![\"Una](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/\/shutterstock-1979129999-300x225.jpg\" "\\"Imagen")
<\/p>\n<\/p>\n
El ransomware se ha convertido en una de las herramientas m\u00e1s conocidas de los ciberdelincuentes. Desde el grupo naviero internacional paralizado por el cifrado de sus herramientas de producci\u00f3n hasta la muerte de un paciente en un traslado entre hospitales alemanes, el ransomware ha demostrado su capacidad para perturbar cualquier empresa y comunidad, independientemente de su tama\u00f1o y nivel de seguridad. Pero \u00bfc\u00f3mo hemos pasado en 30 a\u00f1os de un programa malicioso en un disquete que ped\u00eda cien d\u00f3lares de rescate a una verdadera industria criminal estructurada de miles de millones de d\u00f3lares?<\/strong><\/p>\n Un vistazo a la historia y la evoluci\u00f3n del fen\u00f3meno de los ransomware.<\/p>\n <\/p>\n Al contrario de lo que se suele creer, el primer ransomware<\/em> no apareci\u00f3 con Internet. La (triste) historia de estos programas maliciosos comenz\u00f3 a finales de la d\u00e9cada de 1980, con el \u00fanico prop\u00f3sito de bloquear el funcionamiento de puestos de trabajo. De este modo, afectaban a particulares y empresas con microordenadores. En 1989, el\u00a0\u00abtroyano AIDS\u00bb fue el primer ransomware de la historia de la inform\u00e1tica<\/strong>. En un contexto de preocupaci\u00f3n por la aparici\u00f3n del virus del SIDA, el bi\u00f3logo Joseph L. Popp envi\u00f3 20\u00a0000 disquetes con informaci\u00f3n sobre la enfermedad a grupos de pacientes, instituciones m\u00e9dicas y particulares de 90 pa\u00edses. Pero, aunque el disquete conten\u00eda informaci\u00f3n sobre este tema, tambi\u00e9n conten\u00eda un virus que cifr\u00f3 los archivos de la m\u00e1quina infectada despu\u00e9s de un cierto n\u00famero de reinicios. Para recibir el software<\/em> descodificador, las v\u00edctimas tuvieron que pagar un rescate de 189 d\u00f3lares. Todav\u00eda se desconoce el n\u00famero de m\u00e1quinas que se vieron afectadas, pero Joseph Popp fue detenido por el FBI antes de ser declarado psicol\u00f3gicamente incapaz de ser juzgado.<\/p>\n A pesar de este golpe, los ataques DDoS y los gusanos acapararon toda la atenci\u00f3n en tiempos posteriores. Ello se debe a que el ransomware<\/em> pod\u00eda ser rastreado con relativa facilidad a partir de la informaci\u00f3n de pago. Por tanto, los siguientes ransomware<\/em> tardar\u00edan casi 15 a\u00f1os en aparecer, con la llegada de las monedas digitales y, posteriormente, de las criptomonedas, que permitieron una mayor fluidez en los pagos de los rescates y en los cambios de moneda, as\u00ed como un cierto anonimato. Estos ransomware\u00a0solo ten\u00edan una funci\u00f3n: sabotear los datos cifrando todos los archivos del disco sin afectar al funcionamiento del propio sistema operativo<\/strong>. As\u00ed, el usuario v\u00edctima ten\u00eda acceso a su sistema operativo sin poder utilizar ninguno de los archivos presentes. En 2005, PGPCoder (o Gpcode), apodado el ransomware<\/em> de los 20 d\u00f3lares, fue uno de los primeros ejemplos de ransomware<\/em> distribuido online. Su objetivo era infectar los sistemas Windows dirigi\u00e9ndose a archivos que conten\u00edan extensiones de uso com\u00fan como .rar, .zip, .jpg, .doc o .xls. En 2006, el ransomware<\/em> Archievus aument\u00f3 la dificultad de los intentos de descifrado adoptando el algoritmo de cifrado RSA mediante un mecanismo asim\u00e9trico de clave p\u00fablica y clave privada. Al dirigirse al contenido personal de los usuarios almacenado en el archivo \u00abMis Documentos\u00bb de Microsoft Windows, este ransomware<\/em> depositaba un archivo titulado \u00abhow to get your files back.txt<\/em>\u00bb en la misma carpeta. Los analistas y expertos en ciberseguridad descubrieron m\u00e1s tarde que la misma contrase\u00f1a de 38 caracteres pod\u00eda utilizarse para descifrar cualquier archivo infectado (\u00abmf2lro8sw03ufvnsq034jfowr18f3cszc20vmw<\/em>\u00bb, no tan f\u00e1cil de adivinar...). El ransomware<\/em> Archievus perdi\u00f3 entonces su poder de extorsi\u00f3n.