Los cibercriminales se forran con el virus que 'hackeó' al SEPE: los rescates aumentan un 300%

«Durante los últimos meses estamos viendo cómo los ataques en los que se utiliza 'ransomware' son menos masivos y están más dirigidos contra objetivos concretos con más capacidad económica. Aunque el número de casos no parezca tan grande, sí que puede generar unas ganancias mucho mayores», explica a ABC Josep Albors, jefe de investigación y concienciación en la empresa de ciberseguridad ESET. Ese empleo contra objetivos concretos ha permitido que los recates que, en estos momentos, pagan las empresas a cambio de recuperar el control de los datos haya ascendido de media, según los datos de Palo Alto, a los 312.493 euros durante el pasado año . Un incremento notable respecto a los 115.123 del año anterior.

Albors destaca que los cibercriminales que los utilizan, antes de lanzar un ataque, « ya saben quién va a pagar y cuánto va a pagar » a cambio de recuperar el control de sus equipos e información. «Normalmente dejan notas en las pantallas de los sistemas que infectan en las que dejan una dirección de correo para ponerte en contacto con ellos e iniciar una negociación», destaca Albors. Llegados a este punto, en función del daño que hayan causado, la necesidad de la empresa o institución afectada por recuperar el control y la capacidad de negociación de la víctima, el pago puede ser más elevado o menos.

Dentro de las familias de 'ransomware' predilectas de los cibercriminales destaca en primera posición Ryuk . Exactamente el código malicioso que 'hackeó' la semana pasada al SEPE . También se ha dejado ver recientemente en ataques contra empresas como Garmin y secuestros de centros sanitarios. A pesar qde ue desde el Servicio Público de Empleo Estatal se ha negado en reiteradas ocasiones que los cibercriminales hayan conseguido acceder a los datos que guardan en sus sistemas, los expertos en seguridad destacan que, precisamente, el robo de información es una de las principales carecterística en los ataques con Ryuk . El jefe de concienciación de ESET, en conversación con este diario, destaca que «no es habitual» que todo quede exclusivamente en el cifrado de datos cuando se emplea.

«El 'ransomware' ahora está separado entre los códigos que afectan a pymes, en los que los cibercriminales no tienen mucha experiencia y alquilan el código como un servicio, y los 'ransomware' más dirigidos y elaborados. En estos casos el cifrado solo es una parte del ataque. Son multifase. Los criminales usan varios códigos maliciosos para afectar a la víctima. Primero buscan vulnerabilidades en los sistemas y, una vez están dentro, comprueban la información que pueden robar», destaca Albors. Llegados a este punto, lo habitual es que los atacantes empleen virus de tipo troyano pensado para el robo de información y después procedan a cifrar todos los datos de la compañía afectada mediante el uso del 'ransomware'. Si la empresa no paga el rescate, el grupo amenaza con subastar la información robada en la 'dark web '.

De acuerdo a los expertos en ciberseguridad, detrás de Ryuk figuran otros códigos como Maze, REvil/Sodinokibi, NettWalker, RagnarLocker o Conti . A este último código, visto por primera vez en 2019 se lo conoce, precisamente, como el posible sucesor de Ryuk. Recientemente la firma de ciberseguridad Sophos informó de que el grupo de cibercriminales detrás ha filtrado en internet los datos de 180 compañías durante los últimos meses. Entre ellas, 4 eran española. A diferencia de Ryuk, puede robar información por sí mismo sin necesidad de recurrir a un troyano .

«Utiliza técnicas muy avanzadas. Es capaz de cifrar la información muy rápido y cuenta con tecnología que impide que el usuario lo detecte. No se emplea de forma masiva, está pensado para ser utilizado contra objetivos muy concretos. Además puede pasar del equipo que infecta a otros que están conectados a la misma red», explica a ABC el 'hacker' ético Deepak Daswani sobre Conti.

Teniendo en cuenta los enormes beneficios que generan estos códigos para quien los emplea, los expertos en seguridad señalan que lo más probable es que su uso y las ganancias para el cibercrimen sigan aumentando en 2021 . «Por desgracia, si siguen habiendo empresas que caen y empresas que pagan van a continuar teniendo allí un nicho de mercado importante», señala Albors. Teniendo en cuenta esto, para intentar limitar los riesgos al mínimo, es capital que las empresas e instituciones tengan sus herramientas actualizadas a la última versión y que formen a sus empleados para que aprendan a reconocer estas amenazas, que suelen llegar a través de correo electrónico empleando ingeniería social. Asimismo, hay que tener en cuenta que el pago del rescate no implica que, necesariamente, se vayan a recuperar los datos , porque podrían haberse visto afectados de forma irreparable durante el secuestro.