Basta con leer las noticias para darse cuenta de que, hasta ahora, vamos perdiendo la batalla contra el ransomware. Se trata de una epidemia que, desde principios de esta década, se ha propagado por toda la economía. Nadie está a salvo. Cualquiera puede ser un objetivo: el tejido empresarial, las administraciones públicas, las infraestructuras críticas e, incluso, los hospitales. De hecho, lamentablemente, los ataques dirigidos contra estos se han multiplicado considerablemente durante el último año.
Aunque hay costes que no se pueden medir, como el impacto que estos ataques generan en la vida de un paciente, hay otros que se pueden calcular y son claros. La suma de los rescates pagados arroja una cifra alarmante. Solo en 2023 alcanzó los 1.000 millones de dólares, el doble que el año anterior. En otras palabras, los criminales están perfeccionando su máquina de extorsionar, haciéndola cada vez más efectiva. De hecho, si todo este dinero fuera a parar a un único grupo, entraría a formar parte de las 10 empresas más grandes del mundo, ocupando el octavo lugar después de Meta.
Pero ¿cómo es posible que los delincuentes consigan ser tan efectivos como para duplicar anualmente sus ingresos?
Para empezar, esta tendencia genera un problema en sí misma, ya que ofrece un incentivo económico que atrae a nuevos delincuentes. A esto se suma que no necesitan un conocimiento experto para llevar a cabo un ataque. Grupos criminales, como Lockbit, ofrecen la infraestructura tecnológica necesaria, así como garantías de anonimato, como un servicio (RaaS). Es fácil deducir lo que sucede cuando se combina una mayor recompensa con escasas barreras de entrada a este boyante negocio delictivo.
Además, están surgiendo nuevas variantes de extorsión. Al principio, “solo” bloqueaban el acceso a los datos o archivos hasta recibir un rescate, generalmente en criptomonedas. Con el tiempo, se han dado cuenta que podían extender la extorsión, pidiendo un segundo pago para no divulgar los datos robados o para no corromperlos. En algunos casos, si los datos son de terceros, el chantaje va más allá de la propia víctima y se extiende a sus clientes. Al final, el resultado es que tanto el importe del rescate como la probabilidad de que la víctima pague aumentan. Para muestra un botón: según el último informe de Zscaler, este año se habría producido el pago de mayor cuantía, 75 millones de dólares, desde que se guarda registro.
Atajar esta lacra es cada vez más difícil. Los delincuentes aprovechan las ventajas de un contexto geopolítico complejo. Mientras que algunos países, como Rusia, fomentan o protegen a estos grupos criminales, otros, como España, se convierten en blancos frecuentes de sus ataques. Además, los asaltantes han empezado a probar nuevas técnicas de infiltración en países de África, Sudamérica y Asia antes de atacar objetivos en Occidente, como lo hizo el grupo Medusa con el sistema financiero de Senegal y Tonga.
Está claro que una amenaza global necesita una respuesta internacional. Por eso, hace cuatro años un grupo de países, liderados por Estados Unidos, lanzaron la Iniciativa Internacional de Contraprogramas de Ransomware (CRI, por sus siglas en inglés), que actualmente cuenta con 68 países miembros y sigue sumando nuevos cada año. Esta colaboración consiste en compartir información, tecnología y buenas prácticas para alcanzar una mayor resiliencia. Por ejemplo, se recomiendan medidas técnicas básicas como usar autenticación multifactor y hacer frecuentes copias de seguridad, y operativas como probar regularmente los planes de respuesta a incidentes.
Un aspecto clave de la colaboración entre países es coordinar esfuerzos para generar una disrupción en las operaciones de los delincuentes. Y no hay mejor manera de hacerlo que entorpeciendo sus finanzas, tanto reduciendo sus ingresos como encareciendo la financiación de sus asaltos.
Para reducir los ingresos de estos malhechores, lo ideal sería eliminar el pago de rescates por parte de las víctimas. Esto no siempre es factible dado que, en muchos casos, llevaría a la quiebra de sus negocios. Sin embargo, se pueden implementar regulaciones inteligentes para evitar, por ejemplo, que las aseguradoras promuevan indirectamente el pago de rescates cuando establecen las condiciones de sus pólizas. Además, también se puede educar a las víctimas para que evalúen de manera objetiva alternativas al pago. Finalmente, si se produce el rescate, también puede ser efectivo encontrar la forma de rastrear el dinero, frecuentemente criptomonedas, así como establecer medidas más estrictas contra el blanqueo de dinero.
Finalmente, la lucha internacional contra el ransomware no solo se enfoca en bloquear sus flujos financieros, sino también en la acción policial para identificar y detener a los delincuentes. Recientemente, en Madrid, se ha llevado a cabo una operación internacional liderada por la Agencia Nacional del Crimen (NCA) del Reino Unido, en colaboración con el FBI, Europol y la Guardia Civil. En esta operación se arrestó a uno de los líderes de un grupo de ransomware que está entre los más activos del mundo.
Aunque la suma de todas estas medidas deberían ser devastadoras para los ciberdelincuentes, aplicarlas de forma efectiva está resultando complicado y, por ahora, no han dado los resultados esperados. Lamentablemente, el ransomware sigue en auge. Por ello, es esencial que organizaciones de todos los tamaños fortalezcan su resiliencia, comenzando por una autoevaluación honesta de su situación. El último informe de Cisco sobre la preparación de las organizaciones frente a ataques es muy revelador: “están mal preparadas y pecan de un exceso de confianza en sí mismas”.
Hay que salir de este autoengaño. Toda organización, más allá de sus intereses particulares, debe entender que ser resiliente es, hoy más que nunca, una responsabilidad hacia la sociedad. Al mismo tiempo, si el campo de batalla se extiende a todo el planeta, nuestras defensas también deben ser transfronterizas. Iniciativas como CRI, van a marcar la diferencia.
