34,059 Views

Los ataques de ransomware han ido en aumento en los últimos años, con estimaciones de la industria que informan de un aumento de cuatro veces en los pagos realizados a los ciberdelincuentes en 2020 y 2021 en comparación con 2019.  

Estos ataques han tenido un impacto significativo en la sociedad, causando importantes trastornos y daños a gobiernos, instituciones públicas, empresas y ciudadanos. En algunos casos, los ataques de ransomware han afectado incluso a los sistemas sanitarios y amenazado la seguridad nacional al detener infraestructuras y servicios críticos o comprometer datos sensibles.  

A medida que aumentan la frecuencia y la gravedad de los ataques de ransomware, es crucial comprender sus efectos en la sociedad y cómo prevenirlos y mitigarlos. 

En respuesta a la creciente amenaza de los ataques de ransomware, el Grupo de Acción Financiera InternacionalFATF) ha publicado un informe titulado "Informe sobre la lucha contra la financiación del ransomware que proporciona orientación a los países para prevenir y detectar el blanqueo de capitales procedentes de estos ataques. Además, ha publicado posibles indicadores de riesgo para instituciones financieras y otras empresas para ayudar a identificar y notificar actividades sospechosas relacionadas con pagos por ransomware.

 ¿Qué es el ransomware? 

 El ransomware es un tipo de extorsión en el que los atacantes utilizan un tipo de software malicioso (malware) que los delincuentes emplean para denegar el acceso a datos, sistemas o redes exigiendo a cambio el pago de un rescate. Los atacantes suelen emplear varios métodos para denegar el acceso a los datos, como el cifrado de datos, la exfiltración de datos, etc.  

Lo que diferencia al ransomware de otros tipos de malware es la amenaza de publicar los datos de la víctima si no se cumple la petición de rescate. Como tal, los ataques de ransomware pueden causar importantes interrupciones, pérdidas e incluso daños a la reputación de empresas, instituciones y particulares por igual. 

Técnicas de ransomware 

Las técnicas de secuestro informático han evolucionado considerablemente en los últimos años, y los delincuentes utilizan métodos sofisticados para acceder a los sistemas de sus víctimas. 

Estas técnicas suelen implicar: 

  • Caza mayor: Esta técnica consiste en dirigirse a grandes organizaciones de gran valor, a menudo de alto perfil, que tienen más probabilidades de sufrir costes de inactividad más elevados, incluidas las infraestructuras críticas. Se cree que estas organizaciones tienen una mayor probabilidad de pagar rescates. Los atacantes de ransomware se dirigen con frecuencia a los sectores de la energía, la banca, las comunicaciones y la educación, pero también atacan a entidades gubernamentales o del sector público, la sanidad y los bienes industriales.
  • RAAS: Son las siglas de Ransomware-as-a-Service (ransomware como servicio), un modelo de negocio en el que los delincuentes que se dedican al ransomware ofrecen servicios de ransomware en la Dark Web o subcontratan elementos de los ataques, como la distribución del malware, el compromiso inicial de la red de la víctima, el robo de credenciales y otros servicios a cambio de una comisión.
  • Doble extorsión: Esta técnica consiste en que un atacante exfiltra los datos de una víctima antes de cifrarlos y luego amenaza con publicar los datos robados si no se paga el rescate.
  • Triple extorsión: Esta técnica consiste en que un atacante pide el rescate no sólo a la empresa víctima, sino también a la víctima cuyos datos han sido revelados. Esto podría incluir información sanitaria protegida, información de identificación personal, credenciales de cuentas y propiedad intelectual.
  • Extorsión múltiple: Esta práctica implica más de dos métodos de extorsión. Puede incluir la doble extorsión mediante cifrado, pero también tácticas de presión adicionales como la denegación de servicio distribuida (DDoS), el contacto con los clientes de las víctimas, la venta al descubierto de acciones de las víctimas y la interrupción de los sistemas de infraestructuras.

Los ataques de ransomware pueden tener graves consecuencias y plantear importantes amenazas para la seguridad nacional, como causar daños e interrupciones en infraestructuras críticas y servicios esenciales. 

Países con mayor riesgo de blanqueo de los ataques de ransomware 

Los ataques de ransomware son un problema mundialpero algunos países corren un mayor riesgo de ser objetivo de estos delincuentes para blanquear el producto de sus delitos.

Entre estos países figuran: 

  • Países conocidos por financiar o apoyar actividades terroristas 
  • Países conocidos por tener niveles significativos de delincuencia organizada, corrupción, drogas, trata de seres humanos y juego ilegal
  • Países sujetos a sanciones, embargos o medidas similares 
  • Países con gobernanza, aplicación de la ley y regímenes reguladores débiles, especialmente los VASP. 

