Los ataques con ransomware crecen en verano: los ciberdelincuentes aprovechan las vacaciones o el cierre de cuentas porque las empresas tienen "la guardia baja"

En verano aumentan los ciberataques con ransomware, y la explicación no está en que aumenten las temperaturas.

Hace algunas semanas, en cuestión de horas se reivindicó el robo de bases de datos de MásMóvil, que la operadora desmintió, y uno de los mayores ciberataques de la historia, después de inocular un ransomware a la cadena de suministro de un proveedor TI estadounidense llamado Kaseya.

En ambos casos los responsables de los incidentes serían afiliados de un colectivo que desarrolló un ransomware conocido como REvil o Sodinokibi, y que podría operar desde suelo ruso.

La coincidencia temporal de estos dos ciberataques no es baladí: la llegada del verano suele aparejar que aumente el número de ataques informáticos realizados con este tipo de código malicioso. El ransomware es una herramienta capaz de cifrar los archivos y sistemas de sus víctimas, y las mafias que lo operan exigen después un rescate económico a sus víctimas, a cambio de recobrar la normalidad.

El ciberataque a Kaseya, que ha afectado a más de 1.000 empresas —tiene más de 40.000 clientes— se ha producido además 8 meses después de otro incidente similar, el que sufrió otro proveedor IT, SolarWinds, en diciembre del año pasado.

Cómo se ha producido, qué implicaciones tiene y por qué es solo el principio: todo lo que se sabe sobre el ciberataque a Kaseya que ya afecta a más de 1.000 empresas en todo el mundo

¿Qué puede explicar el éxito de dos incidentes masivos como estos en fechas tan señaladas?

Diversos expertos consultados por Business Insider España responden: los ciberdelincuentes saben cuándo sus víctimas son más vulnerables. Y suelen ser más vulnerables en fines de semana, al cierre de ejercicios fiscales, o durante períodos de vacaciones como el verano o la Navidad.

Llega el calor, llega el 'ransomware'

El analista de seguridad Brett Callow trabaja desde Canadá para la firma neozelandesa de ciberseguridad Emsisoft. A través del correo electrónico, remite a Business Insider España un artículo de la compañía que ya en 2019 dibujaba este panorama. Las gráficas que compartían entonces reflejaban un aumento de los incidentes de ransomware en los meses centrales del año.

Los datos fueron recabados por el profesor David Wall de la Universidad de Leeds, que apostillaba cómo los atacantes aprovechaban períodos en los que las compañías podían ser más vulnerables. "Nuestros entrevistados nos dijeron que los atacantes tienden a preparar campañas cuando las empresas tienen la guardia baja", avanzaba. 

Otra posibilidad, planteaba Emsisoft, era que el flujo de ciberataques con ransomware en realidad fuese constante todo el año, pero que tenían más éxito en verano precisamente por el mismo motivo.

"Es en estas fechas, y mayoritariamente entre mayo y septiembre, cuando históricamente se dan nuevas vertientes de malware", destaca Álex González, el director de ciberseguridad de Tarlogic. 

"Esto puede tener distintas interpretaciones, una de ellas, es que como otro delito, se buscan fechas específicas para acometerlo, y nos encontramos en verano en plena época de finales de ejercicio fiscal y esto puede propiciar a que la recompensa sea la esperada o al menos, incrementar la probabilidad", apostilla.

Desesperar a las víctimas

Atacar cuando los objetivos son más vulnerables para desesperarlos. Además de las vacaciones o el calor, en verano también llega el final de varios ejercicios fiscales para muchas firmas, que se ven obligadas a cerrar sus cuentas. Puede ser un momento fatal para sufrir un ciberataque.

Como explica González, de Tarlogic, esa dinámica puede favorecer que una compañía sea más propensa a pagar el rescate, que las autoridades policiales y gubernamentales de medio mundo recomiendan que no se asuma. 

Para la pandemia de la ciberdelincuencia todavía no hay vacuna: "Veremos menos ataques pero serán más peligrosos", adelantan algunos especialistas

Eusebio Nieva, director técnico para España y Portugal de Check Point, una firma de ciberseguridad israelí, recuerda que el propósito final de muchos de estos atacantes es "económico". En ese sentido, recuerda el reciente incidente que sufrió Colonial, una empresa de oleoductos estadounidense que sufrió un ataque informático que llevó a la Administración Biden a decretar el estado de emergencia.

