En el ámbito de la ciberseguridad, existe una amenaza que evoluciona constantemente: el ransomware. Desde hace varios años se le ha considerado un riesgo persistente y devastador para las organizaciones de diversas industrias en todo el mundo.
Basta una simple comparación de lo que era hace algún tiempo con lo que es hoy para darse cuenta de que el ransomware no solamente es más sofisticado, sino que se ha convertido en un modelo de negocio que genera millones de dólares cada año: el ransomware como servicio (RaaS).
Este fenómeno ha transformado la manera en que los ciberdelincuentes operan, facilitando la proliferación del este tipo de software malicioso y ampliando el alcance de sus impactos.
Tradicionalmente, los ataques de ransomware se enfocaban en extorsionar a las víctimas mediante la encriptación de sus datos. Sin embargo, esto ha dado un giro radical y hoy, además de cifrar la información, los atacantes ahora amenazan con divulgar los datos sensibles de no pagarse el rescate que exigen, multiplicando así la presión sobre las víctimas.
RaaS, un negocio ilícito redondo
Al igual que en la industria de TI, donde servicios como el software como servicio (SaaS) han revolucionado la forma en que las empresas adquieren y utilizan software, el RaaS ha cambiado la dinámica del cibercrimen. El RaaS permite que ciberdelincuentes con conocimientos limitados accedan a herramientas de ransomware sofisticadas, desarrolladas por expertos en malware, a cambio de una tarifa o una porción de las ganancias del rescate.
En su forma más básica, el RaaS implica que un grupo criminal desarrolla y pone a disposición herramientas de ransomware para que afiliados, con habilidades técnicas escazas, las utilicen para atacar a organizaciones. Estos clientes pueden adquirir el ransomware a través de suscripciones mensuales, pagos únicos o acuerdos de reparto de ganancias.
Por su parte, los desarrolladores pueden maximizar sus ingresos y reducir su riesgo, distribuyendo tanto las jugosas ganancias como la posibilidad de ser capturados. Me gustaría ahondar un poco sobre estos aspectos.
Primero, en lo que se refiere a la distribución del riesgo, al compartir las herramientas de ransomware con afiliados, sus creadores diluyen la posibilidad de ser capturados. Esto les resulta bastante convenientes en el momento en que un afiliado es atrapado y procesado, lo que no necesariamente va a comprometer a todo el grupo de ransomware.
En segundo lugar, como sucede con los servicios legítimos de TI, el RaaS permite una operación a gran escala, donde múltiples afiliados pueden infectar diversas organizaciones simultáneamente.
Tercero, los kits de RaaS incluyen herramientas fáciles de usar, soporte técnico, foros de ayuda y hasta asistencia en las negociaciones de rescate, lo que permite que incluso personas sin conocimientos avanzados puedan llevar a cabo avanzados ataques de ransomware.
Una industria resiliente
La estructura del RaaS se asemeja incluso a la de cualquier industria legítima de servicios, con modelos de suscripción, tarifas únicas y repartos de ganancias. Los precios pueden ser sorprendentemente bajos: por tan sólo 40 dólares, un afiliado puede obtener acceso a un ransomware sofisticado, potencialmente destructivo y altamente lucrativo.
Con navegar por la Dark Web o la Deep Web, alguien interesado en incursionar en el mundo de las ciberamenazas podrá encontrar una amplia gama de ransomware y otro tipo de software malicioso, así como rangos de precios de los cuales puede elegir de acuerdo con sus posibilidades.
La resiliencia, que es un principio sobre el que se basa la propia ciberseguridad, también ha sido adoptada por los operadores de RaaS. La naturaleza distribuida del ransomware como servicio significa que la persecución y captura de los grupos de ranwomware o sus afiliados no necesariamente termina con sus actividades maliciosas y lucrativas.
Incluso, estos ciberdelincuentes tienen ha habilidad de trasladar su infraestructura a otras plataformas, adoptar un nuevo nombre y captar nuevos “clientes” con relativa facilidad, haciendo más difícil para las autoridades rastrear y desarticular estas redes.
Cómo actuar frente al ransomware
Es una realidad que el ransomware, y su modalidad de RaaS, va a seguir teniendo en la mira a las organizaciones de todos los sectores y buscando obtener ganancias millonarias. Es por ello por lo que las empresas no deben bajar la guardia y tener una estrategia de defensa en capas que proteja cada aspecto del negocio y sus stakeholders.
1. Copias de seguridad. Mantener copias de seguridad actualizadas y confidenciales de datos, sistemas y aplicaciones es crucial. Sin embargo, es importante proteger también estas copias contra ataques.
2. Actualización de parches de seguridad. Las actualizaciones y parches de seguridad deben aplicarse en cuanto están disponibles. Esto eleva los niveles de protección y sin pagar un peso extra de lo que ha costado la licencia de un sistema operativo.
3. Capacitación en ciberseguridad. La educación continua para los empleados sobre las amenazas de phishing y otras técnicas de ingeniería social es fundamental para prevenir ataques.
4. Controles de acceso. Implementar autenticación multifactor, segmentación de redes y arquitecturas de confianza cero (Zero Trust) ayuda a optimizar la protección de los sistemas.
5. Respuesta a incidentes. Contar con un plan robusto de respuesta a incidentes mejora la resiliencia de la organización, permitiendo una recuperación rápida y minimizando el impacto de un ataque.
El ransomware sigue siendo una amenaza significativa, y la evolución hacia el RaaS ha amplificado su alcance y eficacia. La industria del RaaS es un engranaje bien estructurado que combina conocimientos técnicos avanzados con modelos de negocio ilícitos, ofreciendo herramientas poderosas a una amplia gama de actores maliciosos. Para las organizaciones, comprender esta amenaza y fortalecer sus defensas es esencial para protegerse en este panorama de ciberseguridad en constante cambio.