Distribución geográfica de los ataques de ransomware 

La distribución de los ataques de ransomware hace referencia a la propagación geográfica de este tipo de ataques. Las distintas regiones tienen diferentes niveles de susceptibilidad a estos ataques debido a las variaciones en las medidas de seguridad y la infraestructura digital. Según el FATFNorteamérica parece registrar los mayores ataques de ransomware, mientras que Oriente Medio y África los más bajos.

Ataques de ransomware por zonas geográficas

Métodos de blanqueo de capitales procedentes de ataques de ransomware 

Los atacantes de ransomware suelen exigir pagos en activos virtualeslo que dificulta el seguimiento de los ingresos ilícitos. Los delincuentes emplean una serie de técnicas para blanquear los activos virtuales que reciben como pago por los ataques de ransomware. El objetivo de estos métodos es ocultar el origen y el movimiento de los fondos ilícitos, lo que dificulta su seguimiento e incautación por parte de las autoridades policiales y judiciales:

  • Peer-to-peer (P2P): La víctima puede enviar activos virtuales al operador del ransomware directamente con el uso de su clave privada y su conexión a Internet sin recurrir a una institución regulada. Como resultado, las partes de la transacción no necesitan pasar por los procedimientos KYC .
  • Diferentes direcciones de monedero: Los atacantes de ransomware suelen exigir pagos en diferentes direcciones de monedero que controlan para recibir los ingresos ilícitos de cada ataque.
  • Uso de direcciones intermediarias: Una vez recibidos los fondos, los atacantes pueden utilizar múltiples direcciones intermediarias para mover los activos virtuales transfiriendo pequeñas cantidades a nuevas direcciones alojadas por VASPs regulados (cadenas de cáscaras).
  • Utilización de mezcladores y bombos: Estos servicios ocultan la conexión entre la dirección de envío del activo virtual y la dirección de recepción.
  • Monedas de privacidad: Aunque la mayoría de los atacantes de ransomware exigen sus pagos en bitcoins, en algunos casos solicitan sus pagos en monedas de privacidad (criptomonedas mejoradas para el anonimato). Estas monedas ofuscan los monederos de envío y recepción.
  • Salto en cadena: Los atacantes de ransomware suelen mover activos virtuales de una cadena de bloques a otra distinta en rápida sucesión para eludir el seguimiento de los movimientos. En algunos casos, utilizan protocolos DeFi para realizar saltos en cadena a stablecoins antes de convertir los fondos en moneda fiduciaria.
  • VASPs en jurisdicciones de alto riesgo: A menudo, los atacantes envían los activos virtuales a un VASP situado en jurisdicciones con controles CTF débiles o inexistentes para realizar la conversión en moneda fiduciaria.
  • Mulas de dinero: A menudo, los delincuentes abren cuentas utilizando una identidad robada o falsa o utilizan cuentas de terceros que son reclutados para este fin. Estas cuentas se utilizan para mover fondos ocultando aún más el origen de los activos virtuales.

Prácticas propuestas por FATF en relación con los ataques de ransomware 

Para combatir eficazmente la creciente amenaza de los ataques de ransomware, el FATF ha propuesto a los países la adopción de diversas prácticas. Estas medidas pretenden mejorar la detección, prevención y persecución de los ataques de ransomware y el blanqueo de sus beneficios exigiendo a los países que: 

  • Tipificar el ransomware como delito subyacente 
  • Acelerar la regulación de los proveedores de servicios de activos virtuales (VASP) a efectos de AML y garantizar que cumplen la Norma de Viajes y la notificación de transacciones sospechosas. La aplicación limitada de la Travel Rule por parte de los VASP presenta oportunidades para que los ciberdelincuentes eviten la detección y obstaculicen las investigaciones, ya que las fuerzas de seguridad se basan en esta información para identificar a las partes implicadas en una transacción 
  • Mejorar la detección proporcionando orientación a las entidades reguladas para detectar ransomware y transacciones sospechosas compartiendo tendencias, guías e indicadores de alerta, pero también animando a las víctimas a denunciar los incidentes de ransomware. 
  • Garantizar que las fuerzas y cuerpos de seguridad investigan, rastrean y confiscan el producto del delito 
  • Establecer mecanismos de apoyo a la cooperación entre los sectores público y privado 
  • Mejorar la cooperación internacional 

Métodos para detectar ataques de ransomware 

A menudo, las autoridades competentes utilizan las siguientes fuentes de información para recopilar información sobre incidentes de ataques de ransomware. 

