Ransomware y resiliencia cibernética, el problema que se viene
Todos los datos publicados a comienzos de este año en distintos reportes sugieren que 2023 ha sido testigo de un auge sin precedentes en los ataques de ransomware. En esta línea, la aseguradora estadounidense Corvus presentó a mediados de febrero sus propias cifras, las cuales superaron todas las expectativas y tendencias de años anteriores.
Para Corvus, la pelea contra el ciberdelito no sólo está lejos de haber acabado, sino que debe encararse todavía con más determinación. Es que a pesar de los esfuerzos gubernamentales por imponer la ley y el orden, los ataques continúan en aumento. Veamos las principales conclusiones de su informe.
Una lectura interanual de los datos de Corvus refleja un aumento del 69% en el número de víctimas de sitios de filtración de ransomware en 2023. No obstante, y contra la tendencia de los últimos años, el último trimestre refleja una caída de 7% respecto al mismo trimestre del año anterior. ¿Qué sucedió? Para Corvus, este cambio de tendencia guarda relación con el desmantelamiento de la red de malware Qakbot en agosto. Este código malicioso, conocido también como QBot, se utilizaba para obtener acceso a las redes de sus víctimas potenciales. Este operativo dio como resultado una baja en las proyecciones previstas de ataques por ransomware en octubre. Al mismo tiempo, fuerzas policiales interrumpieron las operaciones de una de las bandas de ransomware más prolíficas, denominada ALPHV/BlackCat, lo que también terminó por impactar en los números finales. Es interesante comprobar que el accionar de las fuerzas de seguridad contra el ciberdelito pueden obtener éxitos cuantificables, en momentos en los que existe cierto escepticismo respecto a la posibilidad de detener esta marea creciente de delito cibernético.
Pero esta lectura puede ser un poco precipitada. Para Corvus, a pesar de las acciones de las fuerzas del orden para desmantelar estas redes de malware, los cibercriminales demostraron ser increíblemente resistentes. Estas acciones no lograron mantener inactivos a los actores de amenazas por mucho tiempo. Pronto migraron hacia otras “cepas” de malware como Pikabot y DarkGate. Esto hizo que los números finales para el cuatro trimestre bajaran, pero no tanto como se esperaba. ¿La palabra clave? Resiliencia.
Otro de los datos a tener en cuenta que registra Corvus es un un notable aumento del 34% en el número de grupos de ransomware activos durante todo el año, lo que indica una fragmentación en la industria y la formación de nuevas operaciones de ransomware.
Corvus también analizó sus datos para revelar el “cómo” detrás de todas estas vulnerabilidades. Para la aseguradora estadounidense, los actores delictivos se aprovecharon al máximo de distintas vulnerabilidades externas, echando mano a una serie de exploits para acceder a miles de víctimas en poco tiempo. Un exploit es un software creado para aprovechar un fallo en un sistema informático. Se diseñan normalmente con fines maliciosos específicos, como la instalación de malware. Las dos vulnerabilidades más aprovechadas este año fueron VMware ESXi y GoAnywhere, un software de la empresa Fortra.
Por último, ¿qué dicen los datos sobre las industrias más vulnerables? Si bien la orientación hacia sectores específicos fue menos importante en el último trimestre, sectores como el legal y el de transporte, logística y almacenamiento fueron los que experimentaron un mayor aumento en el número de víctimas de ransomware.
Para Corvus, las organizaciones deben reforzar sus medidas de seguridad cibernética para el año en curso, ya que los datos y tendencias proyectan un incremento del ransomware como amenaza. Quizás lo más importante a tener en cuenta, después de analizar todos estos datos, es que aunque las acciones de los gobiernos y sus fuerzas policiales son capaces de interrumpir el desarrollo de los distintos grupos que operan desde las sombras, la responsabilidad última por la protección de redes y datos contra futuros ataques de ransomware termina recayendo siempre en las empresas.