El Negocio del Ransomware; Pagar o no pagar. Miles de empresas se enfrentan a este dilema cuando caen en la trampa de un ataque de ransomware. Información secuestrada, archivos encriptados, sistemas destruidos, negocios paralizados… Y un mensaje en los ordenadores que no deja lugar a dudas: hemos atacado su empresa y aquí tiene una dirección de contacto donde puede negociar el rescate. La clásica ciberextorsión. La carrera contra el tiempo ha comenzado.

Quienes viven estas situaciones las definen como horas de angustia, nerviosismo y máxima tensión, sobre todo la primera vez. Sea cual sea la decisión que se tome, el daño está hecho. No es raro que se opte por el pago ante un ataque de ramsomware, como por ejemplo la empresa Uber. Algunas empresas incluso reconocen que han sucumbido a la presión.

Los ciberdelincuentes llegaron a ganar más de 30 millones de dólares con el ransomware durante el 2016 y el 2019.

Cuanto más comprendamos el modus operandi y la escala operativa de los ciberdelincuentes, más eficazmente podremos combatirlos. En el caso del ransomware, no es fácil evaluar el éxito y los beneficios de un determinado grupo delictivo. Los proveedores de seguridad a menudo se enteran de estos ataques observando y comunicándose con sus clientes, lo que significa esencialmente que a menudo ven los intentos fallidos. Por su parte, las víctimas de los rescates tienden a guardar silencio (especialmente si han pagado el rescate).

Por lo tanto, los datos fiables sobre los ataques exitosos son escasos. Un grupo de analistas de la Universidad de Princeton, la Universidad de Nueva York y la Universidad de California en San Diego, así como varios empleados de Google, realizaron este estudio durante 2016 y 2017. Han pasado algunos años, pero su metodología sigue siendo aplicable.

Los ciberdelincuentes temen que el dinero deje huellas, por lo que la ciberdelincuencia actual prefiere las criptomonedas (Bitcoins en particular), que están poco reguladas y garantizan el anonimato. Por otro lado, las criptomonedas son accesibles a todo el mundo y las transacciones no pueden ser revertidas.

Sin embargo, otra característica importante de Bitcoins es relevante aquí: todas las transacciones de Bitcoins son públicas. Esto significa que es posible rastrear los flujos financieros y vigilar el alcance del funcionamiento de la economía cibercriminal. Y eso es exactamente lo que han hecho los investigadores.

Algunos atacantes, no todos, generan una dirección de monedero BTC única para cada víctima, por lo que los investigadores recopilaron primero los monederos a los que iban los pagos del rescate. Encontraron algunas de las direcciones en mensajes públicos sobre la infección (muchas víctimas publicaron capturas de pantalla del mensaje de rescate en línea) y obtuvieron otras ejecutando el ransomware en máquinas de prueba.

El siguiente paso de los investigadores fue rastrear las criptomonedas una vez transferidas al monedero, lo que en algunos casos les obligó a realizar ellos mismos micropagos de Bitcoin. Bitcoin permite el copago, la transferencia de fondos de varias carteras a una sola, lo que permite a los ciberdelincuentes consolidar el pago de rescates para múltiples víctimas. Pero una operación así requiere un cerebro que contenga las claves de varias carteras. Por lo tanto, el rastreo de estas operaciones permite ampliar la lista de víctimas y, al mismo tiempo, encontrar la dirección del monedero principal al que se transfieren los fondos.

Tras estudiar los flujos financieros de las carteras durante un periodo de dos años, los investigadores pudieron hacerse una idea de los ingresos de los ciberdelincuentes y de los métodos de blanqueo de dinero.

El único método realmente eficaz para luchar contra la ciberdelincuencia y frenar el negocio del ransomware es prevenir la infección. Por eso te recomendamos que sigas al pie de la letra las siguientes normas:

1. Forme a sus empleados para que reconozcan las técnicas de ingeniería social. En algunos casos raros, los atacantes intentan infectar los ordenadores enviando documentos maliciosos o un enlace.
2. Actualice regularmente todo el software, especialmente los sistemas operativos. A menudo, el ransomware y sus herramientas de distribución explotan vulnerabilidades conocidas y sin parches.
3. Utilizar soluciones de seguridad con tecnologías antiransomware, especialmente las que son capaces de hacer frente a amenazas conocidas y no detectadas.
4. Realiza copias de seguridad; si es posible, almacena las copias de seguridad en soportes aislados que no estén permanentemente conectados a la red local. En la Agencia Universitaria DQ utilizamos discos duros USB y la herramienta FreeFileSync para tener una copia «espejo» de los datos totalmente aislada de la red local.