Aumentan los ataques ransomware en 2023, pero no lo hacen sus ganancias

El Informe 'Panorama del Ransomware en 2023' pone de manifiesto que los ataques ransomware están experimentando un descenso en los pagos realizados a los ciberdelincuentes.

Las razones detrás de este cambio son tan reveladoras como alentadoras. El informe destaca factores clave, como la creciente concienciación sobre la existencia de estos ataques, la implementación de medidas de ciberseguridad que van más allá del almacenamiento local y la adopción de seguros contra ciberataques.

Pero eso no es todo, los ataques ransomware ya no son simplemente una amenaza; ha evolucionado para convertirse en una herramienta tan poderosa como las temidas Amenazas Persistentes Avanzadas (APT). Además, se ha utilizado como un arma geopolítica en un intento de desestabilizar las economías rivales.

En este artículo recordamos las definiciones de estos tipos de ataque y desglosamos las conclusiones clave del informe, explorando cómo las estrategias de ciberseguridad están evolucionando en respuesta a estas amenazas cada vez más sofisticadas.

¿Qué es el ransomware?

El ransomware es un tipo de software malicioso (malware) que se utiliza para cifrar los archivos o bloquear el acceso a un sistema informático o dispositivo, como una computadora o un teléfono móvil. Una vez que el ransomware ha infectado el sistema, suele mostrar un mensaje de rescate en el que los atacantes exigen un pago (un rescate) a cambio de proporcionar la clave o herramienta necesaria para desbloquear los archivos o restaurar el acceso al sistema.

Es importante destacar que pagar el rescate no garantiza necesariamente la recuperación de los archivos o la eliminación del ransomware. Además, pagar a los ciberdelincuentes puede alentarlos a continuar con su actividad.

¿Qué es una APT?

Advance Persistent Threat son un conjunto de acciones silenciosas en los sistemas tecnológicos por parte de cibercriminales con la intención de atacar de forma continuada en el tiempo, es uno de los grandes ciberriesgos de las infraestructuras críticas y debemos tener claras sus características.

Principales características de las APTs

• La Persistencia: Las APTs están diseñadas para mantenerse activas en el entorno objetivo durante un período prolongado, a menudo durante meses o incluso años. Los atacantes trabajan diligentemente para evitar ser detectados y expulsados del sistema.
• Sofisticación: Los actores detrás de una APT suelen tener un alto grado de experiencia técnica y recursos. Utilizan herramientas y técnicas avanzadas para infiltrarse en sistemas y redes, evitando las medidas de seguridad tradicionales.
• Objetivos específicos: A diferencia de los ataques aleatorios o de oportunidad, las APTs tienen objetivos específicos, como robar información confidencial, secretos comerciales, propiedad intelectual o información gubernamental clasificada. Los objetivos pueden ser organizaciones o individuos específicos.
• Sigilo: Los atacantes APT se esfuerzan por pasar desapercibidos, utilizando técnicas de evasión, como el uso de malware personalizado o técnicas de ofuscación. Esto les permite evitar la detección por parte de sistemas de seguridad convencionales.
• Fases múltiples: Los ataques APT suelen dividirse en múltiples fases, que pueden incluir la infiltración inicial, el movimiento lateral a través de la red, la recopilación de datos y la exfiltración de información. Cada fase se ejecuta de manera cuidadosa y planificada.
• Mantenimiento del acceso: Una vez que se establece la presencia en la red, los atacantes APT trabajan para mantener el acceso persistente, lo que les permite continuar monitoreando y exfiltrando datos a lo largo del tiempo.

José Rosell, nuestro socio-director en S2 Grupo, asegura que algo importante que se deriva de este estudio es que los cibercriminales saben invertir en aquellas herramientas que mejor se adaptan al cambio y más beneficios proporcionan a menor riesgo, y en ese sentido el ransomware está demostrando ser una buena inversión para ellos.

Grupos de ransomware y su efecto en la geopolítica

En este estudio también se ha abordado el efecto de los ataques ransomware en el terreno geopolítico, donde se observa cómo algunos actores APT lo están utilizando como un arma. No es descabellado pensar que hay actores APT asociados con Estados que utilizan este malware para desestabilizar economías rivales.

Desde 2021 se percibe un punto de inflexión en el que los grupos de ransomware han adquirido prácticamente el mismo nivel de relevancia que los grupos de APT financiados por Estados, y forman parte del contexto de la ‘ciberguerra’.

En el informe elaborado por el equipo de S2 Grupo también se observa como los ciberdelincuentes están teniendo preferencia por objetivos de gran tamaño y esto va acompañado de ataques de ransomware a compañías con gran impacto en la cadena de suministro y del sector servicios.

Otros de los temas que analizamos en relación al ransomware son: qué ha motivado su evolución, los tipos que existen, incidentes destacados; también se abordamos las diferentes estrategias, técnicas y tácticas generales empleadas por los grupos de ransomware; y te ofrecemos una visión del estado actual en materia de protección frente a este malware, con recomendaciones de cara a esta situación y a las tendencias futuras.

“La única forma de minimizar el impacto de este tipo de amenaza es anticiparse a ella, conocer mejor el panorama actual y las motivaciones de los actores detrás de este tipo de ataque, y desplegar medidas efectivas para detenerla”, José Rosell, socio-director de S2 Grupo.