¿Qué es el ransomware como servicio (RaaS)?
RaaS es un modelo de negocio de la ciberdelincuencia en el que los desarrolladores de ransomware venden su malware a otros hacker. 
Suscríbase al boletín de IBM Explore IBM Security QRadar
Dibujo isométrico que muestra diferentes trabajadores en oficina, todos usando IBM Security
¿Qué es el ransomware como servicio?

El ransomware como servicio (RaaS) es un modelo de negocio de ciberdelincuencia en el que un grupo o banda vende el código de su ransomware a otros hackers, que luego lo utilizan para llevar a cabo sus propios ataques de ransomware.

Según el X-Force Threat Intelligence Index de IBM, el ransomware fue el segundo tipo más común de ciberataque en 2022. Muchos expertos creen que el auge del RaaS ha contribuido a que el ransomware siga siendo tan frecuente.Un informe 2022 de Zscaler (enlace externo a ibm.com) descubrió que 8 de las 11 variantes de ransomware más activas eran variantes RaaS.

Es fácil entender por qué el modelo RaaS es tan popular entre los cibercriminales. RaaS rebaja el listón de entrada a la ciberdelincuencia, permitiendo que incluso los actores de amenazas con conocimientos técnicos limitados lleven a cabo ciberataques. Además, el RaaS es mutuamente beneficioso: los hackers pueden beneficiarse de la extorsión sin desarrollar su propio malware, y los desarrolladores de ransomware pueden aumentar sus beneficios sin atacar manualmente las redes.

Cómo funciona el modelo RaaS

RaaS funciona de la misma manera que lo hacen los modelos de negocio legítimos de software como servicio (SaaS). Los desarrolladores de ransomware, también llamados operadores RaaS, asumen el trabajo de desarrollar y mantener las herramientas y la infraestructura del ransomware.Empaquetan sus herramientas y servicios en kits RaaS que venden a otros hackers, llamados afiliados RaaS. 

La mayoría de los operadores utilizan uno de los siguientes modelos de ingresos para vender sus kits:

  • Suscripción mensual: Los afiliados RaaS pagan una cuota periódica, a veces tan solo 40 USD al mes, para acceder a las herramientas de ransomware.

  • Cuota única: Los afiliados pagan una cuota única para comprar el código del ransomware directamente.

  • Modelos de afiliados: Los afiliados pagan una cuota mensual y comparten con los operadores un pequeño porcentaje de cualquier pago de rescate que reciban.

  • Reparto de beneficios: Los operadores no cobran nada por adelantado, pero se llevan una parte importante de cada rescate que recibe el afiliado, a menudo entre el 30% y el 40%. 

Los kits RaaS se anuncian en foros de la web oscura‌, y algunos operadores de ransomware reclutan activamente a nuevos afiliados.El grupo REvil, por ejemplo, gastó 1 millón de dólares como parte de una importante campaña de contratación en octubre de 2020 (enlace externo a ibm.com).

Una vez que han adquirido un kit, los afiliados obtienen algo más que malware y claves de descifrado: a menudo reciben un nivel de servicio y asistencia equiparable al de los vendedores legales de SaaS.Algunos de los operadores de RaaS más sofisticados pueden ofrecer servicios como asistencia técnica continua, acceso a foros privados donde los hackers pueden intercambiar consejos e información, portales de procesamiento de pagos (ya que la mayoría de los pagos de rescates se solicitan en criptomonedas imposibles de rastrear, como Bitcoin) e incluso herramientas y asistencia para redactar notas de rescate personalizadas o negociar las peticiones de rescate.

Desafíos de ciberseguridad de los ataques RaaS

Si bien el potencial de beneficios es un factor importante en la proliferación de RaaS, los programas de afiliación también proporcionan a los hackers y desarrolladores de ransomware beneficios adicionales - y presentan desafíos adicionales para los profesionales de la ciberseguridad

Atribución imprecisa de incidentes de ransomware. En el modelo RaaS, las personas que llevan a cabo los ciberataques pueden no ser las mismas que desarrollaron el malware utilizado.Además, diferentes grupos de hackers pueden estar utilizando el mismo ransomware.Los profesionales de la ciberseguridad pueden no ser capaces de atribuir definitivamente los ataques a grupos específicos, lo que hace más difícil perfilar y atrapar a los operadores y afiliados RaaS. 

Especialización de cibercriminales. Al igual que la economía legal, la economía de la ciberdelincuencia ha dado lugar a una división del trabajo.Los actores de las amenazas pueden ahora especializarse y perfeccionar su oficio.Los desarrolladores pueden centrarse en crear malware cada vez más potente, y los afiliados en desarrollar métodos de ataque más eficaces.Una tercera clase de ciberdelincuentes, llamados "intermediarios de acceso", se especializa en infiltrarse en las redes y vender puntos de acceso a los atacantes.La especialización permite a los hackers moverse más rápido y llevar a cabo más ataques. Según el índice X-Force Threat Intelligence, el tiempo medio para ejecutar un ataque de ransomware se redujo de 60+ días en 2019 a 3,85 días en 2022. 

Amenazas de ransomware más resistentes. RaaS permite a los operadores y afiliados compartir el riesgo, lo que hace que cada uno sea más resistente.Atrapar a los afiliados no supone detener a los operadores, y los afiliados pueden cambiar a otro kit de ransomware si se atrapa a un operador.También se sabe que los hackers reorganizan y renuevan sus actividades para evadir a las autoridades. Por ejemplo, después de que la Oficina de Control de Activos Extranjeros de Estados Unidos (OFAC) sancionara a la banda de ransomware Evil Corp, las víctimas dejaron de pagar rescates para evitar las sanciones de la OFAC.Como respuesta, Evil Corp cambió el nombre de su ransomware varias veces (enlace externo a ibm.com) para mantener los pagos entrantes. 