"Se dice que el sistema más crítico que había sido cifrado era el de facturación. Tuvieron que pagar el rescate no porque no pudiesen restaurar sus datos, sino porque estaban perdiendo muchísimo dinero al no poder medir ni facturar el consumo de sus clientes", destaca Nieva. Los atacantes saben cuándo sus víctimas son más vulnerables y saben dónde sus ataques harán más daño. Por eso tratan de lanzar sus ransomware contra los servicios de copias de seguridad, por ejemplo, o de facturación.

Los Gobiernos reaccionan

Lo singular este año frente a cursos anteriores es que el Gobierno de EEUU está manifestando más energía en combatir este tipo de incidentes informáticos que en el pasado. Nieva espera que esto pueda generar un efecto contagio en otros países. El FBI logró interceptar buena parte del rescate que tuvo que pagar Colonial para recobrar su operativa.

Sobre Kaseya, Biden ya ha dado la orden para que se investigue el origen del ciberataque.

Miguel López es el responsable en España de Barracuda Networks, una firma de soluciones de seguridad informática con sede en California. "Efectivamente es habitual notar un recrudecimiento de los ciberataques de todo tipo en general, incluyendo los de ransomware, durante el verano. No es sorprendente dado el creciente nivel de profesionalización que las diferentes entidades de ciberdelincuencia están mostrando continuamente", refleja en unas declaraciones a este medio.

Las mafias de ransomware están creando nuevas páginas para captar clientes que les encarguen ataques y reclutar nuevos ciberdelincuentes

"Están sumamente organizados y orientan sus ataques con un estricto criterio de coste-beneficio, siendo perfectamente conscientes de que durante el período estival los departamentos de Seguridad de las empresas y administraciones suelen contar con menos personal disponible", incide López. Por eso, "es imprescindible que cuanto antes mejor los países entiendan que la protección de nuestras infraestructuras de comunicaciones resulta crítica para el normal funcionamiento de nuestra sociedad".

"La cantidad y gravedad de los ataques sufridos está poniendo en cuestión la capacidad de muchos países, incluido el nuestro, para prestar sus servicios básicos y es sólo cuestión de tiempo que los daños originados dejen de ser económicos para medirse también directamente en vidas", advierte.

Un ciberataque ya supuso la muerte de una paciente en un hospital alemán el año pasado. Además, el Ministerio de Trabajo y Economía Social ha sufrido en lo que va de año dos graves ciberataques. El primero, al Servicio de Empleo. El segundo, hace unas semanas, para el cual el Ministerio ya ha licitado hasta 400.000 euros para tratar de mitigar sus efectos.

Más allá de la estacionalidad

Nieva no tiene claro que la estacionalidad pueda explicar un aumento de los ciberataques con ransomware en verano. "Más que el verano, los ciberdelincuentes operan con campañas, tienen rachas de ataque. Hay que tener en cuenta que los ataques con ransomware, los modernos al menos, están infiltrados en los sistemas de sus objetivos una media de 9 meses", recuerda.

Pero sí coincide con el resto de sus colegas con respecto a cómo los criminales informáticos buscan los momentos de más vulnerabilidad de sus víctimas. "Es bastante habitual aprovechar los fines de semana, o momentos de poca actividad empresarial. Cuando se lanza un ataque tratan de cifrar el mayor número de sistemas posibles. Y cifrar una red de dispositivos lleva un tiempo. Cuando los trabajadores llegan un lunes, se encuentran con todo cifrado".

González, de Tarlogic, por su parte, lamenta cómo a lo largo de los últimos meses y años se han visto "ataques a corporaciones de un buen número de sectores y a entidades públicas que quizás no estaban lo suficientemente sensibilizadas con el daño potencial que pueden causar estas incursiones".

"Hoy en día nadie está totalmente a salvo de estos grupos, pero desde luego sí se puede hacer mucho en materia de control de daños".