A medida que nos acercamos al final de 2024, el ransomware sigue siendo una amenaza dominante y en constante evolución contra cualquier organización. Los ciberdelincuentes son más sofisticados y creativos que nunca. Integran nuevas tecnologías, aprovechan las tensiones geopolíticas e incluso utilizan las regulaciones legales en su beneficio.
Lo que antes parecía un crimen disruptivo pero relativamente sencillo se ha convertido en un desafío global de múltiples capas que sigue amenazando tanto a empresas como a gobiernos.
Echemos un vistazo al estado actual del ransomware. Nos centraremos en cómo los ciberdelincuentes están cambiando de táctica, confiando en la tecnología de IA, explotando marcos legales y más.
Uno de los desarrollos más significativos en el panorama del ransomware ha sido el uso de la inteligencia artificial (IA) para mejorar los ataques de phishing e ingeniería social. Históricamente, los correos electrónicos de phishing a menudo contenían signos evidentes de fraude: palabras mal escritas, gramática pobre y mensajes genéricos. Sin embargo, las nuevas herramientas de IA generativa pueden crear correos electrónicos altamente personalizados y de aspecto profesional, lo que ha cambiado drásticamente las reglas del juego. Esto probablemente explique por qué los volúmenes y las tasas de éxito de los ataques de suplantación de identidad han ido aumentando, ya que las campañas de suplantación de identidad son más fáciles de generar y más convincentes que nunca.
La IA permite a actores de amenazas extraer grandes cantidades de datos para elaborar correos electrónicos convincentes dirigidos a personas u organizaciones concretas. Estos correos electrónicos pueden contener información contextual que los hace parecer legítimos, lo que aumenta significativamente la probabilidad de éxito. La capacidad de lanzar ataques tan precisos es la razón por la que el ransomware ha sido particularmente devastador para sectores como la salud, donde cualquier interrupción puede tener consecuencias mortales.
Además, la tecnología deepfake generada por IA ha empezado a desempeñar un papel en la ingeniería social. Los ciberdelincuentes ahora pueden crear deepfakes de audio y vídeo de los ejecutivos de la empresa para engañar a los empleados para que transfieran dinero o revelen información confidencial. Esto ha hecho que detectar el fraude sea mucho más difícil y a las organizaciones les resulta cada vez más complicado protegerse contra este tipo de ataques.
Los grupos de ransomware no dependen solo de medios técnicos para presionar a las víctimas para pagar rescates, sino que también manipulan las regulaciones legales en su beneficio. Uno de los acontecimientos más llamativos de 2024 ha sido la militarización de las normas de divulgación, en concreto las emitidas por la Comisión de Bolsa y Valores de U. S. (SEC).
Un caso reciente de alto perfil involucró al grupo de ransomware BlackCat/ALPHV que presentó una queja formal ante la SEC contra un proveedor de servicios de préstamos digitales. Tras filtrar los archivos de la empresa, el grupo habría denunciado a la SEC que el proveedor no cumplía con la normativa que exige a las organizaciones revelar cualquier incidente de ciberseguridad en un plazo de cuatro días hábiles. Esta táctica "legal" añadida estaba diseñada para presionar a las víctimas para pagar el rescate con el fin de evitar sanciones financieras o daños a la reputación.
Este inquietante incidente muestra que los grupos de ransomware utilizarán cualquier cosa, incluso las regulaciones del gobierno, como medio de presión. "Los actores de amenazas están utilizando las regulaciones para presionar más a las víctimas. Esta es una tendencia bastante interesante", dijo Ifigeneia Lella, experta en ciberseguridad de la Agencia de la Unión Europea para la Ciberseguridad (ENISA). Es un recordatorio escalofriante de que los marcos legales, aunque están destinados a proteger al público y promover la transparencia, pueden ser manipulados por actores maliciosos para promover sus propias agendas maliciosas.
Según el informe ENISA Threat Landscape 2024, el año pasado se registró un uso cada vez mayor de técnicas de "living-off-the-land" (LOTL) por parte de los ciberdelincuentes. Los ataques LOTL implican el uso de herramientas y software que ya existen en el sistema de la víctima, lo que dificulta que los equipos de seguridad detecten actividades maliciosas. En lugar de depender de malware externo que puede ser señalado por el software antivirus, los atacantes aprovechan herramientas administrativas legítimas como PowerShell o Windows Management Instrumentation (WMI) para ejecutar sus ataques.
