Historia detrás del método de piratería y lo que sigue

El ransomware es ahora una industria de miles de millones de dólares. Pero no siempre fue tan grande, ni tampoco fue un riesgo de ciberseguridad prevalente como lo es hoy.

El ransomware, que data de la década de 1980, es una forma de malware utilizada por los ciberdelincuentes para bloquear archivos en la computadora de una persona y exigir un pago para desbloquearlos.

La tecnología, que oficialmente cumplió 35 años el 12 de diciembre, ha recorrido un largo camino, y ahora los delincuentes pueden activar ransomware mucho más rápido e implementarlo en múltiples objetivos.

Los ciberdelincuentes recaudaron mil millones de dólares en pagos extorsionados en criptomonedas a víctimas de ransomware en 2023, una cifra récord, según datos de la firma de análisis de blockchain Chainalysis.

Los expertos esperan que el ransomware siga evolucionando y que la tecnología moderna de computación en la nube, la inteligencia artificial y la geopolítica den forma al futuro.

El primer evento considerado como un ataque de ransomware ocurrió en 1989.

Un pirata informático envió físicamente por correo disquetes que afirmaban contener software que podría ayudar a determinar si alguien estaba en riesgo de desarrollar SIDA.

Sin embargo, cuando se instalaba, el software ocultaba directorios y cifraba nombres de archivos en las computadoras de las personas después de reiniciarlas 90 veces.

Luego mostraría una nota de rescate solicitando que se enviara un cheque de caja a una dirección en Panamá para obtener una licencia para restaurar los archivos y directorios.

El programa pasó a ser conocido por la comunidad de ciberseguridad como el «troyano SIDA».

«Fue el primer ransomware y surgió de la imaginación de alguien. No era algo sobre lo que hubieran leído o que hubieran investigado», dijo Martin Lee, líder en EMEA de Talos, la división de inteligencia sobre amenazas cibernéticas del gigante de equipos de TI Cisco, dijo a CNBC en una entrevista.

«Antes de eso, nunca se había discutido. Ni siquiera existía el concepto teórico de ransomware».

El perpetrador, un biólogo formado en Harvard llamado Joseph Popp, fue capturado y arrestado. Sin embargo, después de mostrar un comportamiento errático, se lo declaró no apto para ser juzgado y regresó a los Estados Unidos.

Desde que surgió el troyano SIDA, el ransomware ha evolucionado mucho. En 2004, un actor de amenazas atacó a ciudadanos rusos con un programa criminal de ransomware conocido hoy como «GPCode».

El programa se entregó a las personas por correo electrónico, un método de ataque conocido hoy comúnmente como «phishing». Los usuarios, tentados con la promesa de una oferta profesional atractiva, descargaban un archivo adjunto que contenía malware disfrazado de formulario de solicitud de empleo.

Una vez abierto, el archivo adjunto descargó e instaló malware en la computadora de la víctima, escaneó el sistema de archivos, cifró los archivos y exigió el pago mediante transferencia bancaria.

Luego, a principios de la década de 2010, los piratas informáticos de ransomware recurrieron a las criptomonedas como método de pago.

En 2013, sólo unos años después de la creación de bitcoin, surgió el ransomware CryptoLocker.

Los piratas informáticos que atacaban a las personas con este programa exigían el pago en bitcoins o en vales en efectivo prepagos, pero fue un ejemplo temprano de cómo las criptomonedas se convirtieron en la moneda elegida por los atacantes de ransomware.

Más tarde, ejemplos más destacados de ataques de ransomware que seleccionaron las criptomonedas como método de pago de rescate incluyeron empresas como WannaCry y Petya.

«Las criptomonedas brindan muchas ventajas a los malos, precisamente porque son una forma de transferir valor y dinero fuera del sistema bancario regulado de una manera anónima e inmutable», dijo Lee a CNBC. «Si alguien le ha pagado, ese pago no se puede revertir».

CryptoLocker también se hizo famoso en la comunidad de la ciberseguridad como uno de los primeros ejemplos de una operación de «ransomware como servicio», es decir, un servicio de ransomware vendido por los desarrolladores a piratas informáticos más novatos a cambio de una tarifa para permitirles llevar a cabo ataques. .

