En el mundo, durante 2023 los actores de amenazas relacionados con ransomware se incrementaron más del 200% y en Sudamérica en un 443%.
Por Revista Summa
Desde la perspectiva de la amenaza, el año 2023 tuvo menos espectacularidad que años anteriores, pero esto no significa que haya sido seguro. Por el contrario, la presencia del ransomware o secuestro de datos se volvió casi endémica, consolidando la normalización de esta amenaza como un hecho cotidiano. A nivel global, en 2023 se observó un aumento de 43,74% en brechas de seguridad con respecto al 2022. Este incremento se debió principalmente al aumento del ransomware del 71% en 2023. Los secuestros de datos representaron, además, el 73% de las brechas de seguridad informática el último año.
Sudamérica se ubicó como la cuarta región del mundo con mayor actividad cibercriminal, por detrás de Norteamérica, Europa y Asia, y por delante de Oceanía y África. Todos estos datos surgen del reporte Think Ahead Report 2024*, elaborado por NeoSecure by SEK, empresa del Grupo SEK reconocida por su oferta de soluciones y servicios de ciberseguridad destinados a ayudar a las empresas a hacer frente a amenazas digitales complejas. El reporte analizó más de 1´535.000 alertas y aporta cifras regionales que incluyen los países donde opera la compañía: Argentina, Brasil, Colombia, Chile y Perú.
Proliferación de actores. A nivel global, durante 2023 los actores de amenazas relacionados con ransomware se incrementaron más del 200%. Esta diversidad se manifestará en una variedad de técnicas más amplia, lo que hará más compleja la acción de protección. Se estima que la desarticulación de grupos de cibercrimen ocurrida durante 2023 generó una proliferación de emprendimientos por parte de aquellos miembros que no pudieron ser capturados. En Sudamérica, el incremento de los actores de amenazas asociados a ransomware que han atacado supera en más del doble al aumento global, alcanzando el 443%. En la región, se observa la presencia de numerosos actores globales que operan en diversos países, con diferente nivel de actividad y foco, dependiendo de sus propias capacidades.
Principales industrias y países afectados. La actividad asociada al ransomware ha impactado a un conjunto heterogéneo de organizaciones en diversas industrias como energía y comercio electrónico, y especialmente a la cadena de suministros, sobre todo a proveedores de telecomunicaciones y servicios de datacenters.
A nivel regional, los países que registraron mayor número de brechas por ransomware en 2023 fueron Brasil (87), Argentina (27), Colombia (18), Chile (14) y Perú (10). No es una sorpresa que la mayoría de las brechas se presenten en los países de mayor tamaño o desarrollo dentro de la región, puesto que allí operan redes de agentes que conocen bien el medio y están dispuestos a buscar nuevas ofertas de RaaS (Ransomware As A Software) con mejores condiciones comerciales y mayor posibilidad de éxito.
“El modelo de negocios de ransomware ha demostrado ser enormemente efectivo para el mundo del cibercrimen y todo indica que mantendrá su crecimiento durante 2024. Posiblemente veremos crecer los casos de doble y triple extorsión (cifrado de datos, exposición de datos, denegación de servicio) con técnicas más sofisticadas para aumentar el costo de la víctima”, señaló Fernando Fuentes, Portfolio Manager en NeoSecure by SEK.
En Colombia, el impacto del ransomware se ve afectado por diferentes características, en primer lugar, la estructura tecnológica en el país es variada, no contar con actualizaciones constantes ni mantenimientos regulares en muchas organizaciones junto con la centralización del gobierno genera brechas en la seguridad de instituciones perimetrales. Adicionalmente, “Los atacantes cibernéticos han aprovechado las vulnerabilidades creadas por la rápida adopción de tecnologías digitales durante la pandemia. En consecuencia, los últimos ataques han sido sofisticados, incluyendo doble y triple extorsión donde además de cifrar datos, se amenaza con publicar información sensible, así como lanzar ataques masivos contra los sistemas”, señaló Jonathan Hernández, Pre- Sales Manager de NeoSecure by SEK en Colombia.
Principales actores de amenaza en Latinoamérica. En general, la motivación principal de los actores en la región es de carácter monetario. LockBit es el actor con mayor presencia a nivel mundial y regional, y la principal amenaza especialmente en Argentina, Brasil, Colombia, Chile, México y Perú. Pero en Latinoamérica, se suman, además, otros dos actores destacados. A continuación, las características de cada uno:
● LockBit (aka ABCD y EvilCorp): Su objetivo es lograr detener los procesos productivos y la doble extorsión. Su motivación subyacente es monetaria, por lo que sus ataques son dirigidos a todo tipo de industria, aunque sus principales víctimas son empresas del rubro manufactura, energía, utilities e infraestructura crítica. Utiliza StealBit para reunir y exfiltrar datos.
● 8Base: Es el segundo actor malicioso con mayor presencia en Latinoamérica. Sus principales víctimas se encuentran en EE. UU. y Brasil, especialmente empresas del rubro transporte, químicas, industrias metalúrgicas y utilities. Utiliza phishing o credenciales comprometidas para ingresar en las redes corporativas de sus víctimas, a través de SystemBC para reunir y exfiltrar datos.
● BlackCat (aka Alpha, AlphaVM y Zirconium): Opera como Ransomware as a Service (Raas). Sus principales víctimas son el sector servicios legales, servicios IT y salud, también empresas que manejan altos volúmenes de información de identificación personal, y en especial las empresas del rubro energía, utilities e industria pesada. Obtiene acceso inicial a través de credenciales o phishing, utilizando ExMatter para reunir y exfiltrar datos.
En el recorte por países también aparecen otros actores con menor incidencia, como por ejemplo Medusa, Qilin, Akira, LostTrust Team y DragonForce en Argentina; STORMUS, Knight, Ransomed, Medusa, Akira, Rhysida, Mallox y Black Basta en Brasil; Medusa en Chile; CLOP, Medusa y NoEscape en Colombia, y CLOP, NoEscape, Royal, BlackByte y PLAY en México.
“Para prevenir los riesgos indicados anteriormente, las organizaciones deben adoptar un enfoque integral en el ámbito de ciberseguridad. Esto incluye políticas estrictas respecto a la actualización y el parcheo de los diferentes sistemas, junto con una capacitación práctica al personal de la organización acerca de cómo identificar amenazas y cómo tratarlas. Por otra parte, la segmentación de redes y dispositivos de detección y respuesta avanzados son igualmente críticos. Además, un plan integral de respuesta a incidentes que incluyan copias de seguridad regulares, esfuerzos continuos y simulacros para “prepararse” para el ataque”, añade el ejecutivo.
Es de aclarar que este tipo de delincuencia interconectada puede ser difícil en todos los ámbitos, incluyendo la vida política y económica. “Tener políticas robustas, sobre cómo compartir información sobre amenazas recién descubiertas entre empresas públicas y privadas, puede ser una herramienta importante para fortalecer la defensa colectiva contra el crimen organizado internacional”, concluyó Jonathan Hernández, Pre- Sales Manager de NeoSecure by SEK en Colombia.