El ecosistema del ransomware se fractura ante los crecientes impactos contra su infraestructura

Según el Centro Nacional de Ciberseguridad (NCSC) del Reino Unido, el ransomware es la amenaza más directa para las empresas de todo el mundo. El año pasado, en Estados Unidos, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) observó incidentes de ransomware que afectaron a 14 de los 16 sectores de infraestructuras críticas de Estados Unidos, incluyendo defensa, alimentación y agricultura, instalaciones gubernamentales e incluso los servicios de emergencia. En este sentido, el Centro Australiano de Ciberseguridad (ACSC) ha informado recientemente de que sus infraestructuras críticas son objeto de continuos ataques por parte de atacantes que lo utilizan, y ha llegado a publicar una declaración consultiva conjunta con Estados Unidos y el Reino Unido para advertir de la creciente amenaza.

Esta tendencia ascendente podría atribuirse, al menos en parte, al hecho de que las organizaciones son más vulnerables al adoptar modelos de trabajo híbridos. Sin embargo, es más probable que se deba a la cada vez mayor economía del ransomware como servicio (RaaS), en la que los grupos de este tipo de programas y sus afiliados empaquetan y venden el software malicioso a "clientes" que luego orquestan el ataque. Estos ciberdelincuentes también ofrecen servicios de blanqueo de dinero, especialistas en negociación e incluso manuales detallados para acompañarlo, como demuestra el "cookbook" de Conti, recientemente filtrado. Esta democratización de la ciberdelincuencia ha creado toda una subindustria, en la que la competencia impulsa la innovación como lo haría en cualquier sector legítimo.

Sin embargo, gracias a los esfuerzos de los investigadores de sombrero blanco y los especialistas en ciberseguridad, así como a los gobiernos de todo el mundo que ahora refuerzan su postura de seguridad y adoptan un enfoque más proactivo, están empezando a aparecer grietas este ecosistema.

¿Fue el ataque a Colonial Pipeline el punto de inflexión?

Uno de los rasgos característicos del ransomware actual es el daño generalizado que pueden causar en el mundo real, desde la paralización del Servicio Nacional de Salud del Reino Unido hasta el caos del Departamento de Seguridad Nacional de los Estados Unidos. Pero nunca se han visto tan claramente sus consecuencias en la vida real como con el ataque a Colonial Pipeline de 2021. Un grupo de ransomware, DarkSide, se aprovechó de una supuesta vulnerabilidad no parcheada en su sistema, obligando a la empresa a desconectar ciertos sistemas para contener la amenaza. El coste del combustible se disparó, se produjeron compras masivas y los sectores de la aviación y militar podrían haberse visto gravemente afectados si la situación no se hubiera remediado una semana después.

Este suceso pareció ser la gota que colmó el vaso para el Gobierno de Biden, que anunció poco después del incidente que se sancionarían las bolsas de criptomonedas, como la rusa SUEX, con el objetivo de dificultar que los ciberdelincuentes se beneficiaran de sus ataques. Este parece ser el primero de una serie de acontecimientos que han acabado por provocar la aparición de grietas en el ecosistema del ransomware, y la prueba -si es que se necesitaba alguna- de que adoptar un enfoque proactivo en lugar de uno correctivo es la forma más eficaz de combatir la ciberdelincuencia.

En Estados Unidos, el Departamento de Justicia considera este ataque una amenaza para la seguridad nacional. La Unión Europea y otros 31 países de todo el mundo también se han unido a EE. UU. en la sanción de los intercambios de criptomonedas para obstaculizar estas actividades.

Aún no estamos fuera de peligro

Aunque la temporada pasada supuso un golpe importante para el ecosistema del ransomware, es probable que sigamos viendo millones de estas amenazas a lo largo de 2022, con ciberdelincuentes nuevos y viejos. Emotet, una de las redes de bots más peligrosas de la historia, regresó a finales de 2021, a pesar del esfuerzo coordinado de las entidades oficiales de todo el mundo para acabar con ella. Este troyano bancario convertido en botnet modular ha infectado 1.5 millones de ordenadores a nivel mundial a través de miles de redes corporativas.

Por lo tanto, las compañías deben permanecer alerta y, al igual que los Gobiernos, adoptar una postura más proactiva y preventiva para hacer frente a este ataque en constante crecimiento. Las grietas en el ecosistema del ransomware pueden estar empezando a mostrarse, pero, aunque los golpes recibidos recientemente indican que los ciberdelincuentes podrían estar perdiendo la batalla, la ciberguerra aún tiene bastante camino por recorrer.

Mario García, director general de Check Point Software para España y Portugal