Por ejemplo, PLAY, un grupo de ransomware multiextorsión, suele utilizar herramientas comerciales como Cobalt Strike, Empire y Mimikatz para el descubrimiento y el movimiento lateral dentro de la red del objetivo. Al evitar la introducción de software nuevo y sospechoso, los atacantes pueden eludir la detección durante periodos más largos, a menudo hasta que es demasiado tarde para que la víctima responda con eficacia. Este cambio hacia las técnicas LOTL representa un desafío continuo para los profesionales de la ciberseguridad, ya que las soluciones antivirus tradicionales son cada vez menos eficaces contra estos ataques sutiles.
Además de los avances tecnológicos, el ransomware se utiliza cada vez más como arma de influencia geopolítica y hacktivismo. Los ciberdelincuentes ya no solo están motivados por el beneficio económico; algunos están utilizando malware para promover agendas políticas, desestabilizar gobiernos o crear caos en ciertas regiones.
El informe de ENISA hizo hincapié en la forma en que las tensiones geopolíticas convergen con los ataques de ransomware. Por ejemplo, durante el conflicto entre Rusia y Ucrania, grupos de ransomware atacaron infraestructura crítica en Ucrania y otros países aliados con Ucrania. Estos ataques no tenían necesariamente una motivación financiera, sino más bien una motivación política. El objetivo era interrumpir las operaciones nacionales o paralizar sectores clave como la energía, la sanidad y el transporte.
Los grupos hacktivistas también están uniendo fuerzas con las bandas de ransomware para impulsar sus propios objetivos ideológicos. Por ejemplo, han aumentado los ataques contra la administración pública y los sectores del transporte, a menudo vinculados a acontecimientos políticos específicos o movimientos globales. A medida que el cibercrimen se politiza más, las organizaciones y los gobiernos deben reconocer que el ransomware ya no es solo una amenaza financiera, sino también una herramienta de disrupción en el escenario global. Y dado el aumento de las tensiones geopolíticas en todo el mundo, este tipo de ataques son cada vez más comunes.
A pesar de los esfuerzos mundiales para frenar el ransomware, el número de ataques de ransomware sigue aumentando. Según el Ransomware Tracker, el número de víctimas publicadas en sitios de extorsión se disparó en mayo de 2024 hasta las 450, frente a las 328 de abril, lo que lo convierte en uno de los meses más activos de los últimos años.
Sectores como la sanidad, la administración pública, el transporte y las finanzas se encuentran entre los más afectados. Estos sectores son particularmente vulnerables debido a su dependencia de la infraestructura digital y a las graves consecuencias del tiempo de inactividad operativa. Por ejemplo, el Departamento de Salud y Servicios Humanos de EE. UU. informó de un aumento del 256 % en las brechas relacionadas con hacking en la sanidad en los últimos cinco años, lo que subraya la mayor vulnerabilidad del sector.
El impacto financiero del ransomware continuará creciendo en 2024, con costes que van más allá del pago del rescate. Según un informe del sector, el coste medio de recuperación para las víctimas de ransomware en los gobiernos estatales y locales es de 2,73 millones de dólares, más del doble de la cantidad reportada en 2023. Estos costes incluyen no solo pagos de rescate, sino también gastos relacionados con el tiempo de inactividad, la pérdida de datos, la interrupción operativa y el daño reputacional.
Las propias demandas de rescate también se están disparando. El informe afirma que la demanda media de rescate de los gobiernos estatales y locales es ahora de 3,3 millones de dólares, con algunas demandas que superan los 5 millones de dólares. A nivel mundial, sectores como la sanidad, la energía y la educación están experimentando tendencias similares. Peor aún, las altas demandas de rescate y los elevados costes de recuperación pueden paralizar o incluso cerrar organizaciones más pequeñas.
El panorama del ransomware en 2024 es cada vez más complejo. Con las campañas de phishing impulsadas por IA, las técnicas de living-off-the-land, la explotación de los marcos legales y la fusión de las tensiones geopolíticas, lo que está en juego nunca ha sido tanto. Sin embargo, los avances en las herramientas de ciberseguridad de IA y la creciente conciencia de estas tácticas ofrecen vías para mejorar las defensas.
A medida que los ciberdelincuentes se adaptan e innovan, también deben hacerlo los profesionales y las organizaciones de ciberseguridad. Medidas proactivas como la gestión de vulnerabilidades, el empleo de estrategias sólidas de copias de seguridad y la inversión en capacidades de respuesta a incidentes son esenciales para combatir esta amenaza siempre presente. El ransomware puede continuar evolucionando, pero también las herramientas y la estrategia utilizada para combatirlo.