En 2023, la región ha experimentado un aumento significativo en ataques de ransomware, un tipo de software malicioso que, tras infectar un dispositivo, restringe el acceso a los sistemas o archivos, demandando un rescate para devolver el control al usuario. Identificar y entender a los actores detrás de estos ataques es el primer paso para una defensa efectiva. Aquí te presentamos los cinco grupos de ransomware más activos en América Latina este año y cómo puedes protegerte de ellos.
La ciberseguridad en América Latina enfrenta desafíos significativos, especialmente en el sector privado. Las estrategias para salvaguardar la información y prevenir ataques cibernéticos varían ampliamente entre las organizaciones. Sin embargo, estudios recientes en la región indican problemáticas comunes que afectan a estas entidades.
Uno de los problemas más acuciantes es el robo o fuga de información, una preocupación principal para el 66% de las empresas encuestadas. Esta inquietud está directamente relacionada con accesos indebidos a sistemas corporativos. Los ciberataques están en aumento y los métodos empleados son cada vez más sofisticados, incluyendo campañas de spear-phishing y la utilización de ransomware o troyanos de acceso remoto para explotar vulnerabilidades.
Te podría interesar leer: Ataques de Spear Phishing: ¿Cómo Reconocerlos?
La escalada en la frecuencia de incidentes cibernéticos se debe en gran parte, a la motivación económica de los ciberdelincuentes. Tanto grupos organizados como individuos buscan maximizar sus ganancias en períodos cortos, ofreciendo sus habilidades a precios que son asequibles no solo para otros criminales experimentados sino también para novatos o empleados descontentos. Esta accesibilidad ha impulsado una economía de cibercriminalidad, con una oferta y demanda en constante crecimiento.
En el contexto actual, el ransomware se ha convertido en una de las amenazas más destacadas. Un abrumador 96% de las organizaciones identifica el ransomware como una preocupación crítica. Además, aproximadamente el 21% admite haber sido víctima de este tipo de ataque en algún momento durante los últimos dos años.
A pesar de la amenaza que representa el ransomware, las políticas de respaldo y recuperación de datos han demostrado ser una defensa efectiva. Entre las empresas afectadas, el 77% logró restaurar su información utilizando sus sistemas de respaldo. No obstante, un pequeño porcentaje, específicamente el 4%, confesó haber cedido ante las demandas de los atacantes, realizando pagos para recuperar el acceso a sus datos esenciales.
Es relevante destacar una tendencia alentadora: el 84% de las empresas se muestra reacio a la idea de pagar un rescate en caso de un ataque de ransomware. Esta postura no solo es crucial para no alimentar la economía del cibercrimen sino también impulsa a las organizaciones a invertir en medidas preventivas y planes de contingencia robustos.
Te podría interesar leer: Ataque de Ransomware con Doble Extorsión
Mientras avanzamos en 2023, América Latina ha sido testigo de una actividad significativa de ransomware. Varios grupos cibercriminales se han destacado por sus operaciones en la región. Aquí hay un resumen de algunos de los más activos y sus métodos característicos:
SiegedSec, conocidos por su enfoque implacable, prácticamente asedian a sus víctimas con tácticas agresivas de extorsión. No ofrecen otra opción más que pagar un rescate para recuperar datos o enfrentar la posibilidad de que su información confidencial se comercialice en los oscuros rincones de Internet, como foros clandestinos o canales de Telegram.
Activo desde febrero de 2022 y con vínculos con el infame grupo GhostSec, SiegedSec ha lanzado ataques indiscriminados a nivel global, afectando a diversos sectores como salud, IT, seguros, contabilidad, legal y financiero. En Colombia, han filtrado una cantidad considerable de datos sensibles, impactando principalmente a entidades gubernamentales y del sector salud.
Te podría interesar leer: Resumen de Principales Ataques Cibernéticos: Julio 2023
Emergiendo de Rusia, Nokoyawa se distingue por su uso de tecnologías de cifrado avanzadas, específicamente criptografía de curva elíptica (ECC), y asigna su propia extensión de archivo única (.NOKOYAWA) a los archivos comprometidos. Este año, lograron una brecha significativa en un laboratorio de salud en Brasil, demostrando su capacidad de adquirir datos valiosos.
Conocido también como Blackcat, ALPHV opera mediante un modelo de Ransomware-as-a-Service (RaaS) desde noviembre de 2021. A diferencia de las campañas aleatorias o basadas en spam, este grupo utiliza una red de asociados para identificar y atacar objetivos preseleccionados, personalizando su enfoque para cada víctima. En 2023, causaron un revuelo considerable al divulgar datos de una de las corporaciones más prominentes de México, no dejando indemne tampoco al sector público.
Te podría interesar leer: Perfil del sitio en la dark web: BlackCat (ALPHV)
Stormous, originarios del mundo árabe, se dieron a conocer a mediados de 2021. Inicialmente enfocados en Estados Unidos, cambiaron su estrategia debido a tensiones geopolíticas, y anunciaron una alianza con GhostSec a mediados de este año. Esta colaboración tenía como objetivo expandir sus operaciones de ransomware no solo en territorio estadounidense sino también en países de América Latina, incluyendo ataques significativos contra el gobierno cubano.
Vice Society ha sido particularmente activo en los giros del 2022 al 2023, dirigiendo sus esfuerzos principalmente a sectores como educación y atención médica. También se ha observado su interés en la industria manufacturera, con operaciones detectadas en países como Brasil, Argentina, Suiza e Israel. Este grupo ha desarrollado su propia infraestructura de ransomware, adoptando métodos de cifrado robustos, preparándose para expandir sus operaciones de RaaS.
Más allá de los métodos específicos para enfrentar a cada grupo, hay estrategias generales de ciberseguridad que todas las organizaciones deben adoptar:
Educación Continua: La capacitación regular de los empleados sobre las últimas tácticas de ransomware es vital. Deben estar informados sobre cómo detectar phishing y otros engaños, y cómo reportar incidentes sospechosos.
Copias de Seguridad y Plan de Recuperación: Mantener copias de seguridad actualizadas de todos los datos importantes fuera de la red. En caso de un ataque, esta práctica reduce el riesgo de pérdida de datos y facilita la recuperación.
Actualizaciones y Parches: Mantener los sistemas, software y dispositivos de seguridad actualizados. Los ciberdelincuentes suelen explotar vulnerabilidades en software obsoleto.
Gestión de Accesos: Aplicar el principio de privilegio mínimo. Los usuarios deben tener solo el acceso necesario para realizar sus tareas. Esto limita el daño que puede hacer un atacante con credenciales robadas.
Plan de Respuesta a Incidentes: Tener un plan claro sobre cómo responder a un ataque de ransomware, incluyendo la comunicación interna y externa, la identificación de la amenaza, contención, erradicación y recuperación.
Podría interesarte leer: GERT: Respuesta Efectiva a Incidentes de Ciberseguridad
Estos grupos subrayan la creciente amenaza del ransomware en América Latina y el mundo. La evolución de sus tácticas y la amplitud de sus objetivos exigen una vigilancia constante y una respuesta proactiva por parte de las organizaciones en todos los sectores. Implementar defensas cibernéticas sólidas, estrategias de respaldo y planes de recuperación ante desastres nunca ha sido más crucial.