Hay empresas mexicanas que han pagado rescates para recobrar su información y que ésta no sea divulgada después de haber sufrido un ataque de ransomware, según expertos en ciberseguridad de la firma Kaspersky. El pago de estos rescates es la razón por la que la industria del ransomware volvió a ser lucrativa a partir de 2019, luego de que, en 2018, el número de ataques disminuyó debido a que los cibercriminales concentraron sus esfuerzos en la propagación de malware para minar criptomonedas (crypto mining).

De cada 100 ataques de ransomware que ocurren en América Latina, 47 impactan a usuarios brasileños; 23 a mexicanos y ocho a colombianos; los otros ataques se dividen en diferentes países de la región, como Argentina, Perú, Ecuador y Venezuela. Si se toma en cuenta que la región recibió un total de 1 millón 319,260 ataques de ransomware en el último año, esto significa que las empresas brasileñas recibieron 620,052 ataques de ransomware; mientras que las mexicanas se vieron afectadas por 303,429 ataques y las colombianas por 105,540 incidentes.

“Sí, definitivamente. Obvio no siempre se hace público, desafortunadamente por cuestiones de prestigio o de reputación; pero en algunas situaciones se sabe que se han pagado rescates”, dijo Roberto Martínez, analista de seguridad del Equipo Global de Investigación y Análisis de Amenazas (Great) de Kaspersky durante la segunda sesión de la conferencia de seguridad que organiza la firma en América Latina.

De acuerdo con Santiago Pontiroli, quien también forma parte del equipo Great de Kaspersky, son tres las principales razones del éxito de los ataques de ransomware en la región: la falta de actualizaciones de software, el acceso por escritorio remoto y la piratería, o las descargas ilegales de programas. Esto queda en evidencia cuando se observa que 55% de los dispositivos en América Latina operan con un sistema operativo Windows 7, cuyas actualizaciones quedaron sin soporte en enero de 2020 e incluso 5% de los equipos funcionan con Windows XP, que perdió su soporte en abril de 2014, hace siete años.

Además, la mayoría de estos ataques entran a las empresas a través del protocolo de escritorio remoto (RDP) que permite a los cibercriminales tomar posesión del escritorio de trabajo de su víctima y desde ahí instalar el ransomware. En muchos casos este protocolo es distribuido a través de copias ilegales de productos de software, sobre todo de Microsoft, sobre todo si se toma en cuenta que 66% de los equipos en América Latina tienen software pirata.

La cadena de valor del ransomware

Si bien la suma promedio que los cibercriminales exigen como rescate para devolver la información de sus víctimas ronda los 84,000 dólares; cada vez es más frecuente que algunos montos asciendan hasta los 7 millones de dólares, una cifra que puede duplicarse hasta 14 o 15 millones si las víctimas tardan más de 48 horas en realizar el pago exigido. A esto hay que sumar las pérdidas reputacionales y operativas que pueden llegar a costarle a una organización hasta 700,000 dólares.

De acuerdo con Pontiroli, esto se debe a que la cadena de valor del ransomware pasa por varias etapas y toca a quienes escriben el código de las diferentes familias de este tipo de software malicioso y a quienes lo usan. El desarrollador del ransomware recibe una comisión por cada ataque cometido con su código, que puede alcanzar hasta 70% del monto total recaudado; mientras que el atacante recibe la recompensa por desencriptar los archivos de su víctima pero también una segunda recompensa por no hacer pública la información.

“El ransomware se puede monetizar por la llave de cifrado (desencriptar la información), al no filtrar la información y revendiendo código”, dijo Pontiroli.

Entre las empresas mexicanas cuya información se ha filtrado en la red oscura (dark web) se encuentra Petróleos Mexicanos (Pemex), que fue víctima del ransomware Doppelpaymer; pero de acuerdo con la plataforma de inteligencia de la red oscura DarkTracer, citada por Pontiroli, la inmobiliaria Fincamex y la empacadora Moctezuma Medjool Gardens figuran entre las compañías en México cuya información se ha divulgado en internet después de haber sufrido ataques con los ransomware Pysa (Protect Your System Amigo) y Egregor, respectivamente.

“Estas familias están causando un revuelo entre las empresas a nivel regional, porque ya no sólo se trata de contar con una copia de seguridad o de pagar la recompensa, sino de evitar que se divulgue su información”, dijo.

¿Qué es un ransomware?

El ransomware, término que proviene de las palabras ransom (secuestro) y malware (software malicioso), es un tipo de malware que los cibercriminales usan para encriptar la información de los sistemas infectados. Al usar este tipo de software, los cibercriminales buscan pedir un rescate, casi siempre económico, para devolver los equipos y la información a sus titulares. Esto afecta a la disponibilidad de la información, considerada uno de los tres elementos básicos de la seguridad informática, además de la integridad y la confidencialidad. 

 

rodrigo.riquelme@eleconomista.mx

kg