El ransomware toca a la puerta de los usuarios

 El Internet Crime Complaint Center (Centro de Denuncias de Delitos en Internet) del FBI contabilizó el año pasado casi 3.800 quejas por ransomware, lo que se traduce en un incremento del 82% respecto a los dos años anteriores y unas pérdidas atribuidas a estos ataques que rondan los 49.200 millones de dólares. Nada nuevo bajo el sol, pensarán puesto que se trata de una situación de la que venimos advirtiendo en los últimos meses. Lo que sí es noticia es el modo en que los ciberdelincuentes están lucrándose: ya no les importan tanto cobrar rescates por desencriptar la información como por vendérsela a terceros. Sin esperas, sin extorsión y, en algunos casos, con la ventaja de actuar a demanda, esto es, bajo pedido. Dinero fácil, sucio, pero fácil.

La estrategia parece funcionarles, si bien es cierto que no abandonan el modus operandi más habitual,  toda vez que el Departamento del Tesoro de EEUU estima que las bandas que se han especializado en ransomware podrían haber recaudado cerca de 5.200 millones de dólares sólo con la extorsión. Puestos a analizar la evolución de esta práctica delictiva, podríamos hablar de un ransomware 2.0 previo, en el que los ciberdelincuentes no se limitaban a encriptar la información y pedir rescate para liberarla, sino que amenazaban con divulgar parte de la información sensible comprometida. Lo que comienza a aparecer ahora es el ransomware 3.0 que no es otra cosa que pasar la acción, no quedarse en la amenaza y, directamente, comerciar con terceros, importando bien poco lo que después el comprador haga con esa información.

Recientemente, veíamos en nuestras antípodas un buen ejemplo de ello. Optus, la segunda mayor operadora de Australia, sufría un ataque de ransomware viéndose comprometida la información personal de 10 millones de usuarios. Los atacantes extorsionaron a la operadora exigiéndole el pago de 1 millón de dólares o, de lo contrario, comenzaría a vender la información a terceros. Para agregar un poco más de presión y dado que los ciberdelincuentes disponían de los datos personales de millones de clientes, ¿por qué no contactar directamente con ellos y contarles lo que se disponían hacer con su privacidad? No se trataba únicamente de una advertencia, sino de, llamémoslo “una nueva línea de negocio”, pues comenzaron a extorsionar también a los clientes demandándoles el pago de 2.000 dólares australianos en el plazo de dos días so pena de ver su información revendida con fines más bien delictivos.

Al parecer, la brecha de seguridad se produjo a través de las API (Application Programming Interface) –concretamente, de una API no autenticada- que permiten a día de hoy la comunicación entre diferentes aplicaciones. Se trata de una manera abierta, sencilla y rápida de permitir esa interoperabilidad a la hora de prestar servicios y, debido a su versatilidad, se han convertido en un negocio en sí mismo, cuyo volumen de ingresos se estima que crezca de aquí a 2030 a un ritmo interanual del 20%, según datos de Acumen Research and Consulting.

Existen proyectos de seguridad como OWASP que, conscientes de los riesgos, elaboran listados de vulnerabilidades de estas API, pero muchas organizaciones no se apoyan en una herramienta tan valiosa y, a la postre, dos terceras partes de los ataques terminan aprovechando brechas de seguridad que ya aparecían en los listados de OWASP.

El gobierno australiano está que trina con Optus porque, no sólo el ataque no fue tan sofisticado como ‘vendió’ la operadora, sino que, además, tardó demasiado tiempo en notificarlo a las personas afectadas… y no eran pocas, porque se estima que alrededor del 40% de la población se ha visto salpicada por este ciberataque. De hecho, 10.200 personas vieron expuestos sus datos personales en internet.

Así las cosas, el gobierno no quiere esperar a que las operadoras se pongan las pilas en materia de seguridad y, de cara a mitigar los efectos negativos de este tipo de ataques va a introducir cambios en la legislación de privacidad. Según los planes del gobierno, operadoras y entidades financieras podrán compartir información para evitar transacciones fraudulentas cuando se producen este tipo de brechas. Esta información, una vez resuelta la amenaza, tendrá que ser destruida por parte de los bancos.