Hace unos meses, el suministro de combustible en el sureste de EEUU se vio interrumpido tras un ataque de ransomware al proveedor de energía Colonial Pipeline. Los atacantes se hacen llamar Dark Side. La empresa tuvo que pagar un rescate de 4,4 millones de dólares, aunque posteriormente las autoridades estadounidenses recuperaron la mitad. Sí, la creciente amenaza del ransomware ruso está costando caro a las empresas en todo el mundo.
Durante años, el país ha negado que albergue a hackers informáticos. Pero cada vez más informes se amontonan sobre la mesa.
Los datos. Un nuevo análisis realizado por la empresa Chainalysis sugiere que el 74% de todo el dinero obtenido a través de ataques de ransomware en 2021 se destinó a piratas informáticos vinculados a Rusia. Los investigadores dicen que más de 400 millones de dólares en pagos en criptomonedas se destinaron a grupos "muy probablemente afiliados a Rusia" y, a su vez, que una gran cantidad de lavado de dinero basado en criptomonedas pasa por las criptoempresas rusas.
Chainalysis explicaba que pudo seguir el flujo de dinero hacia y desde las billeteras digitales de grupos de piratería conocidos utilizando registros públicos de transacciones de blockchain.
¿Cómo lo saben? Al parecer, estos grupos muestran varias características: su código de ransomware está escrito para evitar que dañe los archivos si detecta que los ordenadores de la víctima están ubicados en Rusia o en un país de la CEI; las organizaciones operan en foros de habla rusa y muchos de ellos están vinculados a Evil Corp, un presunto grupo de delitos cibernéticos buscado por los EEUU.
Sin embargo, es cierto que el informe solo analiza el flujo de dinero para los líderes de las bandas de ciberdelincuentes, y muchos ejecutan operaciones afiliadas, esencialmente alquilando las herramientas necesarias para lanzar ataques a otros, por lo que no se sabe dónde están los hackers “solitarios” que trabajan para grupos grandes.
Evil Corp. En el informe de Chainalysis, llama la atención que el 9,9% de todos los ingresos conocidos por ransomware se destinan a Evil Corp, un presunto grupo de ciberdelincuencia contra el que EEUU ha emitido sanciones y acusaciones, pero que opera en Rusia con aparente impunidad. Una investigación de la BBC de noviembre pasado descubrió que Igor Turashev, uno de los líderes acusados de Evil Corp, está operando varios negocios desde la Torre de la Federación de la ciudad de Moscú.
Lo niegan. Durante años, Rusia ha negado que albergara a piratas informáticos. De hecho, el presidente ruso, Vladimir Putin, le dijo a los periodistas en su cumbre de 2021 con el presidente de los EEUU, Joe Biden, que su propia inteligencia muestra que "Rusia no figura en este ranking de países que ven más ataques cibernéticos desde su territorio".
Sin embargo, el mes pasado las autoridades rusas anunciaron que habían desmantelado el grupo de ransomware REvil a pedido de EEUU La operación era un caso extremadamente raro de colaboración entre Estados Unidos y Rusia en el ciberdelito como nunca antes había ocurrido.
En aumento. Con todo, los ataques de ransomware siguen creciendo. Se registraron 1.396 en 2020, según Ransom-DB, que rastrea ese tipo de incidientes. El número casi se duplicó a 2.699 en 2021, y entre el 35 y el 40 % de los casos terminaron con el pago de un rescate. Una revisión conjunta de Gran Bretaña, EEUU y Australia apunta al crecimiento de "incidentes de ransomware sofisticados y de alto impacto" provenientes de Rusia y otros estados exsoviéticos durante 2021.
Las universidades y las escuelas fueron uno de los principales sectores objetivo, según el Centro Nacional de Seguridad Cibernética (NCSC), así como empresas, organizaciones benéficas, bufetes de abogados, consejos y el NHS. Lindy Cameron, directora ejecutiva de NCSC, explicaba que el ransomware, donde los ciberdelincuentes toman el control de los sistemas de TI y exigen un pago para devolverlos, era "una amenaza global creciente" y pidió a las organizaciones que revisen sus defensas.
Los robos. Algunos de estos criminales se especializan en negociaciones de rescate; otros buscan ofrecer a las víctimas "un centro de ayuda las 24 horas del día, los 7 días de la semana" para facilitar los pagos rápidos de la extorsión. Los rescates exigidos varían según el tamaño de la víctima y la codicia de los delincuentes, aunque las cifras de un millón de euros o más no son inusuales.
No es ilegal en Europa que las empresas paguen para recuperar el acceso a sus sistemas de TI y, aunque ha habido un debate en el gobierno sobre el tema, no se espera que la situación cambie. De hecho, criminalizar a las empresas que han sido atacadas por piratas informáticos rusos no se considera una opción atractiva.
Pero además de la interrupción operativa, las empresas corren el riesgo de multas reglamentarias si se filtran datos, así como un gran daño a su reputación. Muchos ahora tienen un seguro cibernético que les ofrece la opción de dejar que la aseguradora pague la cuenta, aunque al mismo tiempo alimenta las críticas por posibles ataques futuros.