  • Instituciones reguladas como bancos y proveedores de servicios de valor añadido (a partir de informes sobre transacciones sospechosas) 
  • Sectores no regulados (es decir, instituciones implicadas en ransomware y ciberdelincuencia)  
  • Empresas de respuesta a incidentes (es decir, empresas de respuesta a incidentes forenses digitales y bufetes de abogados) 

Empresa de respuesta a incidentes

Indicadores de riesgo potenciales para la detección de ransomware  

Para combatir la creciente amenaza de ataques de ransomware y su financiación, el FATF ha desarrollado algunos indicadores de riesgo para ayudar a los países en la detección de ataques de ransomware. Estos indicadores de riesgo proporcionados por FATF GAFI se basan en comportamientos y transacciones específicos que pueden indicar actividad de ransomware, y pueden ser utilizados por instituciones financierasLas instituciones financieras, los reguladores y las fuerzas de seguridad pueden utilizarlos para identificar e investigar actividades sospechosas.

Indicadores para instituciones financieras y sistemas de pago  

  • Transferencias bancarias a especialistas en reparación de ransomware en los sectores de consultoría de ciberseguridad y respuesta a incidentes. 
  • Transferencias bancarias de aseguradoras especializadas en la limpieza de ransomware que llegan de improviso.   
  • Incidentes de ransomware y pagos notificados por los clientes   
  • El ransomware cliente ataca los datos de código abierto   
  • Gran número de reintegros e ingresos en un proveedor de servicios de pago automatizado utilizando la misma cuenta bancaria   
  • En la descripción del pago aparecen palabras como "rescate" o los nombres de conocidas familias de ransomware.   
  • Fondos desembolsados a proveedores de servicios de valor añadido en países con alto riesgo de corrupción  
  • Uso de VASPs para rastrear a las víctimas de ransomware que han pagado:  
  • Solicitud de un tercero para que una empresa de respuesta a incidentes o de seguros adquiera activos virtuales.   
  • El cliente informa al VASP de que debe pagar el rescate para comprar activos virtuales.   
  • Un usuario sin antecedentes de envío o recepción de activos virtuales envía dinero fuera del protocolo normal.   
  • Un cliente aumenta el límite de su cuenta y transmite los fondos adicionales a otra parte.   
  • El cliente parece preocupado o agitado por el retraso en recibir el dinero.   
  • Pagos realizados a proveedores de servicios de valor añadido en zonas de alto riesgo; Compras o transferencias de criptomoneda que aumentan el anonimato de los usuarios.   
  • Cuando un nuevo cliente compra activos virtuales, envía todo el saldo de su cuenta a un único lugar.  
  • Estrategias basadas en pruebas para prevenir el ransomware:  
  • Tras un intercambio inicial considerable de activos virtuales, el comprador casi no realiza más transacciones con dinero virtual.   
  • Gracias a la tecnología blockchain, podemos rastrear el ransomware a través de las direcciones de los monederos de las víctimas.   
  • Acceso instantáneo a los fondos tras la conversión de activos virtuales 
  • Transferencia de activos virtuales a monederos asociados al ransomware   
  • Utilizar un VASP en un país peligroso   
  • Envío de recursos virtuales a un servicio de producción musical   
  • Utilizar una conexión segura   
  • Los datos de verificación son una captura de pantalla o un nombre de archivo que incluya "imagen de WhatsApp" o algo parecido.   
  • La sintaxis del cliente no coincide con el rango de edad del cliente   
  • Los datos sobre el cliente revelan la presencia de un correo proton o una dirección de correo electrónico discreta similar.   
  • Información incoherente facilitada para la identificación o un intento de crear una cuenta falsa.   
  • La misma información de contacto se utiliza para varias cuentas, y las direcciones se usan indistintamente.   
  • Un cliente aparentemente usuario de VPN   
  • El uso de transacciones anónimas de criptomoneda 

El futuro 

Cabe esperar que el FATF y otras organizaciones internacionales sigan esforzándose por combatir la creciente amenaza de los ataques de ransomware y el blanqueo de capitales procedentes de estos ataques.  

Por su parte, los gobiernos y las empresas tendrán que aplicar medidas de seguridad más sólidas para protegerse de los ataques de ransomware y estar preparados para responder con rapidez y eficacia si se produce un ataque.  

Además, es posible que aumenten la cooperación y el intercambio de información entre los países y las fuerzas de seguridad para identificar y localizar a los ciberdelincuentes implicados en ataques de ransomware. En última instancia, la prevención y mitigación de los ataques de ransomware requerirá un enfoque integral y de colaboración de todas las partes interesadas.