. Entre ellas, se destacó el aumento del uso de inteligencia artificial por parte de los ciber atacantes para desarrollar códigos más sofisticados y convincentes, además de surgir el modelo de “Ransomware como servicio” (RaaS) en la web profunda, donde se venden herramientas de malware para perpetrar ataques, situación que complica el escenario y dificulta la protección, pues ahora lo puede realizar cualquier persona.
“El uso de la inteligencia artificial para el desarrollo de código será el motor de ciberataques más inteligentes, convincentes y mejor desarrollados, además, será el método de intrusión, aprendizaje de usos y hábitos, suplantación de identidad y más; adicionalmente, el 58% de las ventas de malware como servicio (MaaS) a través de la web profunda son para ransomware como servicio (RaaS)”: Diana Ríos, Gerente Comercial de Ciberseguridad en CompuSoluciones.
En las etapas iniciales del ransomware, el rescate exigido por los ciberdelincuentes solía ser relativamente modesto, lo que llevaba a algunas víctimas a asumir el riesgo de pagar el rescate para recuperar sus datos. Sin embargo, a medida que los ciber atacantes comprendían el valor crítico de la información secuestrada y la creciente disposición de las organizaciones a pagar, los rescates comenzaron a aumentar considerablemente.
Es así como, CS Lock identificó cinco tendencias que están marcando fuertemente el comportamiento de los cibercriminales y de lo cual, tanto especialistas, como canales y empresas deben prestar suma atención.
CS LOCK: Balance del Ransomware en 2023
•Ataques dirigidos: Los ciberdelincuentes centran sus ataques en empresas y organizaciones específicas, seleccionando sus objetivos basados en su vulnerabilidad o capacidad de pago.
•Sofisticación de ransomware: Uso de técnicas más avanzadas como el ransomware de doble extorsión, donde además de cifrar los datos de la víctima, los ciberdelincuentes los robaban y amenazaban con publicarlos en línea si no se pagaba el rescate. Esta táctica aumenta la presión sobre las organizaciones y presentaba un nuevo nivel de riesgo.
•Aumento de los rescates: Los rescates han aumentado, llegando a solicitar millones de dólares, lo que refleja la creciente rentabilidad y el valor percibido de los datos secuestrados para las organizaciones afectadas.
•Mayor disposición a pagar el recate: Se nota una mayor disposición por parte de las empresas a pagar el rescate, ya que temen que la pérdida de acceso a su información sea más costosa que el propio rescate.
•Ransomware as a Service (RaaS): El modelo de Ransomware como servicio (RaaS) se ha vuelto común, permitiendo que ciberdelincuentes menos experimentados lleven a cabo ataques sofisticados al alquilar o comprar kits completos de ransomware a otros actores maliciosos conocidos como afiliados.
En consecuencia, el ransomware continúa evolucionando su nivel de sofisticación y gravedad, convirtiéndose en una industria criminal altamente lucrativa, a tal punto que se han desarrollado programas de afiliados, en los que individuos o grupos colaboran con los creadores del malware para distribuirlo de manera personalizada. También, se utilizan tácticas como el “print-bombing”, que implica el uso de impresoras de la red de la víctima para imprimir mensajes de rescate, y el “cold-calling”, que involucra llamadas telefónicas de los ciberdelincuentes para extorsionar a la víctima.
Aunado a lo anterior, la Investigadora de Seguridad Informática de ESET Latinoamérica, Martina López, dijo en entrevista para eSemanal, que han notado un aumento en los ataques dirigidos a entidades gubernamentales debido a la alta sensibilidad de los datos que manejan y sus mayores recursos financieros. “Existe un aumento de ataques dirigidos a entidades gubernamentales, debido a que los gobiernos manejan y almacenan gran cantidad de información altamente sensible y confidencial, como datos gubernamentales, información de seguridad nacional, inteligencia, datos de los ciudadanos y más información. Además, estas entidades tienen más recursos financieros en comparación con muchas empresas y organizaciones, lo cual las hace objetivos atractivos”: aseguró.
Por otro lado, el surgimiento de nuevas variantes y técnicas de ataque, como el ransomware de doble extorsión, donde los ciberdelincuentes no solo cifraban los archivos de las víctimas, sino que también amenazaban con divulgar datos confidenciales si no se pagaba el rescate, así como el malware como servicio (MaaS), se han extendido en los últimos años y de acuerdo con Kaspersky, se prevé que seguirá siendo popular debido a su capacidad para generar mayores ganancias en menos tiempo que otros tipos de malware. Esto se suma a lo declarado por Eduardo Chavarro, Gerente del grupo de especialistas en respuesta a incidentes y forense digital para América Latina en Kaspersky: “Durante este tiempo, los grupos de ransomware han mejorado continuamente su infraestructura, convirtiéndose en más sofisticados y peligrosos”.