<\/p>\n <\/p>\n En la primera mitad de la d\u00e9cada de los 2000, la adopci\u00f3n de Internet creci\u00f3 sin cesar, acerc\u00e1ndose a un nivel del\u00a087\u00a0% de estadounidenses conectados a finales de 2014<\/a>. Mensajer\u00eda, redes sociales, foros, redes\u00a0peer-to-peer<\/em>... Esta es la base sobre la que el ransomware<\/em> WinLock y sus variantes se distribuyeron ampliamente desde 2011 hasta 2014. Su particularidad era que no cifraba los datos del ordenador infectado, sino que este ransomware<\/em> ten\u00eda la funci\u00f3n de bloquear el acceso a la m\u00e1quina mostrando una ventana que conten\u00eda una foto pornogr\u00e1fica y una solicitud de pago mediante un servicio de SMS. Denominado \u00abLocker\u00bb, esta primera evoluci\u00f3n del ransomware<\/em> ten\u00eda como objetivo bloquear el inicio del sistema operativo.<\/p>\n Tras este ataque exitoso,\u00a0aparecieron variantes que usurpaban la imagen de las fuerzas de seguridad<\/strong>. Este fue el caso del ransomware<\/em> Reveton, en 2012, que se hizo pasar por el FBI bloqueando los ordenadores de sus v\u00edctimas y exigiendo el pago de una multa de 200 d\u00f3lares. Este ransomware<\/em> se distribuy\u00f3 ampliamente en plataformas\u00a0peer-to-peer<\/em>\u00a0o sitios pornogr\u00e1ficos. As\u00ed, los internautas pagaban r\u00e1pidamente para evitar cualquier represalia relacionada con la infracci\u00f3n de los derechos de autor o la distribuci\u00f3n de contenidos pornogr\u00e1ficos. A partir de entonces, las solicitudes de rescate pasaron a ser\u00a0cada vez m\u00e1s creativas\u00a0para aumentar sus posibilidades de pago.<\/p>\n <\/p>\n El a\u00f1o 2013 marc\u00f3 un punto de inflexi\u00f3n tecnol\u00f3gico con el ransomware<\/em> CryptoLocker y su servidor de\u00a0mando y control\u00a0controlado por el atacante. \u00abCon el uso de un servidor de mando y control, el grupo atacante puede hablar con la v\u00edctima, negociar, ampliar o reducir el plazo antes de la destrucci\u00f3n de los datos<\/em>. Tienen la capacidad de ejercer una presi\u00f3n adicional sobre la v\u00edctima y aumentar sus posibilidades de pago<\/em>\u00bb, explica\u00a0Pierre-Olivier Kaplan<\/strong>, ingeniero de investigaci\u00f3n y desarrollo de Stormshield. En paralelo a las campa\u00f1as masivas lanzadas a ciegas,\u00a0los ciberdelincuentes pueden conducir a distancia las cargas de virus en las m\u00e1quinas infectadas mientras negocian con las v\u00edctimas<\/strong>. Esta nueva estrategia dio sus frutos, ya que CryptoLocker gener\u00f3 27 millones de d\u00f3lares en sus dos primeros meses de funcionamiento. Tambi\u00e9n hay que se\u00f1alar que se trata de uno de los primeros programas de ransomware<\/em> que solicitaba un rescate en bitc\u00f3in.<\/p>\n En 2014, el frente de ataque se ampli\u00f3 con los primeros ataques a tabletas y m\u00f3viles Android. Los ransomware<\/em> SimpleLocker y Sypeng se propagaban a trav\u00e9s de falsos mensajes de actualizaci\u00f3n del software<\/em> Adobe Flash. Al a\u00f1o siguiente, los usuarios de los sistemas operativos Linux fueron el objetivo del ransomware<\/em> Encoder.<\/p>\n En 2016, Petya allan\u00f3 el camino para los ataques de phishing<\/em> al dirigirse a las direcciones de correo electr\u00f3nico de las empresas. Oculto en un documento de Word o PDF, la propia v\u00edctima activa el ransomware<\/em> al abrir el archivo (esto se denomina detonaci\u00f3n de la carga maliciosa). Este ransomware<\/em> no solo bloquea el acceso a determinados archivos, sino que tambi\u00e9n bloquea todo el disco duro al cifrar la\u00a0tabla maestra de archivos. Una calavera roja aparece en la pantalla para pedir el rescate. M\u00e1s all\u00e1 del efecto psicol\u00f3gico sobre las v\u00edctimas, esta materializaci\u00f3n gr\u00e1fica del ransomware<\/em> se comunic\u00f3 por parte de los medios de comunicaci\u00f3n tradicionales y concienci\u00f3 al p\u00fablico general sobre la ciberamenaza.