La lista de ataques de ransomware de alto perfil se hace más larga y alarmante cada semana. Este software malicioso que cuando entra a un sistema es capaz de cifrar ciertos archivos importantes logra perjudicar hoy en día a grandes, medianas y pequeñas empresas, y lo que es más común, pone cada vez más en peligro infraestructura crítica como el suministro de combustible, aerolíneas, servicios públicos y servicios gubernamentales. Ante esto, Fluid Attacks explica qué es el modelo de ciberataque Ransomware as a Service (RaaS), cómo funciona y en qué deben fijarse las organizaciones para prevenir este tipo de ataques.
“El Ransomware as a Service es un modelo de ciberataque basado en la suscripción, donde un usuario solicita un ‘servicio’ que acaba siendo un ‘paquete’ de herramientas de ransomware previamente diseñado para atacar. Hasta hace poco, el número de atacantes con ransomware se limitaba a individuos que tenían conocimiento de cómo entrar en la infraestructura cibernética de la víctima y cifrar su información. Sin embargo, en la actualidad, cualquier individuo que tenga el dinero y las intenciones de cometer este delito puede contratar este tipo de servicio malicioso”, señala Vladimir Villa, CEO de Fluid Attacks.
Según datos de Threatpost, el 41% de las denuncias realizadas a los ciberseguros en 2020 correspondió a ataques de ransomware. Además, datos del FBI indicaron que la cantidad de víctimas en Estados Unidos durante el mismo año llegó a 2.474, un aumento de más del 65% con respecto al 2018, generando una pérdida calculada de más de 29 millones de dólares.
El modelo de Ransomware as a Service funciona de la siguiente manera:
- Los ciberdelincuentes escriben el código del ransomware.
- La persona o el grupo implicado compra o alquila el código para ejecutar los ataques. Existen suscripciones mensuales o de tarifas únicas, y los paquetes cuentan con guías detalladas que explican cómo deben ejecutarse los programas.
- Una vez adquirido el paquete de ransomware, se busca que la víctima descargue el programa. Ante esto, los ciberdelincuentes apelan a la credibilidad y utilizan técnicas como el phishing o el smishing para cometer su delito.
- El procedimiento luego continúa como en cualquier otro ataque de ransomware, donde se cifran archivos y se busca el pago del rescate para liberar los datos.
- A la hora de distribuir el pago por descifrar datos, se suele recurrir a las criptomonedas ya que no son rastreables. Una vez realizado el pago, un blanqueador de dinero lo distribuye tanto a quien compró o alquiló el paquete de ransomware como a su desarrollador.
El ransomware es un acto punible a través del cual los atacantes obtienen beneficios presionando a las compañías a pagar. Con solo realizar un ataque, los cibercriminales pueden llevarse a sus bolsillos, de forma ilegal, montones de dinero. No obstante, es cierto que también pueden verse en alto riesgo de terminar tras las rejas. Muchas de las empresas deciden pagar debido al impacto que genera la suspensión del servicio prestado a grandes cantidades de usuarios, especialmente cuando estos ataques se dirigen a infraestructura crítica. Uno de los casos más recientes y famosos fue el del oleoducto Colonial Pipeline, que pagó casi 5 millones de dólares por el rescate pedido por la banda criminal. Esto sugiere que este tipo de acciones alientan a los ciberdelincuentes a incrementar sus objetivos para comprometer negocios, datos e infraestructura. Por tanto, una manera de romper con este círculo vicioso es que las organizaciones, bajo ninguna circunstancia, paguen los rescates, así existan consecuencias monetarias, operacionales y reputacionales hacia ellas. Además, hoy la regulación y gobiernos se han fortalecido para castigar de manera ejemplarizante a individuos y grupos comprometidos en ciberataques.
“Sin embargo, en Fluid Attacks creemos que la mejor forma de detener a los ciberatacantes es no darles la opción de atacar. En otras palabras, las compañías deben abordar la ciberseguridad desde el inicio de la creación de tecnología, con un enfoque preventivo. Por lo tanto, prevenir los ataques de ransomware probando los sistemas es la forma más apropiada de evitarlos. Debemos implementar una solución de seguridad robusta desde el comienzo del ciclo de vida de desarrollo de nuestro software, para someter a este a pruebas integrales, exhaustivas y continuas”, concluye Vladimir Villa.