Tanium, dando seguimiento a la discusión sobre las tendencias del ransomware en 2023, enfatizó en un elemento que considera relevante, indicando que además del incremento tanto en frecuencia como en costo, han observado la llegada de una nueva variante, al respecto Miguel Llerena, Vicepresidente para Latinoamérica de Tanium, dijo: “Hemos observado el surgimiento de una variante conocida como ransomware 2.0, que va más allá del cifrado de archivos y amenaza con filtrar información robada para aumentar la presión sobre las víctimas”.
Después de este recorrido panóptico sobre las formas más recientes en perpetración de ataques, es evidente que las empresas hoy más que nunca requieren de soluciones, herramientas y asesoramiento de los canales para protegerse contra las crecientes amenazas cibernéticas, lo que también genera para ellos diversas opciones de rentabilidad al garantizar no sólo la protección, sino el resguardo e incluso de ser necesario, la recuperación de la información.
Objetivo de los atacantes y el mercado
Si bien el ransomware es una amenaza en constante evolución que ha provocado importantes desafíos para la seguridad cibernética, su capacidad para causar daños financieros y operativos significativos hizo que la protección contra esta amenaza se convirtiera en una prioridad apremiante para todas las organizaciones y usuarios en el mundo digital.
En la actualidad, el principal propósito de los atacantes de ransomware es obtener ganancias económicas, aunque ahora lo hacen mediante el uso de criptomonedas como forma de pago para desbloquear la información cifrada. “Se ha registrado un aumento en el empleo de tácticas de spear phishing y estafas dirigidas, mediante las cuales los ciberdelincuentes amenazaban con vender o filtrar datos robados en caso de que el rescate no fuera pagado”: aseguró la Gerente Comercial de Ciberseguridad en CompuSoluciones.
“De acuerdo con el estudio de Zion Market Research, el mercado mundial de protección contra ransomware tuvo un valor de 20.3 mil millones de dólares en 2022 y se estima que superará los 73.9 mil millones de dólares para 2030, con una tasa de crecimiento anual compuesta (CAGR) de aproximadamente 17,5% durante el período de pronóstico de 2023 a 2030”: Miguel Llerena, Vicepresidente para Latinoamérica de Tanium.
Los ataques de ransomware proliferaron en número y sofisticación, afectando a individuos y organizaciones de todos los tamaños y sectores, asimismo, los ciberdelincuentes detrás de esta amenaza han desarrollado métodos cada vez más ingeniosos para distribuir el malware y llevar a cabo sus extorsiones, por lo que el Cybersecurity Consultant en CS Lock, aseveró: “Los ciberdelincuentes buscan explotar la vulnerabilidad de los sistemas y la información sensible de las organizaciones para obtener ganancias económicas ilícitas. El ransomware se ha convertido en una forma lucrativa para los ciberdelincuentes, ya que les permite cifrar los archivos de las víctimas y exigir un rescate a cambio de proporcionar la clave de descifrado necesaria para recuperar los datos”.
Aunque el robo de información pareciera el principal motivador de los ciberataques a través de ransomware, la investigadora de seguridad informática de ESET Latinoamérica hizo hincapié en otras motivaciones, como: “Además del objetivo financiero, los atacantes también pueden tener otras motivaciones, como el espionaje cibernético, el sabotaje o el robo de información confidencial”.
“De acuerdo con nuestro informe IT Security Economics, en 2022 más del 40% de las empresas enfrentaron al menos un ataque de ransomware, por lo que, el promedio de rescate pagado por las pequeñas y medianas empresas (PyMEs) fue de aproximadamente 6 mil 500 dólares, mientras que las grandes empresas pagaron alrededor de 98 mil dólares; se prevé que esta tendencia continúe en 2023 debido al constante desarrollo y evolución de las amenazas de ransomware”: Eduardo Chavarro.
Afectaciones económicas por ransomware
•De acuerdo con CompuSoluciones, la ciberdelincuencia en Estados Unidos supera los 6 mil 900 millones de dólares, mientras que se han documentado casos en los que los actores de amenazas de ransomware lograban robar hasta 10 terabytes de datos cada mes. A nivel mundial, los impactos económicos ocasionados por el ransomware ascienden a casi 400 millones de dólares en los dos años previos, y se pronostica que para el año 2023, las víctimas podrían enfrentar un costo de hasta 265 mil millones de dólares debido a esta problemática
•En un promedio estimado, CS Lock comentó las consecuencias económicas ocasionadas por el ransomware, calculando que en 2022 rondó los 20 mil millones de dólares, lo que representó un incremento significativo del 72% en comparación con el año previo, también se predijo que para 2023, el impacto económico global de los ataques de ransomware aumentaría a 26 mil millones de dólares debido a la continua sofisticación de los ataques y los crecientes desafíos en términos de vulnerabilidades y exposición a estas amenazas.