«A principios de la década de 2010, tuvimos este aumento en la profesionalización», dijo Lee, y agregó que la pandilla detrás de CryptoLocker tuvo «mucho éxito en operar el crimen».

A medida que la industria del ransomware evoluciona aún más, los expertos predicen que los piratas informáticos seguirán encontrando cada vez más formas de utilizar la tecnología para explotar a empresas e individuos.

Se prevé que para 2031, el ransomware costará a las víctimas un total combinado de 265 mil millones de dólares al año, según un informe de Cybersecurity Ventures.

A algunos expertos les preocupa que la IA haya reducido la barrera de entrada para los delincuentes que buscan crear y utilizar ransomware. Las herramientas de inteligencia artificial generativa como ChatGPT de OpenAI permiten a los usuarios cotidianos de Internet insertar consultas y solicitudes basadas en texto y obtener respuestas sofisticadas y humanas como respuesta, y muchos programadores incluso las están usando para ayudarlos a escribir código.

Mike Beck, director de seguridad de la información de Darktrace, dijo en «Squawk Box Europe» de CNBC que existe una «gran oportunidad» para la IA, tanto para armar a los ciberdelincuentes como para mejorar la productividad y las operaciones dentro de las empresas de ciberseguridad.

«Tenemos que armarnos con las mismas herramientas que utilizan los malos», dijo Beck. «Los malos van a utilizar las mismas herramientas que se utilizan hoy en día junto con todo ese tipo de cambios».

Pero Lee no cree que la IA represente un riesgo de ransomware tan grave como muchos podrían pensar.

«Hay muchas hipótesis sobre que la IA es muy buena para la ingeniería social», dijo Lee a CNBC. «Sin embargo, cuando nos fijamos en los ataques que existen y que claramente funcionan, tienden a ser los más simples los que tienen tanto éxito».

Una grave amenaza a la que hay que prestar atención en el futuro podrían ser los piratas informáticos que apunten a los sistemas en la nube, que permiten a las empresas almacenar datos y alojar sitios web y aplicaciones de forma remota desde centros de datos remotos.

«No hemos visto una gran cantidad de ransomware que afecte a los sistemas en la nube, y creo que es probable que ese sea el futuro a medida que avance», dijo Lee.

Según Lee, eventualmente podríamos ver ataques de ransomware que cifran los activos de la nube o retienen el acceso a ellos cambiando las credenciales o utilizando ataques basados ​​en la identidad para negar el acceso a los usuarios.

También se espera que la geopolítica desempeñe un papel clave en la forma en que evoluciona el ransomware en los próximos años.

«En los últimos 10 años, la distinción entre ransomware criminal y ataques a estados-nación se está volviendo cada vez más borrosa, y el ransomware se está convirtiendo en un arma geopolítica que puede usarse como herramienta geopolítica para perturbar organizaciones en países percibidos como hostiles», dijo Lee. .

«Creo que probablemente veremos más de eso», añadió. «Es fascinante ver cómo el mundo criminal puede ser cooptado por un estado nación para que cumpla sus órdenes».

Otro riesgo que Lee ve ganando terreno es el ransomware distribuido de forma autónoma.

«Todavía hay margen para que haya más ransomwares que se propaguen de forma autónoma, tal vez sin atacar todo a su paso, sino limitándose a un dominio específico o una organización específica», dijo a CNBC.

Lee también espera que el ransomware como servicio se expanda rápidamente.

«Creo que veremos cada vez más que el ecosistema de ransomware se profesionalice, moviéndose casi exclusivamente hacia ese modelo de ransomware como servicio», dijo.

Pero a pesar de que las formas en que los delincuentes utilizan el ransomware evolucionarán, no se espera que la composición real de la tecnología cambie demasiado drásticamente en los próximos años.

«Fuera de los proveedores de RaaS y aquellos que aprovechan cadenas de herramientas adquiridas o robadas, las credenciales y el acceso al sistema han demostrado ser efectivos», dijo a CNBC Jake King, líder de seguridad de la firma de búsqueda en Internet Elastic.

«Hasta que aparezcan más obstáculos para los adversarios, probablemente seguiremos observando los mismos patrones».