Las empresas hackeadas pagan los rescates de 'ransomware', los criminales invierten los beneficios en mejorar sus ataques, y este bucle no parece tener fin

Muchas empresas pagan rescates cuando son atacadas con un ransomware, y las bandas de ciberdelincuentes están aprovechándose de ello para mejorar sus recursos.

Un círculo vicioso está alimentando la 'industria' del ransomware, uno de los peores ciberdelitos que consiste en que un asaltante accede a los sistemas de su víctima y cifra todos sus archivos. Las empresas se ven paralizadas y en muchos casos obligadas a pagar a sus atacantes un rescate cuya media ascendió a más de 300.000 dólares en 2020, el triple que el año anterior.

Ahora, estos criminales informáticos están reinvirtiendo sus beneficios en mejorar su operativa, generando así ataques más grandes y más sofisticados.

Y la ciberseguridad no siempre tiene soluciones sencillas.

Este gráfico revela cómo las mafias de 'ransomware' aprovecharon la pandemia para multiplicar sus ataques contra empresas, hospitales y administraciones

"No veo ninguna luz al final de este túnel", lamenta Josh Motta, CEO de una 'ciberaseguradora' llamada Coalition, que ayuda a compañías afectadas por un incidente de este tipo. Coalition y otras ciberaseguradoras también dan cobertura a robos o brechas de datos, y a ataques que se han desplegado con ingeniería social.

"No hemos hecho un gran trabajo", admite Jon DiMaggio, un veterano investigador de ciberseguridad en Analyst1. DiMaggio incide en que mientras la industria se esfuerza en combatir el ransomware, sus responsables están en auge.

El año pasado los ataques con ransomware crecieron en un 435%, según Deep Instinct, una startup neoyorquina que usa inteligencia artificial para repeler ataques. Las bandas consiguieron tumbar las redes de 560 centros de salud, 1.681 escuelas e institutos, y más de 1.300 empresas, según Emsisoft, una compañía de ciberseguridad neozelandesa que ayuda a las víctimas de ransomware a recuperar sus datos.

Las pérdidas provocadas por estos incidentes podrían superar los 17.000 millones de euros este año. Pero lo cierto es que nadie puede calcular el coste real porque muchas de las firmas afectadas deciden pagar el rescate y no informar de que han sido objeto de un ciberataque. Una investigación de Kaspersky descubría hace poco que el 56% de las empresas pagan estos rescates.

Desde hace meses los ciberdelincuentes han redoblado su apuesta por la extorsión, forzando a sus víctimas a pagar no solo para recuperar sus redes, sino para evitar también que los datos robados se publiquen en internet. Estas tácticas, que han llegado a exponer datos clasificados y planes de armas militares, han añadido más presión a muchas compañías que deciden pagar.

Se espera que el mercado de las ciberaseguradoras se dispare de los 6.600 millones de euros en 2020 a los 17.200 millones en 2025, a medida que se han ido convirtiendo en un instrumento útil que alivia a muchas empresas que ven su negocio paralizado por un incidente informático. Pero estas firmas también están siendo criticadas por contribuir al problema: los servicios de recuperación que ofrecen incluyen a menudo pagar a los ciberdelincuentes en nombre de su cliente, lo que permite a estos criminales seguir financiándose.

De hecho, el FBI insiste a las empresas en que no paguen, y un exagente de la ciberseguridad británica fue mucho más lejos en sus críticas: Ciaran Martin llegó a acusar a compañías de ciberseguridad de "financiar el crimen organizado" por ofrecer servicios de pago a rescates de ransomware. 

Los gobiernos tampoco tienen mucho éxito tratando de combatir estos delitos. En EEUU, las autoridades tienen problemas para combatir a las bandas de ransomware porque muchas de ellas están en Rusia, y la Administración Putin protege a sus ciudadanos de extradiciones para enfrentarse a juicios por ciberdelitos.

El ransomware es hoy uno de los mayores desafíos en materia de ciberseguridad para compañías de todos los tamaños, y en parte se debe a que el remedio para una sola víctima puede agravar el problema a todo el mundo.

Las ciberaseguradoras ayudan, pero sus críticos denuncian que contribuyen al problema

Muchos usuarios consideran que estas ciberaseguradoras pueden ser imprescindibles para protegerse frente a ciberdelincuentes. El ransomware es, de lejos, la porción más grande de incidentes detectados por estas firmas: el 41% de los pagos de estas aseguradoras se debieron a incidentes con ransomware en la primera mitad de 2020 solo en Norteamérica, según datos de Coalition.

