ransomware el negocio millonario que mantiene secuestrados nuestros datos

Ransomware: el negocio millonario que mantiene secuestrados nuestros datos

PorCarlos Ribeiro

Acabo de leer sobre un nuevo caso que ilustra perfectamente lo sofisticado que se ha vuelto el ecosistema del ransomware. Un grupo de atacantes logró infiltrarse en una empresa utilizando una aplicación falsa de reloj mundial y, durante seis días, se movieron por la red como Pedro por su casa antes de estar listos para lanzar el golpe final. Este caso de septiembre de 2024 no es una excepción, sino la nueva norma.

La evolución del chantaje digital

El ransomware ha recorrido un largo camino desde sus primeras versiones. Lo que empezó como ataques relativamente simples se ha convertido en operaciones complejas que funcionan con un modelo empresarial perfectamente estructurado.

Ransomware-as-a-Service: el modelo de franquicia criminal

Si hay algo que ha revolucionado el panorama del secuestro de datos es el modelo RaaS (Ransomware-as-a-Service). Ya no necesitas ser un genio de la programación para lanzar un ataque—solo alguien dispuesto a pagar por los servicios de quienes sí lo son.

Funciona como una macabra franquicia: desarrolladores crean el malware, afiliados lo distribuyen, y todos comparten los beneficios. Grupos como Play, RansomHub o DragonForce operan como auténticas empresas con departamentos de desarrollo, soporte técnico y hasta servicio al «cliente» para negociar rescates.

Este modelo ha democratizado el crimen cibernético de una forma alarmante. Y lo peor: está funcionando. Los beneficios se estiman en miles de millones de euros anuales.

Anatomía de un ataque moderno

Los ataques actuales ya no son operaciones rápidas de «entrar, cifrar y cobrar». Se han convertido en procesos meticulosos que pueden durar semanas.

La fase de reconocimiento e infiltración

Todo empieza con un punto de entrada. En el caso que mencioné al principio, los atacantes utilizaron una aplicación falsificada de reloj mundial (EarthTime) que venía firmada con un certificado revocado pero aparentemente legítimo. Esta táctica de suplantación es cada vez más común.

Una vez dentro, desplegaron SectopRAT, un malware basado en .NET que les dio acceso remoto al sistema. Lo sorprendente es que muchas veces estos programas maliciosos pasan desapercibidos porque se camuflan como procesos legítimos o explotan vulnerabilidades desconocidas.

Movimiento lateral y persistencia

Cuando consiguen el acceso inicial, los atacantes no van directos al cifrado. Primero necesitan:

  1. Establecer persistencia para no perder acceso
  2. Crear cuentas con privilegios de administrador
  3. Comprometer el controlador de dominio
  4. Mapear la red para entender dónde están los datos valiosos

En el caso que analizamos, utilizaron SystemBC (una herramienta de túnel proxy) para establecer comunicaciones encubiertas, y herramientas como AdFind y SharpHound para mapear la red. Incluso desplegaron un segundo backdoor llamado Betruger, que es como una navaja suiza del cibercrimen: captura pantallas, registra pulsaciones de teclado, roba credenciales y más.

La doble extorsión: el golpe definitivo

La estrategia más común hoy no es solo cifrar datos, sino también robarlos. Esta táctica de «doble extorsión» significa que incluso si tienes copias de seguridad, sigues siendo vulnerable al chantaje por la amenaza de filtración.

En el caso que mencionamos, aunque no llegaron a desplegar el ransomware final, los atacantes archivaron sistemáticamente datos y los exfiltraron mediante FTP. La intención era clara: tener munición para la extorsión.

Cómo protegerse ante la amenaza creciente

A pesar de lo sofisticado de estos ataques, existen medidas efectivas para minimizar el riesgo.

Seguridad multicapa y vigilancia continua

La defensa pasa por implementar una estrategia de seguridad en capas:

  • Formación continua a empleados sobre ingeniería social
  • Sistemas de autenticación multifactor (MFA)
  • Segmentación de redes
  • Monitorización de actividad inusual
  • Principio de mínimo privilegio para todos los usuarios

Es especialmente importante vigilar comportamientos anómalos en la red. En el ataque que analizamos, hubo seis días de actividad sospechosa que, con la monitorización adecuada, podrían haber disparado alarmas.

Copias de seguridad inmutables: tu última línea de defensa

Las copias de seguridad siguen siendo cruciales, pero deben ser:

  • Inmutables (que no puedan ser modificadas por los atacantes)
  • Aisladas de la red principal
  • Probadas regularmente para garantizar su funcionalidad

Los atacantes son conscientes de la importancia de las copias de seguridad. No es casualidad que en el caso mencionado, una de sus primeras acciones fuera comprometer el servidor de backup y obtener credenciales de Veeam.

El futuro del ransomware: inteligencia artificial y automatización

No quiero sonar alarmista, pero lo que estamos viendo ahora podría ser solo la punta del iceberg. Las técnicas de ataque están evolucionando rápidamente, y la integración de inteligencia artificial está a la vuelta de la esquina.

Imagina malware capaz de adaptarse a las defensas, personalizar ataques según la organización objetivo, o automatizar completamente la fase de reconocimiento. Las herramientas como Betruger, que consolida múltiples capacidades en un único ejecutable, ya apuntan en esa dirección.

La carrera armamentística digital está en pleno apogeo, y mientras los ciberdelincuentes evolucionan sus técnicas, nosotros debemos evolucionar nuestras defensas a un ritmo igual o superior.

Si algo me ha enseñado mi experiencia en ciberseguridad es que la prevención y la preparación son infinitamente más rentables que pagar un rescate. Y no solo hablo de dinero, sino también de la continuidad del negocio y la confianza de tus clientes, que una vez perdidas, son mucho más difíciles de recuperar que cualquier archivo cifrado.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *