Recientemente se ha producido un aumento exponencial en los ataques de ransomware a nivel global. El ransomware es un tipo de malware con el que se logra acceder a información personal de los usuarios y, para que las víctimas logren acceder a esta, los ciberatacantes exigen que se depositen pagos.
El Gobierno de Estados Unidos ha sido susceptible a esta serie de ataques cibernéticos y ha emprendido campañas para contrarrestar su amenaza.
El Departamento de Policía de Washington DC fue blanco de un ataque cibernético hacia fines de abril y se conoció que la base de datos del departamento se había visto comprometida.
El 7 de mayo, el ataque al Oleoducto Colonial, conocido como uno de los oleoductos más grandes de Estados Unidos, causó que este dejara de prestar su servicio, provocando gran impacto en todo Estados Unidos.
Según informes de agencias como la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el ataque Colonial Pipeline fue llevado a cabo por un hacker profesional externo, utilizando una variante de ransomware altamente sofisticada.
Según una investigación tras el ataque, se determinó que los operadores de ransomware llamados DarkSide llevaron a cabo el ataque y se señaló que Rusia podría estar relacionada con el suceso.
El segundo gran ataque en Estados Unidos relacionado con ransomware se produjo contra CNA Financial, una de las compañías de seguros más grandes de EEUU. Los funcionarios de la compañía declararon en un comunicado que fueron víctimas de un ataque de ransomware llevado a cabo por el grupo Evil Corp, vinculado a Rusia.
Tras los ataques a empresas e instituciones públicas de EEUU, países de Europa y Asia también fueron blanco de diversas variantes de ransomware. Por ejemplo, en el último mes, la sede europea de Toshiba; la compañía Bose en Alemania; la compañía de seguros AXA en Francia; HSE, la agencia oficial de servicios de salud de Irlanda; y la compañía aérea Air India anunciaron que fueron atacados con sistemas de ransomware. Después de los informes y declaraciones oficiales, el mundo entró en estado de alarma.
Increíble aumento de los ataques de ransomware
Cabe destacar que los daños a gran escala causados por los ataques de ransomware a nivel internacional han aumentado aún más en el último año. Por ejemplo, según informes de varias agencias gubernamentales y empresas profesionales de ciberseguridad, los ataques globales de ransomware en 2020 aumentaron en un 150% en comparación con el año anterior. Además, se determinó que hubo un aumento de hasta un 300% en los pagos de rescate realizados por las víctimas para que lograran acceder a su información personal.
Además, los ataques globales de ransomware a infraestructuras críticas, empresas e instituciones públicas han aumentado drásticamente en el primer trimestre de 2021. Con la intensificación de los ataques, hubo un gran aumento en la cantidad de dinero de rescate exigido por los atacantes a las víctimas. Especialmente debido al aumento en el valor de la moneda virtual bitcoin, los rescates pagados por las empresas gigantes a los atacantes alcanzaron decenas de millones de dólares.
En los ataques de ransomware que tuvieron lugar en 2021, se observan algunos cambios en términos cualitativos y de método en comparación con períodos anteriores. Por ejemplo, ha habido ataques de “phishing” a través de correos electrónicos. Otros ataques se destinaron a las vulnerabilidades de infraestructura cibernética de algunas empresas.
En otra modalidad, los datos de la víctima son encriptados y los atacantes exigen una cierta cantidad de dinero para entregar las claves de encriptación. Se ha visto recientemente que los datos se filtran a varias plataformas, a veces de forma parcial o total, junto con el cifrado, y se comparten en el entorno de la “web oscura”, donde los ciberdelincuentes operan intensamente.
Además, la lucha se vuelve más difícil a medida que las variantes de ransomware se vuelven cada vez más sofisticadas y los atacantes utilizan varios métodos de operación.
Últimamente se ha observado que grupos de hackers, patrocinados por un Estado, pueden realizar una operación de ciberespionaje con el único propósito de recopilar información y enviar los datos que obtiene a un gobierno interesado.
Sin embargo, al hacerlo, puede presentarse como un grupo de piratas informáticos ordinario/independiente al exigir un monto de rescate a sus víctimas, enmascarando así su propósito original y su relación con un Gobierno.
Un ejemplo de esto puede ser la operación de Irán contra objetivos israelíes en noviembre y diciembre del año pasado. El grupo iraní Pay2Key exigió un rescate de más de USD 1 millón en total por los datos que obtuvieron al lograr hackear una serie de importantes empresas israelíes. Al parecer, el grupo en cuestión apuntó a la industria de defensa y empresas de tecnología cibernética y compartió los datos que obtuvo de ellos con los servicios de inteligencia iraníes.
Hay que tener en cuenta que incluso si los atacantes cibernéticos no están afiliados al Estado, es posible que estos cooperen y vendan sus datos debido a motivaciones financieras. Por lo tanto, es posible que los actores de las amenazas cibernéticas le den más peso a este “mercado oscuro”.
Si bien la protección de los datos personales es responsabilidad de cada empresa, los gobiernos también tienen deberes importantes ya que el Estado se puede ver afectado debido a esta clase de ataques.
La administración del presidente estadounidense, Joe Biden, tomó una serie de medidas luego del devastador ataque del Oleoducto Colonial, para actualizar los protocolos de seguridad y mejorar la colaboración con la industria. Del mismo modo, las empresas israelíes objetivo de los grupos de amenazas cibernéticas iraníes han tomado medidas para tomar precauciones en la cooperación Estado-empresa como resultado de las advertencias de las instituciones pertinentes del Estado.
Aunque muchas empresas o instituciones conocen los pasos que se pueden tomar para protegerse de las amenazas de ransomware, a menudo estas no se llevan a cabo. Se debe adoptar un enfoque proactivo en este sentido, se deben evaluar las posibles vulnerabilidades de seguridad de las compañías y gobiernos y se deben tomar las precauciones necesarias en cooperación con las instituciones locales e internacionales, si no se quiere que información sensible caiga en manos equivocadas.
[Ersin Cahmutoglu se desempeña en el área de inteligencia y actividades cibernéticas patrocinadas por el Estado y trabaja para el Departamento de Estudios de Seguridad del Centro de Estudios Iraníes (İRAM).]