Motta, el CEO de esta ciberaseguradora, detalla que su compañía trabaja con empresas para mejorar su ciberseguridad, responder a ataques y hacer un pago de rescate como última opción. De hecho incide en que pagar de forma rutinaria uno de estos rescates sería para ellos un pobrísimo modelo de negocio.

Así reaccionó Mapfre, minuto a minuto, al ciberataque que recibió en verano: la AEPD reconoce la "diligencia" con la que la empresa respondió

"Os puedo asegurar que las ciberaseguradoras están perdiendo dinero por culpa del ransomware. Tenemos mucha determinación para combatir esta lacra de todas las formas posibles", zanja el CEO.

Sobre la ética detrás de pagar o no a una mafia de ciberdelincuente, Motta responde: "Puede ser una decisión existencial". Algunas compañías afectadas por ciberataques con ransomware están en una encrucijada, entre la vida o la muerte. "Es absurdamente irreal lo de nunca pagar un rescate, lo diga quien lo diga, sea una agencia gubernamental o no".

Pero al mismo tiempo, muchas bandas de ciberdelincuentes están poniendo en la diana a compañías que están precisamente aseguradas. Los investigadores y el Cisco Talos Intelligence Group realizaron una extraordinaria entrevista a un ciberdelincuente a principios de este año. El criminal, un ruso de unos 30 años llamado Aleks, aseguró que han detectado que si una compañía tiene un ciberseguro, el pago del ransomware está "garantizado".

El investigador de Kaspersky Ivan Kwiatkowski también analiza los claroscuros de este tema. "Cortar la financiación y el flujo de dinero, no importa cómo, es la única manera de atacar al ecosistema del ransomware. Por otro lado, las ciberaseguradoras están bien posicionadas a la hora de mejorar la seguridad de sus clientes y podrían jugar un papel determinante".

Los ciberdelincuentes reinvierten sus beneficios en sus propios ataques

Al margen de que los pagos de estos rescates procedan de las propias víctimas o de sus aseguradoras, es evidente que se trata de financiación para las bandas. "Están ya invirtiendo en herramientas que automaticen los ataques", destaca DiMaggio, que plantea cómo los ciberdelincuentes podrían usar el aprendizaje automático para encontrar y aprovechar agujeros de seguridad en las defensas de las compañías. Hasta ahora, para una mafia de ciberdelincuentes, infiltrarse en los sistemas de sus víctimas podría suponer semanas. Ahora se podría ejecutar en cuestión de horas.

DiMaggio también enfatiza en cómo muchas de estas bandas están incluyendo ataques de denegación de servicio a su repertorio, remitiendo teras y teras de datos contra las páginas de sus víctimas para reventar sus sistemas. La compañía Akamai, especializada en la gestión del tráfico web, detectó uno de los mayores ataques de este estilo, conocidos como DDoS, hace unos meses. En una sola campaña de extorsión, la web de una víctima fue golpeada con una cantidad de datos equiparable a más de 56.000 copias de Guerra y paz cada segundo, explica el vicepresidente de Operaciones de Seguridad Global de Akamai, Roger Barranco.

"¡Exige que respeten tu privacidad!": el insólito mensaje de ciberdelincuentes a los clientes de una tienda atacada con 'ransomware' que no quiere pagar un rescate

Las mafias también están incluyendo recursos para periodistas en sus propias páginas web en las que suben los datos sensibles y la información que roban en sus ataques, e incluso ofrecen entrevistas para ensalzar sus 'hazañas'. "Se convierten prácticamente en una marca", asegura DiMaggio.

Algunas empresas de ciberseguridad están logrando plantar cara de nuevas formas. Deep Instinct introdujo la semana pasada una garantía anti ransomware: se comprometen a pagar hasta 3 millones de dólares en caso de que algunos de sus clientes sufra un incidente de este estilo. "Las técnicas de los delincuentes han evolucionado, nuestras respuestas también tienen que hacerlo", considera Guy Caspi, CEO de la firma.

DiMaggio aplaude la iniciativa de Deep Instinct, y cree que la IA también ofrecerá nuevas soluciones para prevenir ciberataques que vayan a por los datos de las empresas.

Motta, el responsable de la firma ciberaseguradora, cree que combatir el ransomware es un problema que va más allá de la ciberseguridad. También es una cuestión de relaciones internacionales, debido a cómo Rusia protege a muchos de estos colectivos. "Se trata de crimen organizado y transnacional. Va a requerir algo más que la intervención de las autoridades. También exigirá grandes dosis de diplomacia".

Este artículo fue publicado originalmente en BI Prime