Hoy en día, los ciberataques ya no son cosa de un hacker solitario detrás de una pantalla oscura. La realidad es mucho más preocupante: los cibercriminales están organizados y trabajan en equipo. No hablamos solo de individuos intercambiando mensajes en la dark web, sino de alianzas estratégicas entre grupos de ransomware, que se juntan para lanzar ataques más letales y obtener mayores ganancias. Básicamente, actúan como empresas... pero con fines completamente ilícitos.
Esto ha cambiado por completo las reglas del juego. Los ataques ya no son simples ni aleatorios, ahora son mucho más grandes, rápidos y sofisticados. Y pensar que “a mí no me va a pasar” es un error que cada vez más empresas y personas están pagando caro. Los ciberdelincuentes están un paso adelante, y las alianzas entre ellos los hacen más peligrosos que nunca. ¿Por qué lo hacen? Porque les resulta más rentable y efectivo compartir recursos, tácticas y listas de víctimas. Lo que antes era un problema aislado ahora es una operación criminal global.
México es un claro ejemplo de este fenómeno. El país ocupa el quinto lugar a nivel mundial en ataques de ransomware, según datos de la unidad de investigación de SILIKN. Además, pagar el rescate no es garantía de nada. De hecho, las cifras son alarmantes: el 88.5% de las organizaciones mexicanas que pagaron un rescate en 2024 fueron atacadas de nuevo. Pero aquí viene lo peor: en muchos casos, esos nuevos ataques provinieron del mismo grupo criminal o de otro grupo aliado, lo que confirma que los grupos de ransomware están colaborando entre sí para maximizar sus ganancias.
Un ejemplo claro de estas colaboraciones ocurrió en 2020, cuando el grupo Maze publicó información robada a una firma de arquitectura internacional en su sitio de filtraciones. Lo curioso es que esos datos no provenían de un ataque directo de Maze, sino de otro grupo de ransomware llamado LockBit, con el que habían decidido colaborar. Esta estrategia (que a simple vista parece sorprendente) se ha convertido en una tendencia cada vez más común en el mundo del cibercrimen. Los grupos están dejando de competir entre ellos y, en su lugar, están formando alianzas para potenciar sus ataques.
Con ataques más complejos y colaboraciones entre grupos criminales, las empresas están más expuestas hoy en día. Las estrategias tradicionales de ciberseguridad ya no son suficientes, y es urgente entender cómo operan estos grupos y sus alianzas para poder estar un paso adelante. ¿La mala noticia? Si una organización ya fue atacada, es probable que vuelva a serlo. ¿La buena? Con las medidas adecuadas, todavía es posible reducir el riesgo y prevenir ataques devastadores.
Impacto de las Alianzas de Ransomware en el Panorama de Ciberseguridad
El surgimiento de estas colaboraciones cibercriminales ha generado un cambio profundo en el panorama de la ciberseguridad. En lugar de enfrentarse a un solo atacante, las empresas ahora deben lidiar con redes enteras de grupos delictivos que comparten información y recursos. A continuación, analizamos algunos de los impactos más relevantes de estas alianzas:
Ataques Más Sofisticados
Las alianzas permiten que los ataques de ransomware sean mucho más sofisticados, combinando diferentes vectores de ataque, como:
- Phishing avanzado: Correos electrónicos personalizados que parecen legítimos para engañar a los trabajadores.
- Exploits de día cero: Vulnerabilidades desconocidas que los cibercriminales aprovechan antes de que se pueda lanzar un parche.
- Movimientos laterales dentro de las redes: Los atacantes logran moverse dentro de la red interna de una organización, accediendo a información confidencial antes de desplegar el ransomware.
Podría interesarte leer: ¿Por qué el movimiento lateral es clave en los ataques de ransomware?
Campañas de Extorsión Dobles y Triples
Las alianzas entre grupos también han facilitado la aparición de nuevas técnicas de extorsión, como la “doble extorsión” o la “triple extorsión”.
- Doble extorsión: Los atacantes no solo cifran los datos, sino que también los roban. Luego amenazan con publicar la información si no se paga el rescate.
- Triple extorsión: Además de robar y cifrar datos, los cibercriminales también amenazan con atacar a los clientes o socios comerciales de la empresa víctima.
Reducción de Costos para los Atacantes
Las alianzas permiten que los cibercriminales reduzcan los costos operativos. Por ejemplo, un grupo puede encargarse del desarrollo del ransomware, mientras que otro se especializa en la monetización del ataque. Al dividir las tareas, cada grupo se enfoca en su fortaleza principal, lo que reduce los costos generales y aumenta la eficiencia de los ataques.
¿Qué es el doble cifrado y por qué hace los ataques de ransomware más peligrosos?
