Ciberextorsión: nuevas tácticas, nuevas víctimas

El ransomware es un tipo de programa malicioso que secuestra los dispositivos o datos de los usuarios u organizaciones, bloqueándolos por medio de un cifrado e impidiendo el acceso a éstos, y solicitando un rescate (en inglés ransom) económico a cambio de permitirles acceder de nuevo al sistema informático e información secuestrados.

Este tipo de ataque está creciendo de forma exponencial debido a que es muy rentable para los delincuentes, causando en las empresas pérdidas temporales o permanentes de información, interrupciones de la actividad normal, pérdidas económicas y daños de reputación, según el Instituto Nacional de Ciberseguridad.

“Las primeras variantes de ransomware se crearon al final de la década de 1980, y el pago debía efectuarse por correo postal. Hoy los creadores de ransomware piden que el pago se efectúe mediante criptomonedas o tarjetas de crédito”, informan desde una conocida compañía de seguridad informática.

Además, conforme las organizaciones comenzaron a implementar sistemas de respaldo para sus datos importantes, los piratas informáticos agregaron sofisticadas funciones o ‘capas’ extorsivas a sus ciberataques, explica José Rosell, socio-director de una empresa especializada en ciberseguridad y gestión de sistemas críticos.

Cuenta que en 2019 nació el ataque de ransomware de doble extorsión, cuando los ciberdelincuentes encontraron una segunda forma de persuadir a las víctimas para que pagasen el rescate de sus datos, a pesar de que la organización atacada tuviera copias de seguridad de sus sistemas en un servidor de respaldo o pudiera restaurar la red vulnerada.

En este tipo de ataque “los ciberatacantes hacen una copia de los datos secuestrados para poder usarlos en las negociaciones. Así, amenazan a la víctima con hacer públicos o vender en el mercado negro, los datos confidenciales robados, si se niega a pagar un rescate.

LE PUEDE INTERESAR

Se vienen las enfermedades de invierno: cuáles son las más comunes y cómo prevenirlas

LE PUEDE INTERESAR

Toda la carne al asador en la avenida 9 de Julio

“Últimamente, los ciberdelincuentes se reinventaron y crearon un nuevo método de perjuicio: el ransomware de triple extorsión”, afirma Miguel A. Juan, socio-director de una empresa de ciberseguridad.

SECUESTRO DE DATOS Y PEDIDO DE RESCATE

“En este tipo de ataque no sólo se busca dinero de la empresa vulnerada, sino que también se extorsiona a terceros que puedan verse afectados por la divulgación de los datos extraídos o se sigue presionando a la empresa perjudicada para que termine pagando”, asegura este especialista.

“El primer ransomware de triple extorsión ocurrió en 2020 cuando una clínica de psicoterapia finlandesa sufrió el ciberataque a sus servidores y los ciberdelincuentes extorsionaron a sus clientes amenazándolos con divulgar la información de sus sesiones de psicoterapia”, explica.

El problema de este tipo de ransomware es que no sólo utiliza una nueva capa (o forma de extorsión) consistente en persuadir a terceros para lograr su objetivo, sino que los ciberdelincuentes pueden seguir atacando a la misma organización.

Por ejemplo, si una empresa recupera con éxito los datos de las copias de seguridad y no se muestra dispuesta a negociar, los atacantes pueden ejercer más presión sobre la empresa, lanzando un ataque de denegación de servicio distribuido o DdoS.

Un ataque DdoS consiste en bloquear e inhabilitar un sistema informático saturándolo con una cantidad masiva de conexiones o peticiones, desde un gran número de ordenadores o direcciones IP, simultáneamente y hacia el mismo servicio objeto del ataque.

“El ransomware de triple extorsión es una extensión del ataque de doble extorsión añadiendo un punto o capa de presión adicional para que su víctima pague”, según los expertos citados.

Además del cifrado de datos (primera capa) y la amenaza de fuga de datos importantes (segunda capa), el ciberdelincuente puede agregar otra táctica de extorsión (tercera capa), que puede ser cualquier tipo de técnica que logre que la empresa vulnerada o un tercero pague por los datos secuestrados.

De esta manera, “a medida que las tecnologías y estrategias de ataque se adaptan y transforman, los incidentes modernos pueden convertirse en una cadena de ransomware con un número de víctimas extorsionadas cada vez mayor”, advierten.

RANSOMWARE DE EXTORSIÓN MÚLTIPLE

Por ejemplo, una táctica empleada en la tercera capa comentada anteriormente, también puede ser empleada para activar otras capas adicionales de extorsión. Podría ocurrir que un actor malicioso cifre los datos de una organización y pida una recompensa por descifrarlos (primera capa), después amenace a dicha entidad con filtrar sus datos (segunda capa), seguidamente lance ataques de denegación de servicios contra sus sistemas para generar presión (tercera capa) y por último amenace a las personas cuya información se vería vulnerada si fuera exfiltrada (cuarta capa).

Es muy probable que los ciberdelincuentes utilicen cada vez más personas, colectivos u organizaciones para añadirlos a la cadena de extorsión y así aumentar progresivamente la probabilidad de éxito.

Siguiendo el ejemplo anterior, el ciberdelincuente podría continuar la cadena de extorsión amenazando a un ser querido de una persona afectada por la información que va a ser exfiltrada (quinta capa) y atacando a una empresa que tenga una gran relación comercial con la organización vulnerada en primer lugar para que esta segunda compañía presione a la primera para que pague para que cesen los ataques (sexta capa), se indica.

El ciberdelincuente podría añadir una séptima capa de extorsión, estudiando los datos robados para encontrar información sensible sobre filiales o compañías con un acuerdo comercial importante, y amenazarlas para que presionen en masa a la empresa originalmente atacada o paguen en su lugar, según este experto.

Para estar protegido ante los ataques más básicos, existen guías con recomendaciones y prácticas eficaces contra el ransomware. Una se puede descargar en: https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ransomware.pdf.