•Por su parte Eset indicó que, en el año 2022, se calculó que el ataque de ransomware tuvo un costo promedio de 4.5 millones de dólares para las organizaciones afectadas. Para el año 2023, se anticipó un incremento en ese promedio, alcanzando los 5.5 millones de dólares. Estas cifras engloban posibles pagos de rescate, pérdida de tiempo de operación, contratación de servicios de seguridad de la información, junto con otros gastos asociados al incidente.
•En el mismo orden de ideas, Kaspersky aseguró que han observado que el promedio de rescate pagado por las pequeñas y medianas empresas (PyMEs) ascendió a alrededor de 6 mil 500 dólares, mientras que las grandes empresas desembolsaron aproximadamente 98 mil dólares, por lo que se proyectó que esta tendencia persistirá en 2023 debido al continuo desarrollo y evolución de las amenazas de ransomware.
•En la perspectiva de Tanium siempre estuvo presente valorar las afectaciones económicas causadas por el ransomware, por lo que, en 2022 fueron considerablemente notables, con un 92% de las empresas informando haber experimentado un ataque o una brecha de datos en el año anterior. Los ataques siguen en aumento y se pronostica que esta tendencia continuará en 2023. Muchas organizaciones decidieron invertir en ciberseguridad después de ser víctimas de un ataque, y los presupuestos destinados a esta área aumentaron debido a la creciente preocupación por la seguridad.
Al final, los canales tienen un papel determinante como embajadores y asesores de ciberseguridad para la protección de las empresas, de ahí la importancia de capacitarse, certificarse y especializarse en las diferentes tecnologías que existen para la protección, resguardo y recuperación de la información, lo que a su vez les abrirá oportunidades de negocio interesantes que satisfagan las necesidades de sus clientes finales en un campo de constante evolución y demanda.
Protección y copia de seguridad
Respecto a la prevención y protección contra los ataques de ransomware en sus diversas variantes, los especialistas recomendaron implementar una política de gestión de parches y actualizaciones para mantener el software y los sistemas vigentes, además, se enfatizó en realizar evaluaciones y gestión del riesgo de seguridad de manera regular para identificar y abordar las vulnerabilidades y riesgos asociados con el ransomware. También se sugirió aplicar controles de acceso y autenticación robustos, como la autenticación multifactor (MFA), para proteger el acceso a los sistemas y datos sensibles; otra medida destacada fue implementar soluciones de seguridad, como firewalls, sistemas de detección y respuesta de seguridad, y antivirus, manteniendo todas las soluciones actualizadas.
Por último, aunque no menos importante sino todo lo contrario, está la educación y capacitación a los empleados sobre las mejores prácticas de seguridad cibernética, incluyendo la conciencia sobre el ransomware, el phishing y los riesgos asociados.
“Establecer políticas de gestión de contraseñas fuertes y únicas, así como promover el uso dentro de la organización, además de realizar auditorías y revisiones periódicas para evaluar y mejorar continuamente la postura de seguridad de la empresa frente al ransomware es fundamental; no obstante, implementar soluciones de prevención y detección de intrusiones para monitorear y analizar la actividad de la red y los sistemas en busca de comportamiento malicioso también son parte de las medidas de protección, incluyendo los planes de respuesta de incidentes con procedimientos claros para detectar, contener, investigar y recuperarse de un ataque de ransomware”: Daryl Correa, Cybersecurity Consultant en CS Lock.
En cuanto al papel de las copias de seguridad (backups) en la mitigación del ransomware, Tanium subrayó que, con el aumento del cibercrimen y los ataques como el ransomware, era crucial para cualquier empresa o institución reflexionar sobre si habían realizado copias de seguridad de todos los datos críticos y si se podía acceder a ellos fácilmente en caso de una brecha de seguridad. “Las copias de seguridad son una parte esencial de los esfuerzos de ciberhigiene, aunque a menudo son la última línea de defensa contra los ciberataques y constituyen un salvavidas crucial en caso de que no se pudieran recuperar los sistemas. Sin embargo, muchas empresas descuidan sus programas de backup debido al costo y limitación de personal, por lo que, en ocasiones, los responsables de TI optan por concentrar los recursos en otras áreas en lugar de priorizar adecuadamente las copias de seguridad”: Miguel Llerena.
