El gran dolor de cabeza para Microsoft en 2022 es el 'ransomware': así es como lucha contra él

REDMOND (WASHINGTON, EEUU) — Si alguien llamara a la puerta de tu casa y se presentara como un cartero de Correos con bigote falso y peluca, ¿le abrirías la puerta, recogerías el paquete que te va a entregar y mirarías qué hay dentro de esa caja?

Probablemente tu primera respuesta sea "no" porque serías capaz de distinguir perfectamente a tu cartero habitual, pero, ¿y si su caracterización fuera lo suficientemente buena como para hacerte dudar? ¿Y si detrás hubiera un maquillador profesional para que cayeras en la trampa?

Algo así es lo que pasa con el ransomware, un tipo de malware que te llega a tu correo o móvil a través de un link o archivo y cifrar los archivos de tu equipo con el único objetivo de que pagues por ese rescate. 

La cantidad que solicitan estos ciberdelincuentes al usuario medio parte de los 200 a los 500 dólares en bitcoins o cualquier otra criptomoneda (200 a 500 euros al cambio actual) y del 40% al 60% de ellos acaba abonando la cantidad para poder recuperar esta información, según Microsoft.

Tal y como confirma la plataforma Ransomwhere, en lo que llevamos de 2022 se han pagado ya 11.727.688,23 millones de dólares en rescates... un número que no para de crecer día a día. Entre los más populares están Cuba, Conti, REvil/Sodinokibi y Darkside.

"Si tuviera que decir la gran amenaza de la ciberseguridad que me da dolor de cabeza es el ransomware, sin duda. Afecta a usuarios de todas las edades y como no suelen solicitar una gran cantidad al usuario medio, la gente acaba pagando", explica Vassu Jakkal, responsable de Ciberseguridad de Microsoft a nivel global, durante el Future of Security de la compañía, un evento que ha tenido lugar en Redmond, la sede de la multinacional, donde se han dado a conocer las últimas tendencias en la materia y en el que se han expuesto las claves de de este tipo de ataques. 

"Es toda una nueva economía especializada en la ciberdelincuencia. Es una especie de cadena de montaje donde los trabajadores están especializados en las diferentes fases de la misma", continúa.

Solo el año pasado, Microsoft previno 70.000 millones de ataques (entre los que se encuentra el ransomware) y localizó 971 millones de ataques al segundo. De hecho, el número de ciberataques aumentó en un 50% solo en 2021, un número nada baladí, sobre todo teniendo en cuenta que, de media, una víctima tarda 287 días en recuperarse de este tipo de situaciones.

La evolución del ransomware: de malware ejecutado por máquinas a sistemas operados por personas

Al final, cuanto más te acerques al lenguaje natural, más fácil es que el usuario caiga en la trampa. Por eso, en los últimos años el ransomware ha crecido un 120%. De hecho, las técnicas de este tipo también se han vuelto más sofisticadas y dirigidas.

"Los ataques ransomware han pasado de estar operados por máquinas a personas. Por eso han aumentado tanto y tienen tanto éxito", explica Rob Lefferts, CVP Modern Protection & SOC.

Así, han pasado de atacar sistemas individuales a grandes empresas y, para ello, customizan los ataques de forma individual a través de un ser humano. Además, el cifrado de la información está muy calculado y dirigido a la víctima en concreto. Todo ello ocasiona daños que, a veces, son irreparables en un negocio, por lo que la única solución tiene que ser para toda la empresa. 

"Atacan durante semanas, asegurándose de que haya una interrupción que resulte catastrófica para la empresa porque eso asegura y aumenta las posibilidades de un rescate", explica Tanmay Ganacharya, Partner Director para Security Research de Microsoft.

"Ahora afecta infraestructuras críticas, la cadena de suministro global y los sistemas, por lo que es una prioridad para gobiernos y el sector privado", destaca Ganacharya.

Los datos son alarmantes: un tercio de los ataques tipo ransomware tienen éxito.

Qué hace Microsoft para luchar contra el ransomware

"Los ciberdelincuentes se están adaptando y encontrando nuevas formas de implementar sus técnicas, lo que aumenta la complejidad de cómo y dónde alojan la infraestructura de la compañía", explica Amy Hogan-Burney, directora general de Digital Crimes Unit (DCU, por sus siglas en inglés), de Microsoft, que además trabajó antes para el FBI.

La división que dirige Hogan-Burney dentro de la compañía se dedica, precisamente, a identificar y reconocer las nuevas técnicas que usan los atacantes para atacar a sus víctimas y a bloquearlas para que no puedan llegar al usuario final. De esta forma, en el último año han identificado han eliminado más de 531.000 links de ataque phising.

"Nuestra experiencia y conocimientos únicos sobre las redes cibercriminales nos permiten descubrir pruebas para la policía y que encuentren a estos ciberdelincuentes. Pueden comprometer el correo de tu empresa en menos de 4 días", destaca.

Pero a la directiva una de las cuestiones que más le preocupan es, precisamente, el ransomware, por esta capacidad para llegar a todo tipo de víctimas: desde hospitales a gobiernos, pasando por empresas o usuarios.

"Los ataques llegan a las organizaciones de todos los tamaños y es bastante abrumador porque están motivados por razones económicas o geopolíticas para seguir avanzando y desarrollar nuevas técnicas. Al mismo tiempo, desde el punto de vista de los defensores como nosotros, los equipos que intentan proteger a esas empresas pueden sentirse limitados por los recursos, sobrepasados por ataques entrantes, y con frecuencia enfrentándose a un enorme conjunto de herramientas para enfrentarse a ellos", señala Hogan-Burney.

De hecho, tal y como señala, es realmente "frustrante" en muchas ocasiones porque los ciberdelincuentes se encuentran fuera de las jurisdicciones a las que tienen posibilidad de acceder y es difícil cogerles.

Una protección holística: la única forma de prevenir el ransomware

El problema es que, una vez que la víctima se ha infectado, es muy difícil acceder a esa información que usan para chantajearle y no pagar el rescate si quiere recuperarla. Por eso, Microsoft se está centrando en un sistema de "prevención holística" para que esto no llegue a suceder.

Tienen 4 equipos que cuentan con un total de 11.000 personas: la DCU, para descubrir nuevos ransomware y ver cómo es su infraestructura; el MSTIC, Defender TI, que monitoriza los nuevos tipos de este malware y familias; Microsoft 365 Defender, Defender for Cloud y Microsoft Sentinel, que son sistemas de seguridad que protegen a los usuarios; y el DaRT, que ayuda a los clientes en caso de que se vean afectados.

"Cada día tenemos 43.000 billones de señales que nos alertan de un posible ataque, que son muchísimas. Microsoft las analiza y averigua si son o no dañinas para el usuario o para la empresa", explica Lefforts. Concretamente, según publica Computerhoy, se han producido 338,4 millones de intentos de ataques ransomware.

"Este tipo de amenazas han tenido una tendencia al alza durante más de 5 años, y este año continúa esa tendencia, excepto en comparación con los picos excepcionalmente altos que vimos en 2021", afirma VanKirk, director general de SonicWall.

Gracias a todo esto, la tasa de éxito de los propios ciberdelincuentes baja enormemente, ya que no son capaces de atacar ni a víctimas ni a organizaciones.