Una tendencia que cada vez vemos más es que los grupos de ransomware están combinando varias cepas de malware en un solo ataque, lo que se conoce como doble cifrado. Y sí, suena tan complicado como parece. Básicamente, esta técnica puede darse de dos formas: cuando dos grupos criminales atacan juntos a la misma víctima o cuando un solo grupo usa diferentes tipos de ransomware para cifrar los archivos por partida doble.
Esto hace que recuperar los datos sea un dolor de cabeza monumental. Imagina que logras descifrar tus archivos después de un ataque, pero resulta que esos mismos datos están protegidos por un segundo cifrado que requiere otro descifrador completamente diferente. Es como si desbloquearas una puerta y te encontraras con otra cerradura justo detrás. El doble cifrado puede funcionar de dos maneras:
-
La primera es el cifrado en capas, donde los atacantes cifran los datos una vez y luego los vuelven a cifrar con otra cepa de ransomware. Es como si te pusieran dos candados en la misma puerta: necesitas dos llaves diferentes para poder abrirla.
-
La segunda forma es el cifrado en paralelo, donde los atacantes dividen los datos de la víctima y usan un tipo de ransomware para cifrar una parte y otro tipo para la parte restante. En este caso, necesitas dos descifradores diferentes al mismo tiempo, dependiendo de qué archivos fueron afectados por cada cepa.
Ahora, ¿cuál es el gran problema aquí? Que si no sabes exactamente qué cepas de ransomware te infectaron y en qué orden, es prácticamente imposible recuperar tus datos. En el caso del cifrado en paralelo, tienes que identificar qué partes del sistema fueron infectadas por cada ransomware y usar los descifradores correctos para cada uno. Si es cifrado en capas, necesitas saber cuál de los ransomware eliminar primero, porque si lo haces al revés, podrías perder los datos para siempre.
El resultado: recuperar los archivos se vuelve muchísimo más complicado y lento. Y lo peor es que los ciberdelincuentes lo saben y utilizan esta técnica para presionar aún más a las víctimas a pagar el rescate.
Entonces, ¿qué pueden hacer las empresas? La clave no está en descifrar los datos después del ataque, sino en prevenir la infección desde el principio. Para esto, es fundamental que las organizaciones tengan visibilidad de los primeros indicios de un ataque de ransomware. Muchas veces, los cibercriminales dan señales sutiles antes de desplegar el malware, y detectar esas señales a tiempo puede marcar la diferencia entre detener el ataque o terminar con todo tu sistema cifrado.
La mejor defensa siempre será la prevención. Una vez que los atacantes logran cifrar tus datos (y peor aún, si lo hacen dos veces), la recuperación se convierte en un juego de acertijos del que pocas empresas logran salir bien libradas.
Conoce más sobre: Protección contra Ransomware con Acronis
¿Cómo pueden las empresas protegerse de las alianzas de grupos de ransomware?
Prevenir un ataque de ransomware es mucho más fácil que lidiar con uno una vez que tus datos ya están secuestrados. Si bien no existe una solución mágica para evitar por completo este tipo de ataques, hay varias medidas que puedes tomar para reducir considerablemente el riesgo. Aquí te dejamos algunas recomendaciones prácticas, explicadas de manera clara y sencilla, porque al final lo importante es proteger tus datos antes de que sea demasiado tarde.
1. Mantén tus sistemas siempre actualizados
¿Recuerdas esos molestos recordatorios de actualización que ignoras? Pues deberías prestarles más atención. Los ciberdelincuentes aprovechan vulnerabilidades conocidas en sistemas operativos, programas y aplicaciones desactualizadas para lanzar ataques. Así que, aunque pueda parecer tedioso, asegúrate de tener siempre instalados los últimos parches de seguridad. Es una de las formas más simples y efectivas de prevenir infecciones.
2. Usa un software de seguridad confiable
No escatimes en esto. Tener un buen antivirus y antimalware puede marcar la diferencia entre detectar un ataque a tiempo o sufrir un desastre. Lo importante es que lo mantengas actualizado y configurado para que haga escaneos automáticos de tus sistemas. No sirve de nada tenerlo si lo dejas olvidado sin revisar.
3. Haz copias de seguridad de tus datos (y guárdalas bien)
Esta es la regla de oro en caso de un ataque de ransomware: si tienes una copia de tus datos, no tendrás que pagar el rescate. Realiza backups de forma periódica y guarda esas copias en un lugar seguro, fuera de la red, para que no se vean afectadas en caso de que los atacantes logren entrar a tu sistema.