“Las copias proporcionan una capa adicional de protección para los datos y sistemas de una organización; al contar con copias actualizadas y seguras de los datos críticos, la organización puede recuperarse de un ataque de ransomware sin necesidad de pagar el rescate, lo que evita la pérdida permanente de datos y reduce significativamente el tiempo de inactividad, permitiendo que la organización pueda volver a la normalidad de manera más rápida y eficiente”: Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.
CompuSoluciones también consideró relevante no sólo la protección de los datos, sino como último recurso realizar copias de seguridad que permita a las empresas recuperarse más rápido de los posibles ataques, así profundizó en el tema la Gerente Comercial de Ciberseguridad: “En caso de convertirse en víctima del ransomware, la estrategia de las copias de seguridad sería la única manera de recuperar el control de la empresa sin sufrir una afectación económica significativa debido al pago de grandes sumas de dinero como rescate, por lo que es importante y necesario monitorear y probar regularmente las copias de seguridad mediante ejercicios de recuperación, sumado a contar con un plan de recuperación claramente documentado ante la eventualidad de un ataque de ransomware”.
Así bien, las copias de seguridad desempeñan un papel fundamental en la mitigación del ransomware, a tal grado que empresas como Kaspersky les consideran la mejor póliza de seguro ante un ataque de ransomware, especialmente cuando están dirigidos a cifrar archivos; de esta forma Eduardo Chavarro enfatizó: “Es fundamental tener copias de respaldo de la información más importante en un soporte externo y actualizarlas periódicamente, además, el soporte externo debe estar desconectado del equipo después de finalizar el respaldo, ya que si permanece conectado durante un ataque, la información resguardada también estaría en riesgo de cifrado”.
Finalmente, la protección contra ransomware en 2023 presenta una oportunidad valiosa para los canales de distribución en el negocio de las copias de seguridad. Al ofrecer soluciones confiables, asesoramiento, planes de recuperación y servicios de monitoreo, los canales pueden satisfacer las necesidades de seguridad de sus clientes y posicionarse como aliados estratégicos en la lucha contra el ransomware, asimismo, al brindar esta protección, los canales pueden consolidar relaciones a largo plazo con sus clientes y fortalecer su posición en un mercado de ciberseguridad en constante evolución.
Un ransomware que evoluciona rápidamente
En conclusión, el ransomware se ha convertido en una de las amenazas más devastadoras y alarmantes en el mundo de la ciberseguridad, evolucionado hasta convertirse en una industria criminal altamente lucrativa y sofisticada. La evolución del ransomware ha sido impulsada por los avances tecnológicos, la sofisticación de los ciberdelincuentes y la digitalización acelerada, especialmente durante el período de trabajo remoto debido a la pandemia.
En 2023, el panorama del ransomware mostró varias tendencias preocupantes. Los ciber atacantes comenzaron a utilizar inteligencia artificial para desarrollar códigos más sofisticados y convincentes, y surgió el modelo de “Ransomware como servicio” (RaaS) en la web profunda, permitiendo a ciberdelincuentes menos experimentados llevar a cabo ataques sofisticados al alquilar o comprar kits completos de ransomware a otros actores maliciosos. También se observó el aumento de ataques dirigidos a entidades gubernamentales debido a la alta sensibilidad de los datos que manejan y sus mayores recursos financieros.
Es así como el ransomware se ha convertido en una forma lucrativa para los ciberdelincuentes, ya que los rescates han aumentado considerablemente y muchas organizaciones están dispuestas a pagar para evitar pérdidas mayores, lo cual se ve reflejado en el impacto económico global con pérdidas multimillonarias tanto para los sectores público y privado.
Implementar políticas de gestión de parches y actualizaciones, realizar evaluaciones y gestión del riesgo de seguridad, aplicar controles de acceso y autenticación robustos, implementar soluciones de seguridad y capacitar a los empleados sobre prácticas de seguridad cibernética, así como realizar copias de seguridad (backups) que permitan la recuperación de datos en caso de un ataque, son algunas de las recomendaciones que los especialistas CompuSoluciones, CS Lock, Eset, Kaspersky, Tanium, priorizan en el armado de una solución de valor completa de ciberseguridad que los canales deben ofrecer.
En general, la lucha contra el ransomware continúa siendo un desafío en constante evolución para los actores de ciberseguridad. La colaboración entre canales, instituciones y expertos en seguridad cibernética es crucial para enfrentar la amenaza en expansión y proteger la integridad y confidencialidad de los datos en el mundo digital.
