Por secuestro de datos se pagó en criptomonedas 1.100 millones de dólares en 2023, un máximo histórico.
Escrito por Jose de Jesus Prieto on 07/02/2024
7 de febrero del 2024 – Tras un descenso significativo en 2022, el aumento del 94%
registrado el año pasado demuestra que el ransomware es una amenaza que solo va a
empeorar. El panorama del secuestro de datos experimentó una importante escalada en
la frecuencia, alcance y volumen de ataques directos, lo que provocó que las víctimas
pagaran más de 1.100 millones de dólares en criptomonedas a los ciberdelincuentes en el
2023, según el Informe sobre Criptodelincuencia 2024 de Chainalysis.
Para Chainalysis, la estrategia de los ciberdelincuentes es la “caza” de víctimas en la red
que tienen la capacidad de pagar hasta 1 millón de dólares o más para el rescate de la
información, ya que el 75% del volumen de pagos se dio por esa cantidad objetivo.
"Este máximo histórico de pagos por ransomware demuestra que es una amenaza latente
que empeorará. Adicionalmente al pago por el rescate de datos, los 1.100 millones de
dólares, las empresas asumen pérdidas que afectan directamente su productividad, costes
asociados a la reparación de sus ecosistemas. Por ejemplo, la compañía MGM no accedió
a pagar ningún rescate, pero registró pérdidas que superaban los 100 millones de
dólares", explicó Jackie Koven, Responsable de Inteligencia sobre Ciberamenazas de
Chainalysis.
"Entender el ecosistema del ransomware es vital para identificar posibles ataques y
desmontar las “estrategias de robo de datos”. Debido a que su impacto es global, este
tema requiere del esfuerzo gubernamental, de los organismos encargados de hacer
cumplir la ley, de los proveedores de tecnología expertos en ciberataques y del apoyo de
las organizaciones de víctimas que buscan ser informados con transparencia para hacer
frente a estos ataques", añadió Koven.
En el 2023, de forma alarmante, los investigadores de Chainalysis identificaron el aumento
de nuevos “jugadores” y cepas de ransomware, atraídos por el potencial de sus beneficios
y las pocas barreras de entrada. Un ejemplo de ello fue la creciente popularidad y facilidad
de acceso al ransomware de servicios como -RaaS-, en el cual personas ajenas que se
hacían pasar como afiliados, atacaban con un software malicioso, a cambio de beneficios.
Según, Koven, así operan los grupos de ransomware y sus afiliados: "El crecimiento de los
intermediarios de acceso inicial (IAB) han facilitado a los delincuentes la realización de
ataques de ransomware. Como su nombre indica, los IAB penetran en las redes de las
víctimas potenciales y luego venden ese acceso a los atacantes de ransomware por tan
solo unos cientos de dólares. Los IAB, combinados con los RaaS disponibles en el mercado,
hacen que se requieran muchos menos conocimientos técnicos para llevar a cabo un
exitoso ataque de ransomware. Encontramos una correlación entre los flujos de entrada a
las billeteras IAB y un aumento en los pagos de ransomware, lo que sugiere que el
monitoreo de IAB podría proporcionar señales de alerta temprana y permitir una posible
intervención y mitigación de los ataques."
Chainalysis logró rastrear el movimiento de los fondos del ransomware, descubriendo
cómo se blanquean estos fondos. El año pasado, por ejemplo, se identificó que las tácticas
empleadas por los ciberdelincuentes muestran un nivel muy bajo de concentración de
fondos recibidos de monederos vinculados al ransomware, mientras que los servicios de
apuestas, los activos que se mantienen en múltiples cadenas – Cross-Chain Bridge- y las
entidades sancionadas, mostraron los niveles más altos de concentración de fondo.
"Esa dinámica, antes preferida por los ciberdelincuentes, es el resultado del
desmantelamiento de sus métodos tradicionales de blanqueo de fondos. La aplicación de
algunas políticas de seguridad más sólidas como AML/KYC y la evolución de las esas
preferencias del blanqueo de fondos por parte de los delincuentes, afima Koven, “ha
hecho que el rompecabezas criminal sea mucho más claro para las autoridades, quienes
tienen el objetivo con acabar con esta forma de ciberdelincuencia”.