Pasar al contenido principal

Los peores pronósticos en ciberseguridad se cumplen: los hackers que utilizan 'ransomware' empiezan a filtrar documentos confidenciales de sus víctimas

Un joven frente a un monitor de ordenador.
Getty/Laurence Dutton
  • Los ataques con ransomware encriptan los archivos de los ordenadores infectados y, gracias a ello, los ciberdelincuentes piden un rescate para que el usuario recupere sus datos.
  • Acaban de registrarse 2 ataques distintos con 2 ransomware diferentes en los que los hackers han tomado represalias porque sus víctimas no pagaron el rescate: han publicado sus documentos confidenciales.
  • Los responsables de uno de estos virus, Sodinokibi, piensan enviar correos automáticos a índices bursátiles como el Nasdaq para dañar directamente la cotización de sus víctimas.
  • Estos casos confirman los peores pronósticos de algunas compañías de ciberseguridad, como McAffee Labs, que advirtió de esta tendencia a finales del año pasado.
  • Descubre más historias en Business Insider España.

Se cumple uno de los peores pronósticos en materia de ciberseguridad para este 2020. Los ataques con ransomware ya no solo piden un rescate económico por desbloquear los archivos que ha encriptado el virus. Ahora también piden el rescate para que las víctimas eviten la filtración de documentos y datos sensibles.

Los equipos desarrolladores de hasta 2 tipos de ransomware, Sodinokibi y DoppelPaymer, han lanzado páginas web donde ya publican los archivos robados de sus ciberataques. Ha sido el sitio BleepingComputer el primero en informar de esta nueva situación.

McAffee Labs advertía a finales del año pasado que los ciberataques a empresas seguirían creciendo y darían paso "a ataques de extorsión en dos etapas". Primero, "lanzarán ataques de ransomware paralizante, extorsionando a las víctimas para recuperar sus archivos". En la segunda etapa, "los delincuentes atacarán nuevamente a las víctimas mientras se están recuperando, pero en esta ocasión la extorsión será amenazando con revelar datos confidenciales robados".

El ransomware es un viejo conocido para las empresas españolas. En la segunda mitad del año pasado se activó una intensa campaña que comenzó afectando a ayuntamientos, como el de Jerez. Después, le tocó el turno a la consultora Everis y la Cadena Ser. Prosegur fue una de las últimas afectadas de 2019.

Eusebio Nieva es el director técnico para España y Portugal de Check Point, una empresa de ciberseguridad. En declaraciones a Business Insider España señala que "el que te hayan atacado y se pague no garantiza que no vuelvan a atacar".

En muchos casos, si una compañía víctima de un ataque de ransomware ve cómo se filtran sus documentos confidenciales en una página web, puede servir "de señal". Nieva explica que, con ver esos documentos públicos, más allá del perjuicio que genere, es una indicación para otros grupos de hackers de que, como compañía, no se pagan rescates. Así, se pueden evitar futuros ataques.

Por ello, para Nieva, lo más importante sigue siendo "la prevención". "Para un ataque de ransomware, entrar en fase de detección ya no sirve de nada; ya es tarde".

Los ataques de 'ransomware' ya empiezan a suponer brechas y filtraciones de datos confidenciales

Los peores presigios de McAfee ya están ocurriendo. El equipo detrás de Sodinokibi —un ransomware también conocido como REvil— ya ha advertido en foros de ciberdelincuencia que está ultimando un blog en el que colgarán la información sensible que extraigan de las empresas que no paguen su rescate.

Leer más: No pagues un rescate si 'secuestran' tu ordenador: la policía europea evita pérdidas de hasta 100 millones de euros por ataques de hackers

Lo ha anunciado Unknown, el pseudónimo bajo el que se oculta una persona —o varias— en un foro ruso. En el mensaje, al que ha tenido acceso BleepingComputer, insta a los demás miembros del foro a que copien y distribuyan los documentos confidenciales que puedan filtrar a través de su blog.

De hecho, también sugiere que el equipo responsable de Sodinokibi enviará correos electrónicos automáticos a índices bursátiles, como el Nasdaq, anunciando el ataque a una de sus cotizadas. El objetivo es, de este modo, impactar en el valor de las acciones de sus víctimas.

Otro programa de ransomware, DoppelPaymer, ya tiene operativa una página web en la que los usuarios pueden acceder a los documentos filtrados de las distintas compañías afectadas. Entre ellas se encuentra, por ejemplo, Pemex, la petrolera estatal de México.

Según BleepingComputer, que ha podido contactar con el grupo responsable del programa y de la web, la página está en fase de pruebas y, de momento, se está utilizando para avergonzar a sus víctimas —las que no hayan pagado el rescate— y publicar algunos archivos robados.

También aparecen los datos de Visser, una subcontrata de Tesla y SpaceX. También ellos han confirmado este lunes una filtración de datos, como apunta TechCrunch.

La posibilidad de que los ataques de ransomware comenzasen a usarse para extorsionar a sus víctimas con la filtración de documentos confidenciales ya se ha convertido en una realidad. Otro de estos virus, conocido como Maze, lo empezó a hacer también en febrero de 2020.

Maze infectó los ordenadores de MDLab, una compañía sanitaria, y publicó 9,5 GB de datos. Los responsables del ciberataque exigieron el pago de 200 bitcoins (unos 1,6 millones de euros). 

Y además