El código malicioso que secuestra datos bate récords con sus rescates.
Son las 22.00 horas del viernes 2 de julio. Kaseya, compañía estadounidense de software que ofrece servicios TI a más de 40.000 empresas en todo el mundo, realiza un comunicado en su página web en el que informa de que «un ataque potencial» ha afectado a un «pequeño grupo» de las firmas para las que trabaja. La incidencia, que en un primer momento parecía que había quedado limitada a 40 compañías, ha terminado causando problemas en unas 1.500 empresas a nivel global. Desde Estados Unidos, hasta Suecia, Reino Unido, Canadá o España.
Para realizar la infección, el grupo de cibercriminales empleó un código de tipo ‘ ransomware‘ llamado REvil; de la misma clase que el que sufrió el SEPE esta primavera y el Ministerio de Trabajo hace apenas un mes. Entre sus funciones destaca el cifrado de la información que almacena la víctima en sus equipos con el objetivo de extorsionarla para que pague un rescate a cambio de recuperarla. En el caso de Kaseya, los criminales – antes de desconectar su infraestructura en línea tras haber llamado la atención del Gobierno de Estados Unidos– llegaron a solicitar más de 70 millones de dólares por liberar a las firmas afectadas. Una buena muestra de los pingües beneficios que proporciona una amenaza que cada vez hace más daño a quien la sufre. Sobre todo a nivel económico.
«Los delincuentes saben los recursos económicos con los que cuentan las empresas. Por eso saben a quién pueden solicitarle más dinero y a quién menos. A partir de ahí los grandes grupos de cibercriminales pueden intentar dirigir los ataques contra objetivos más grandes», explica a ABC Josep Albors, jefe de investigación y concienciación de la compañía de ciberseguridad ESET. De acuerdo con recientes estudios, el empleo del ‘ransomware’ en la Red ha explotado en los últimos meses. Algunas empresas, como Check Point, apuntan a que su uso ha crecido en un 93% durante 2021 en comparación con el año anterior, en el que ya tuvieron lugar un buen puñado de ataques sonados, como el que afectó a la tecnológica Garmin y por el que la empresa, presuntamente, llegó a pagar a los cibercriminales 10 millones de dólares.
Los rescates, no obstante, han seguido aumentando. En 2020 un 300% alcanzando los 350 millones de dólares en beneficios, según la firma de analítica Chainalysis. En el presente curso, todo indica que la tendencia seguirá al alza. De acuerdo con un estudio de la firma de seguridad israelí Cybereason, las pérdidas que ocasionan estas amenazas podrían alcanzar, en términos globales, los 20.000 millones de dólares.
«Últimamente los atacantes han conseguido entrar en algunas empresas o infraestructuras críticas en las que hay mucho en juego. Un ejemplo lo encontramos en el caso del oleoducto estadounidense Colonial Pipeline (que pagó un rescate de 5 millones de dólares para recuperar la normalidad). Además, estamos observando que los atacantes están recurriendo a nuevas fórmulas en las que, además de cifrar los datos de las víctimas, las someten a una extorsión amenazando con la publicación de los datos», señala a este periódico Josu Franco, asesor en estrategia y tecnología de WatchGuard Technologies.
El experto añade que el objetivo que persiguen los criminales que utilizan este código es siempre el mismo: «lograr que las víctimas paguen, a pesar de que las autoridades recomienden no hacerlo para no seguir alimentando el negocio, puesto que no hay garantías de que los atacantes cumplan con devolver el acceso a la información o con no volver a extorsionar a largo plazo».
La mayoría pagan
Los grandes grupos de cibercriminales, efectivamente, se están centrando, cada vez más, en grandes objetivos, capaces de realizar importantes pagos a cambio de recuperar el control de su información. Ese es el caso, por ejemplo, de REvil, este código malicioso de origen ruso, y que estuvo detrás del ataque contra Kaseya, fue empleado el pasado marzo para secuestrar información de la empresa de informática Acer. En este caso, se llegó a solicitar un rescate de 50 millones de dólares.
Más sonado, si cabe, fue el incidente sufrido en mayo por el oleoducto estadounidense Colonial Pipeline y que dificultó el abastecimiento de petróleo en la costa este de Estados Unidos durante días. Detrás de esta acción se encontraba el grupo cibercriminal de Europa del Este DarkSide. Un ‘ransomware’ que apenas alcanza los dos años de vida y que, según un reciente estudio publicado por la firma de análisis Elliptic, ha conseguido ganar 90 millones de dólares desde octubre de 2020 con sus rescates. Un botín considerable que ha logrado atacando a empresas de alto perfil. En concreto, con unos ingresos superiores a los 87 millones de dólares anuales de media, de acuerdo con una reciente investigación de la firma de ciberseguridad Trend Micro.
Evidentemente, si los cibercriminales cada vez emplean más los ataques de tipo ‘ransomware’ es porque, en muchos casos, la empresa o la institución que lo sufre termina plegándose a las demandas. «La extorsión asusta a las empresas y en muchos casos están consiguiendo que se paguen los rescates. Ese éxito económico les incita a continuar. Si a esto le sumas las facilidades que les ha proporcionado la pandemia, con la llegada del teletrabajo, los criminales lo tienen más sencillo. El nergocio es redondo», explica a este periódico José de la Cruz, director técnico de Trend Micro. De acuerdo con un reciente estudio de Kaspersky, en 2020 el 56% de las empresas atacadas por un código de este tipo terminaron pagando un rescate. En el caso de España, la cifra se reduce hasta el 32%. «Los ataques de ‘ransomware’ a usuarios comunes están bajando mucho. Pero los que están dirigidos contra entidades y grandes empresas se han disparado. La tendencia está asentada», explica recientemente a este periódico Dani Creus, jefe de investigación de Kaspersky.