En la actualidad, la distinción entre el cibercrimen y los ataques patrocinados por los estados se ha vuelto cada vez más difusa. Antaño, los delincuentes cibernéticos eran impulsados principalmente por el afán de lucro, mientras que las acciones de los gobiernos se limitaban en su mayoría a campañas de ciberespionaje o a ataques destructivos ocasionales alineados con sus objetivos geopolíticos. Sin embargo, en los últimos meses, esta línea ha comenzado a desdibujarse, especialmente en lo que respecta al ransomware, una tendencia que ha sido observada por expertos en ciberseguridad.
Este cambio de paradigmas representa implicaciones significativas para líderes de tecnología e información, ya que no solo incrementa el riesgo de ataques, sino que también modifica la estrategia necesaria para mitigar dicho riesgo. A lo largo de los años, ha sido evidente que el uso de ransomware por parte de hackers patrocinados por estados no es un fenómeno nuevo. Por ejemplo, en 2017, se atribuyó a operativos vinculados a Corea del Norte el lanzamiento de WannaCry, el primer «ransomworm» global. Esta amenaza, que se extendió rápidamente, fue detenida por el descubrimiento de un «interruptor de apagado» en el código malicioso.
En años recientes, se ha observado un aumento de la utilización de ransomware por parte de grupos estatales con diversas motivaciones. Un motivo prominente es el uso deliberado del ransomware como herramienta de financiación estatal. En Corea del Norte, se ha documentado que grupos de amenazas atacan firmas de criptomonedas y bancos, generando así ingresos significativos para el país. De hecho, se estima que obtuvieron alrededor de 3 mil millones de dólares en beneficios ilícitos desde 2017. Recientemente, se evidenció que grupos vinculados a Pyongyang implementaron ransomware personalizado en redes de organizaciones de defensa y aeroespacial, lo que sugiere una combinación de objetivos de recopilación de inteligencia y monetización.
Por otro lado, algunos grupos estatales permiten que sus hackers ganen dinero extra llevando a cabo operaciones de ransomware en colaboración con grupos de ciberdelincuentes. Un ejemplo de esto es el grupo iraní Pioneer Kitten, que ha sido acusado de trabajar directamente con afiliados del ransomware para facilitar operaciones de cifrado a cambio de un porcentaje de los pagos. Esta cooperación no solo maximiza las oportunidades de lucro, sino que también permite a los atacantes sortear la responsabilidad legal.
Además, las agrupaciones de actores de amenazas están utilizando el ransomware como una fachada para encubrir sus verdaderas intenciones en varios ataques cibernéticos. El grupo ChamelGang, alineado con China, ha sido identificado como un perpetrador que emplea el ransomware para desviar la atención de sus operaciones de ciberespionaje, lo que les permite eliminar pruebas de sus robos de datos.
La pregunta que surge es si la atribución de estos ataques es realmente relevante. Mientras algunos argumentan que las mejores prácticas de seguridad deben seguir aplicándose, independientemente del origen del ataque, otros sostienen que comprender el perfil del adversario es crucial para gestionar efectivamente la amenaza que representan. A pesar de esto, aun en la incertidumbre sobre la identidad del atacante, existen medidas que se pueden implementar para mitigar el impacto de los ataques de ransomware, tales como la capacitación en seguridad, proteger las cuentas con contraseñas robustas y autenticación multifactor, y realizar copias de seguridad periódicas.
A medida que avanza la sofisticación de las amenazas cibernéticas, la necesidad de una conciencia continua y una gestión proactiva del riesgo se hace cada vez más evidente.
Fuente: WeLiveSecurity by eSet.