<\/p>\n <\/p>\n Los a\u00f1os 2017-2018 marcaron un nuevo punto de inflexi\u00f3n en la propagaci\u00f3n de los ciberataques. Gracias a la publicaci\u00f3n de vulnerabilidades Zero Day robadas a una agencia gubernamental estadounidense, los ataques de ransomware<\/em> presentaban entonces la capacidad t\u00e9cnica de propagarse masivamente de una empresa a otra cuando las redes coexist\u00edan.<\/p>\n En 2017, WannaCry fue posiblemente el ransomware<\/em> del que m\u00e1s se habl\u00f3. En pocas semanas, afect\u00f3 a 300\u00a0000 ordenadores en 150 pa\u00edses al propagarse a los sistemas operativos Microsoft Windows a trav\u00e9s de la vulnerabilidad EternalBlue. Al mostrar la famosa calavera en sus pantallas, las empresas vieron c\u00f3mo el ransomware<\/em> se propagaba de un sitio a otro en cuesti\u00f3n de minutos. Para\u00a0Nicolas Caproni<\/strong>, responsable del equipo de investigaci\u00f3n y detecci\u00f3n de amenazas (TDR) de SEKOIA.IO,\u00a0\u00abWannaCry se lanz\u00f3 probablemente demasiado pronto<\/em>. Debido a su car\u00e1cter de movimiento lateral, sus autores perdieron el control del ransomware, que infect\u00f3 al mayor n\u00famero posible de m\u00e1quinas<\/em>\u00bb. Con cientos de miles de empresas v\u00edctimas de este ransomware<\/em> y ante su propagaci\u00f3n incontrolada, las empresas invirtieron masivamente en productos de copias de seguridad y recuperaci\u00f3n de datos. En respuesta, los ciberdelincuentes tambi\u00e9n empezaron a atacar los puntos de copia de seguridad con el fin de eliminarlos. As\u00ed, se aseguraban de que los datos no pod\u00edan restaurarse si no se pagaba el rescate.<\/p>\n Utilizado posteriormente en un contexto de conflicto estatal entre Rusia y Ucrania, el ransomware<\/em> NotPetya tuvo la particularidad de reutilizar elementos iniciales de WannaCry, como la explotaci\u00f3n de las vulnerabilidades EternalBlue y EternalRomance, as\u00ed como el movimiento lateral, dos vulnerabilidades robadas unos meses antes a la NSA. Si bien Microsoft hab\u00eda publicado un parche unas semanas antes, este ransomware<\/em> demostr\u00f3 la incapacidad de los administradores de actualizar sus sistemas con celeridad para hacer frente a este ataque. No obstante, \u00abel ransomware era solo una fachada<\/em>\u00bb, seg\u00fan Pierre Olivier Kaplan.\u00a0\u00abEl verdadero objetivo de NotPetya no era la extorsi\u00f3n, sino la destrucci\u00f3n de datos y a muy gran escala al dirigirse a todo un pa\u00eds. Estas graves implicaciones geopol\u00edticas quedan reflejadas a\u00fan m\u00e1s hoy, ya que NotPetya, atribuido a grupos de cibercriminales rusos, tuvo como objetivo Ucrania\u00bb.<\/em>\u00a0Al borrar los datos, este ransomware se utiliz\u00f3 no como medio de extorsi\u00f3n para obtener fondos, sino como arma de destrucci\u00f3n digital<\/strong>. Este ransomware<\/em> tambi\u00e9n camufl\u00f3\u00a0intentos de sabotaje del metro ucraniano,\u00a0el aeropuerto de Kiev, la\u00a0central nuclear de Chern\u00f3bil, el banco central y el operador nacional de energ\u00eda. A finales de 2018, el Gobierno estadounidense estim\u00f3 los da\u00f1os atribuidos a estos dos ataques en m\u00e1s de 10\u00a0000 millones de d\u00f3lares, seg\u00fan\u00a0Cyber Cover<\/a>.