Especialistas en seguridad
Compusoluciones
Diana Ríos, Gerente Comercial Ciberseguridad
El mayorista se ha destacado por su portafolio de soluciones enfocadas en combatir los ataques de ransomware, entre ellas, Trellix.
“En el campo específico del ransomware, ofrecemos soluciones robustas y confiables que incluyen el ecosistema XDR (Extended Detection and Response), protección Endpoint y de email Security; estas herramientas permiten a las organizaciones minimizar el tiempo necesario para detectar, prevenir, investigar y responder frente a las amenazas avanzadas que representa el ransomware y otros ataques”: Diana Ríos.
Una de las principales preocupaciones de CompuSoluciones es asegurar que sus canales estén bien capacitados y preparados para enfrentar los retos que plantea la ciberseguridad en el mercado mexicano. “Hay mucha oportunidad de negocio en ciberseguridad, pero también desconocimiento tanto en los clientes como en los proveedores. Por ello, la capacitación y profesionalización en la materia deben ser constantes y de alta prioridad” enfatizó la Gerente Comercial Ciberseguridad.
La empresa ofrece constantemente cursos y certificaciones gratuitas a través de su portal compusoluciones.com, con el objetivo de dotar a los partners con conocimiento necesario para identificar oportunidades y brindar soluciones adecuadas a las necesidades de sus clientes, además, CompuSoluciones cuenta con profesionales capacitados que acompañan a los canales en su proceso de profesionalización en el campo de la ciberseguridad.
Otro pilar por destacar en la estrategia del mayorista son sus opciones financieras que facilitan el acceso a proyectos de mayor envergadura. Asimismo, una ventaja significativa que brinda CompuSoluciones es la posibilidad de elegir facturación en pesos, lo que ofrece seguridad y estabilidad en caso de fluctuaciones en el tipo de cambio, protegiendo así las finanzas y la operación de los negocios de sus socios.
“México es el país de Latinoamérica con más ataques y con menos preparación, falta de legislación y conciencia de protección; es ahí donde se abre la oportunidad de brindar servicios y soluciones que ayuden a minimizar riesgos y capacitar a colaboradores y gobierno corporativo de la importancia de la protección y que contar con protección contra ransomware hoy es una necesidad, es una inversión no un gasto y que las pérdidas monetarias para las empresas, así como la mala reputación y pérdida de clientes es infinitamente mayor que la inversión”: Diana Ríos.
CompuSoluciones invitó a los canales interesados en incursionar en el campo de la ciberseguridad a acercarse a la empresa. Su portafolio de soluciones su compromiso con la capacitación y el apoyo a sus socios de negocio hacen del mayorista un aliado estratégico en la lucha contra ciberamenazas.
G DATA
Giovanni Loarte, Team leader de soporte técnico e ingeniero de preventa.
G DATA compartió tres soluciones incluidas en su portafolio para apoyar la labor del canal y enfrentar el ransomware. Comenzando por G DATA Endpoint Protection, una solución que cuenta con una protección anti-ransomware basada en algoritmos de inteligencia artificial.
Adicionalmente, Giovanni Loarte explicó las soluciones Awareness Training y MEDR (Management Endpoint Detection and Responsive), que ayudan en el combate contra el ransomware, la primera es una plataforma de entrenamiento diseñada para concientizar a los usuarios sobre temas de ciberseguridad, cuenta con más de 35 cursos actualizados constantemente y proporciona planes de aprendizaje personalizados. La segunda es una propuesta que va más allá de la simple eliminación de ransomware, buscando comprender por qué ocurrieron los ataques y qué medidas de prevención pueden implementarse en el futuro, a lo que también agregó Loarte: “El MEDR permite realizar la trazabilidad de cada incidencia y entender cómo prevenir que vuelvan a ocurrir”.
“Apoyamos a los canales de distribución con capacitaciones y concientización sobre ransomware, les brindamos cursos sin costo para comprender las amenazas y mejorar sus prácticas de seguridad, también ofrecemos capacitaciones con eventos reales, lo que permite entender cómo se materializan los ataques y cómo se pueden prevenir.”: Team leader de soporte técnico e ingeniero de preventa.
Por último, el especialista expresó: “G DATA sigue demostrando su compromiso en la lucha contra el ransomware, proporcionando soluciones avanzadas y apoyando activamente a los canales de distribución en la protección contra esta creciente amenaza, por lo que invitamos a los canales a que conozcan más de la marca y nuestro portafolio completo que ofrecemos para los temas de ciberseguridad”.
