En la era digital, los ataques de ransomware se han convertido en una de las amenazas más graves para las empresas latinoamericanas. De hecho, diversos estudios dan cuenta de que el 32 % de los ciberataques en la región durante el 2022 fueron mediante esta modalidad. Además, en 2023, los ataques de ransomware aumentaron un 38 % respecto al año anterior, siendo Brasil, Colombia, Perú, Chile, México y Argentina, los países más afectados.
Si bien los ataques de ransomware pueden estar dirigidos a grandes corporaciones —como el ataque a la Justicia de Córdoba (Argentina), en 2022, o al sistema de salud público en Brasil, en 2021—, lo preocupante es que también afectan a pequeñas y medianas empresas. Posiblemente, esto se deba a que los atacantes consideran que estas organizaciones tienen menos capacidad para resistir los ataques.
A modo de ejemplo, mencionamos que, en marzo de 2023, la Segunda Seguros —una de las empresas de seguros más grande de Argentina— fue víctima de un ciberataque. Los delincuentes accedieron al sistema de la organización, robaron datos confidenciales y luego pidieron un rescate para devolverlos. Si bien el caso fue reciente y aún no se cuenta con mucha información, se sabe que el ataque fue realizado por un grupo internacional especializado en sistemas encriptados.
Fueron los mismos hackers quienes dejaron un mensaje explicando el alcance del delito: «Todos los servidores fueron bloqueados. Toda la información de la compañía fue robada. Tenemos información sobre aseguración y sobre sus clientes, incluyendo sus datos personales. Todo esto y mucho más será publicado en caso de que no paguen un rescate razonable».
El ataque generó grandes inconvenientes, no solo en la operación diaria de los 1300 empleados de la empresa, sino también en los servicios que la organización brinda a sus clientes. Este hecho dispara muchas preguntas y en esta nota las vamos a responder.
Primero, ¿cómo funcionan los ataques de ransomware?
Como podemos deducir a partir de lo ocurrido en La Segunda, los ataques de ransomware son un tipo de ciberataque que tiene como objetivo cifrar los archivos de una víctima para luego exigir un rescate económico a cambio de la clave que permita recuperarlos.
Por lo general, los ataques de ransomware comienzan con la distribución de un software malicioso (malware) a través de correos electrónicos, mensajes de texto o sitios web infectados. Una vez que el software malicioso entra en la computadora o sistema de la víctima, comienza a cifrar los archivos que encuentra y luego muestra una pantalla de bloqueo que exige el pago de un rescate para obtener la clave de descifrado.
El mensaje de rescate suele incluir instrucciones detalladas para el pago del rescate, a menudo en criptomonedas para dificultar el seguimiento del dinero. En algunos casos, los atacantes amenazan con publicar o vender los datos robados si el rescate no es pagado. Cabe mencionar que no siempre se garantiza la recuperación de los archivos después de realizar el pago y que, en algunos casos, los delincuentes pueden exigir pagos adicionales después de haber recibido el primer pago. Incluso, los atacantes pueden no tener la capacidad técnica para restaurar los archivos, aun pagando el rescate.
Para comprender mejor el funcionamiento de los ataques de ransomware, puede descargar gratuitamente nuestro ebook Ransomware: entienda, prevenga y responda a esta gran amenaza.
¿Las organizaciones de todos los sectores se ven afectadas por igual?
Si bien es cierto que cualquier organización puede ser víctima de un ciberataque, algunas industrias y sectores son más propensos a ser atacados que otros, debido a factores como el tipo de datos que manejan, tal es el caso de las cooperativas, emisoras de tarjetas y aseguradoras. Más aún si pensamos en el nuevo mundo pospandemia, donde la acelerada digitalización de la vida laboral hizo que muchos colaboradores trabajen desde sus casas remotamente. Esto obligó a muchas compañías a implementar sistemas de trabajo a distancia a toda prisa y sin contar con los recursos suficientes para garantizar una adecuada protección de la información. Algunas empresas no estaban preparadas para la rápida transición al trabajo remoto, lo que ha dejado brechas en la seguridad que los atacantes pueden explotar.
¿Qué tan fuertes son los sistemas de seguridad de las empresas?, ¿Están preparadas las empresas latinoamericanas para hacerle frente a los ataques de ransomware?
Muchas empresas de la región latinoamericana todavía tienen lagunas significativas en su estrategia de ciberseguridad y están subestimando la amenaza que representan los ataques cibernéticos. Esto se debe a varios factores. Por un lado, porque erróneamente se cree que el costo de implementar medidas de seguridad puede ser muy alto, cuando en realidad las pérdidas económicas son más grandes cuando hay que hacerle frente a un delito digital consumado. Por otro, porque la falta de personal especializado en ciberseguridad es una problemática en Latinoamérica. Por último, aunque muchas empresas están invirtiendo cada vez más en la seguridad cibernética, aún hay una falta de conciencia y preparación en la región en cuanto a la prevención y respuesta a los ataques de ransomware.
¿Todos los ataques de ransomware tienen el mismo objetivo?, ¿cuál es la tendencia en Latinoamérica?
El objetivo, más allá de la modalidad, es siempre el mismo: cifrar los archivos de una víctima para luego exigir un rescate económico. Sin embargo, es posible observar ciertas tendencias, por ejemplo, hay un aumento del ransomware como servicio (RaaS). Es decir, los atacantes ofrecen sus servicios de ransomware a otros delincuentes cibernéticos que pueden no tener las habilidades técnicas para realizar un ataque de ransomware por sí mismos.
En un modelo RaaS, los creadores del ransomware proporcionan a los usuarios finales todo lo que necesitan para realizar un ataque de ransomware, como una interfaz de usuario fácil de usar, un sistema de pago para recibir el rescate y soporte técnico para ayudar a los usuarios finales a realizar el ataque. A cambio, los creadores del ransomware reciben una comisión por cada rescate pagado por la víctima.
Y la pregunta del millón: ¿se pueden prevenir estos delitos?
Los ciberdelincuentes suelen utilizar la deep & dark web para planear y llevar a cabo estos ataques (para conocer qué es la deep & dark web puedes leer esta nota). Sin embargo, con el monitoreo activo de los riesgos digitales y el uso de cyber threat intelligence, las empresas pueden identificar los posibles ataques de ransomware antes de que sucedan. Estos servicios actúan como escudos, analizando constantemente lo que sucede en internet y detectando posibles amenazas, para que las empresas puedan tomar medidas preventivas.
Básicamente, la cyber threat intelligence (CTI) o inteligencia de amenazas cibernéticas es un proceso mediante el cual se recopila y analiza información sobre las amenazas cibernéticas actuales y emergentes para protegerse contra ellas. Se utiliza para identificar y prevenir posibles amenazas cibernéticas antes de que se conviertan en incidentes de seguridad reales.
Es importante destacar que los servicios de monitoreo de riesgos digitales y cyber threat intelligence no son solo para grandes corporaciones. Una vez más, mencionamos que cualquier empresa, independientemente de su tamaño, puede ser objeto de un ataque de ransomware y otras amenazas digitales, y estas herramientas pueden ser la diferencia entre estar preparado y sufrir graves consecuencias. Contáctenos y le brindaremos más información para que hoy mismo comience a proteger su empresa.
Expertos en crear contenido relevante de ciberseguridad externa para hacer de internet un lugar más seguro.