<\/p>\n <\/p>\n El n\u00famero de incidentes de ransomware<\/em> aument\u00f3 un 365\u00a0% a finales de 2019. Para no ser detectados por las herramientas de seguridad, los ciberdelincuentes est\u00e1n optando por no lanzar campa\u00f1as a gran escala, como fue el caso de WannaCry, y\u00a0prefieren dirigirse a grandes empresas<\/strong>. Denominada\u00a0\u00abbig game hunting<\/em>\u00bb, esta nueva estrategia hace referencia a un modo de funcionamiento basado en el reconocimiento del entorno del objetivo y el desarrollo de escenarios de ataque avanzados. Los grupos de atacantes estudian entonces su objetivo para adaptar su demanda de rescate, como explica Nicolas Caproni: \u00abLos estudios demuestran que los grupos de atacantes se informan sobre su objetivo<\/em>. Por ejemplo, pueden exfiltrar documentos financieros para comprobar si se ha contratado un seguro ciber y su cuant\u00eda con el fin de aumentar sus posibilidades de obtener el pago del rescate. Algunos grupos tienen incluso personas dedicadas al an\u00e1lisis y la negociaci\u00f3n<\/em>\u00bb. Esta nueva estrategia dio sus frutos, ya que la demanda media de rescate se triplic\u00f3 durante este periodo, pasando de\u00a013\u00a0000 \u00e0 36\u00a0000 d\u00f3lares<\/a>.<\/a><\/p>\n \u00a0<\/em>Fue durante este periodo cuando\u00a0se introdujo el mecanismo de doble extorsi\u00f3n<\/strong>. Este mecanismo era sumamente poderoso, ya que la empresa afectada no solo era v\u00edctima de la petici\u00f3n de rescate, sino que tambi\u00e9n se ve\u00eda amenazada con la reventa de sus datos en la darknet<\/em>. As\u00ed, revelar parte de los datos cr\u00edticos robados pod\u00eda ser decisivo para convencer a las empresas contrarias de que pagasen el rescate, la mayor\u00eda de las veces en forma de c\u00f3digo fuente o datos de clientes. Y el mecanismo afectaba incluso a los clientes (o pacientes) de las organizaciones afectadas, ya que algunos ciberdelincuentes amenazaban incluso con divulgar los datos personales robados. En octubre de 2020, fueron los pacientes de un centro de psicoterapia\u00a0en Finlandia a los que les toc\u00f3 esta amarga experiencia... Entre los primeros en utilizar este nuevo mecanismo fue el grupo de ciberdelincuentes presuntamente responsable de los ransomware<\/em> Maze y Egregor. M\u00e1s all\u00e1 del aspecto t\u00e9cnico del ransomware<\/em>, este grupo se caracterizaba por una comunicaci\u00f3n constante con sus v\u00edctimas en forma de presiones para que paguen en poco tiempo y con amenazas de revelar datos. Esta estrategia result\u00f3 exitosa, ya que a finales de noviembre de 2020, se contabilizaron 300 empresas v\u00edctimas del ransomware<\/em> Maze. Unos meses m\u00e1s tarde, las campa\u00f1as de Egregor se cobraron m\u00e1s de 200 empresas v\u00edctimas y una media de 700\u00a0000 d\u00f3lares en rescates por v\u00edctima, seg\u00fan ZDNet<\/em>. El mecanismo de divulgaci\u00f3n de datos fue asumido posteriormente por Sodinokibi, por encargo del grupo REvil.<\/p>\n En 2020, la t\u00e9cnica \u00abbig game hunting<\/em>\u00bb se intensific\u00f3 con Darkside, que t\u00e9cnicamente se asemejaba a REvil, con el ataque al gigante estadounidense de transporte y distribuci\u00f3n de petr\u00f3leo Colonial Pipeline. Se exigi\u00f3 un rescate de 5 millones de d\u00f3lares. Al a\u00f1o siguiente, el FBI inform\u00f3 de la incautaci\u00f3n de 2,3 millones de d\u00f3lares en dinero de rescates en equivalente de bitc\u00f3in tras una operaci\u00f3n a gran escala contra el mismo grupo. En marzo de 2021, el fabricante Acer recibi\u00f3 una solicitud de rescate de una cantidad r\u00e9cord de 50 millones de d\u00f3lares. En mayo de 2021, el proveedor de soluciones inform\u00e1ticas Kaseya fue la v\u00edctima, algo que afect\u00f3 a m\u00e1s de 1500 de sus clientes. El rescate exigido esta vez fue de 70 millones de d\u00f3lares.<\/p>\n <\/p>\nLa g\u00e9nesis de los ransomware<\/em> (1989-2006)<\/h2>\n
Mayor difusi\u00f3n de ransomware<\/em> con la adopci\u00f3n de Internet (2007-2013)<\/h2>\n
Las primeras revoluciones tecnol\u00f3gicas del ransomware<\/em> (2013-2016)<\/h2>\n
La aparici\u00f3n de ataques estatales con un alcance mundial (2017-2018)<\/h2>\n
La era del\u00a0Big Game Hunting<\/em>\u00a0(2019-2021)<\/h2>\n
Hacia la estructuraci\u00f3n de la ciberdelincuencia (2021-2022)<\/h2>\n