Además, soluciones como TecnetProtect ofrecen características avanzadas de protección contra ransomware y copias de seguridad automatizadas, lo que te permite mantener una copia segura de tus datos sin complicaciones. Con este tipo de soluciones, puedes restaurar tu información de manera rápida y segura en caso de un incidente, evitando pérdidas importantes y reduciendo tiempos de recuperación.
4. Educa a tus trabajadores
Muchos ataques de ransomware comienzan con un simple clic en un correo malicioso o un archivo adjunto sospechoso. Por eso, es clave que todo el equipo esté capacitado para reconocer señales de riesgo y actuar de forma preventiva.
En TecnetOne, ofrecemos un programa de capacitación para usuarios finales, que ayuda a las organizaciones a educar a sus trabajadores sobre las mejores prácticas de seguridad cibernética. Desde cómo identificar un correo de phishing hasta cómo proteger contraseñas, el programa está diseñado para reducir errores humanos y fortalecer la seguridad desde el primer punto de contacto.
5. Filtra correos y sitios web peligrosos
No todo depende de los usuarios. Implementar soluciones de filtrado de correo y navegación es una medida clave para bloquear correos electrónicos maliciosos y evitar que los usuarios accedan a sitios web peligrosos.
Con TecnetProtect, puedes proteger tu infraestructura de correo electrónico de manera proactiva, ya que la solución cuenta con filtros avanzados que detectan y bloquean correos sospechosos antes de que lleguen a la bandeja de entrada de los usuarios. Esto ayuda a reducir significativamente las posibilidades de que un ataque de ransomware entre por esta vía tan común.
6. Restringe los accesos y permisos
No le des privilegios de administrador a todo el mundo. Mientras menos personas tengan acceso total a los sistemas, más difícil será para los atacantes moverse por tu red. Limita los accesos solo a quienes realmente los necesiten y asegúrate de que los usuarios trabajen con cuentas de permisos limitados siempre que sea posible.
7. Usa una VPN para conexiones seguras
Si tienes trabajadores trabajando de forma remota, es fundamental que lo hagan a través de una red privada virtual (VPN). Esto asegura que la conexión con la red de la empresa sea segura y reduce las posibilidades de que un atacante pueda interceptar información confidencial.
8. Implementa autenticación multifactor (MFA)
El control de acceso es clave. Configura un sistema de autenticación multifactor para proteger las cuentas más importantes. Esto significa que, además de la contraseña, los usuarios deben proporcionar un segundo factor de verificación, como un código enviado a su teléfono. Esto dificulta mucho más que los ciberdelincuentes puedan acceder a tus sistemas, incluso si consiguen una contraseña.
9. Monitorea tu red y detecta amenazas temprano
No puedes proteger lo que no ves. Por eso, es clave que monitorees constantemente tu red para detectar actividades sospechosas en tiempo real. Esto permite identificar un ataque de ransomware antes de que cause un daño significativo.
En TecnetOne, contamos con un NOC (Network Operations Center) que proporciona monitoreo proactivo las 24 horas del día, los 7 días de la semana. Esto significa que nuestros expertos están atentos a cualquier indicio de amenaza en tu red y pueden actuar rápidamente para mitigar riesgos y evitar que un ataque escale.
10. Ten un plan de respuesta a incidentes
Porque lo peor que puedes hacer es improvisar en medio de un ataque. Prepara un plan de acción que incluya pasos claros sobre qué hacer si tu organización es víctima de ransomware: cómo aislar la infección, cómo restaurar los sistemas desde las copias de seguridad y cómo comunicarte con las autoridades. Tener un plan listo te permitirá actuar rápido y con cabeza fría.
11. Mantente informado sobre las nuevas amenazas
Los ciberdelincuentes no se quedan quietos. Las tácticas de ataque evolucionan constantemente, por lo que es importante estar al tanto de las últimas amenazas y ajustar tus medidas de seguridad en consecuencia. Mantenerte actualizado puede ayudarte a prevenir ataques antes de que lleguen a tu puerta.
En nuestro TecnetBlog, compartimos información constantemente sobre nuevos grupos de ransomware, amenazas emergentes y tácticas utilizadas por los cibercriminales, así como consejos prácticos para protegerte de estos riesgos.
Recuerda: Prevenir siempre es mejor que lamentar
Cuando se trata de ransomware, la prevención es tu mejor defensa. Con herramientas como TecnetProtect, la capacitación continua de trabajadores y un monitoreo constante de red, puedes reducir significativamente el riesgo de ser víctima de un ataque.
Porque una vez que los atacantes logran cifrar tus datos (y peor aún, si lo hacen dos veces), recuperarlos puede ser un desafío enorme. Por eso, lo mejor que puedes hacer es prepararte y estar un paso adelante de los ciberdelincuentes.