Variantes de RaaS destacadas

Puede ser difícil precisar qué bandas son responsables de qué ransomware o qué operadores están oficialmente activos en un momento dado.Dicho esto, los profesionales de la ciberseguridad han identificado algunos operadores importantes de RaaS a lo largo de los años, entre ellos:

  • Tox: Identificado por primera vez en 2015, muchos consideran que Tox es el primer RaaS.
  • LockBit: LockBit es una de las variantes RaaS más omnipresentes en la actualidad, responsable del 17 % de los incidentes de ransomware observados en 2022, más que cualquier otra cepa. LockBit suele propagarse a través de correos electrónicos de phishing. En particular, la banda detrás de LockBit ha tratado de reclutar a afiliados que trabajan para sus víctimas objetivo, lo que facilita la infiltración. 
  • DarkSide: La variante de ransomware de DarkSide se utilizó en el ataque de 2021 al oleoducto estadounidense Colonial Pipeline, considerado el peor ciberataque contra infraestructuras críticas de Estados Unidos hasta la fecha. DarkSide se cerró en 2021, pero sus desarrolladores lanzaron un kit RaaS sucesor llamado BlackMatter.
  • REvil/Sodinokibi: REvil, también conocido como Sodin o Sodinokibi, produjo el ransomware detrás de los ataques de 2021 contra JBS USA y Kaseya Limited. En su apogeo, REvil fue una de las variantes de ransomware más extendidas, representando el 37 % de los ataques de ransomware en 2021. El Servicio Federal de Seguridad de Rusia cerró REvil e imputó a varios miembros clave a principios de 2022, pero la infraestructura RaaS de la banda volvió a aparecer en abril de 2022 (enlace externo a ibm.com)
  • Ryuk: Antes de cerrar en 2021, Ryuk era una de las operaciones RaaS más grandes. Los desarrolladores de Ryuk lanzaron Conti, otra variante importante de RaaS, que se utilizó en un ataque contra el gobierno costarricense en 2022 (enlace exerno a ibm.com).
  • Hive: Hive saltó a la fama en 2022 después de un ataque a Microsoft Exchange Server. Los afiliados de Hive fueron una amenaza importante para las empresas financieras y las organizaciones sanitarias hasta que el FBI acabó con el operador en 2023 (enlace externo a ibm.com). 
Protección contra RaaS

Aunque RaaS ha cambiado el panorama de las amenazas, muchas de las prácticas estándar para la protección contra el ransomware pueden seguir siendo eficaces para combatir los ataques RaaS.Muchos afiliados a RaaS son menos competentes técnicamente que los atacantes de ransomware de ayer.Colocar suficientes obstáculos entre los hackers y los activos de red puede disuadir por completo algunos ataques RaaS.Otras tácticas de ciberseguridad pueden incluir: 

Soluciones relacionadas
IBM Security® QRadar® SIEM

Detecte amenazas avanzadas que otros simplemente pasan por alto.QRadar SIEM aprovecha los análisis y la IA para supervisar la información sobre amenazas, anomalías en la red y comportamiento de los usuarios, y para priorizar las áreas que requieren atención y acción inmediatas.

Explore las soluciones SIEM de QRadar

IBM Security QRadar EDR

Proteja los puntos finales de los ciberataques, detecte comportamientos anómalos y corríjalos prácticamente en tiempo real con esta solución de detección y respuesta de puntos finales (EDR) sofisticada pero fácil de usar.

Explore QRadar EDR

Soluciones de protección contra ransomware

Evite que el ransomware interrumpa la continuidad del negocio y recupérese rápidamente cuando se produzcan ataques, con un enfoque de confianza cero que le ayuda a detectar y responder al ransomware más rápidamente y a minimizar el impacto de los ataques de ransomware.

Explore las soluciones de protección contra ransomware
Recursos X-Force Threat Intelligence Index

Obtenga información práctica que le ayudará a comprender cómo los actores de amenazas están llevando a cabo los ataques y cómo proteger de forma proactiva a su organización.

La guía definitiva del ransomware 2023

Conozca los pasos críticos para proteger su empresa antes de que un ataque de ransomware pueda penetrar en sus defensas, y para lograr una recuperación óptima si los adversarios traspasan el perímetro.

Coste de la vulneración de datos

Este informe, ya en su 17ª edición, presenta la información más reciente sobre la evolución de las amenazas y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.

Taller sobre estructuración y descubrimiento de IBM Security

Trabaje con arquitectos y consultores de seguridad senior de IBM para priorizar sus iniciativas de ciberseguridad en una sesión de pensamiento de diseño de 3 horas, virtual o presencial, sin coste alguno.

Ciudadanos más seguros, comunidades fortalecidas

Los Ángeles se asocia con IBM Security para crear el primer grupo de intercambio de ciberamenazas para protegerse de la ciberdelincuencia.

¿Qué es la SIEM?

La gestión de eventos e información de seguridad (SIEM) ofrece supervisión y análisis de eventos en tiempo real, así como seguimiento y registro de datos de seguridad con fines de cumplimiento o auditoría.

Dé el siguiente paso

Las amenazas a la ciberseguridad son cada vez más avanzadas y persistentes, y exigen un mayor esfuerzo por parte de los analistas de seguridad para cribar las innumerables alertas e incidentes. IBM® Security Qradar SIEM permite corregir amenazas con mayor rapidez, sin afectar a las finanzas de su empresa. QRadar SIEM establece alertas ultrafiables para ayudarle a identificar amenazas que otras soluciones pasan por alto.

Más información sobre QRadar SIEM Solicite una demo de QRadar SIEM