El malware ha sido durante décadas uno de los mayores temores de las empresas digitalizadas. Lanzado originalmente de forma masiva, este tipo de software dañino estaba pensado para atacar a todo tipo de sociedades. Sin embargo, en los últimos años hemos visto una nueva modalidad: el malware dirigido.
Así lo recoge el informe ‘Ciberamenazas 2020’, de SonicWall, en el que puede leerse cómo los ciberdelincuentes están cambiando sus estrategias para realizar ataques sistemáticos con objetivos muy concretos. De disparar a todo a elegir sus objetivos y atacarlos “de forma quirúrgica”.
Malware dirigido frente a la difusión masiva
El malware de difusión masiva ha sido durante mucho tiempo el estándar del sector del cibercrimen. La estrategia tras esto era sencilla: diseñar un tipo de software que dañase a cuantos más ordenadores mejor. Así, se diseñaban virus de ordenador que atacaban a empresas sin discriminar.
Su nombre en inglés (spray-and-pray) da cuenta de la falta de estrategia de este sistema. La traducción literal sería “rociar y rezar”, una dinámica que no da muchas garantías de éxito. Cualquier usuario que ejecutase el código en un equipo compatible queda infectado, algo que para los atacantes no es particularmente rentable.
Pensemos en un delincuente que busque atacar a la empresa Alfa y diseñe para ello un malware de difusión masiva. Este sale al ciberespacio y empieza a atacar de forma indiscriminada a cualquier dispositivo del mercado. Si tarda lo suficiente en llegar a la empresa objetivo, Alfa será capaz de levantar contramedidas y, además, el ciberdelincuente no gana nada infectando miles de ordenadores por todo el mundo. Para este se convierte en una pérdida.
De ahí que en los últimos años hayamos visto un cambio de enfoque. Según SonicWall, el malware de difusión masiva está siendo abandonado y sustituido por ataques dirigidos con objetivos concretos y sistemas más refinados. El resultado ha sido un paradójico descenso del 6% en un año.
Ataques mucho más exitosos
Esto no significa que los ataques sean menos graves. De hecho, ocurre que su tasa de éxito ha aumentado de forma notable al ser más precisos. Para visualizarlo, podemos imaginar que queremos demoler un edificio concreto. Una posibilidad sería bombardear toda la ciudad (spray-and-pray), y otra mucho más precisa el colocar cargas explosivas en sus cimientos. Eso es el malware dirigido.
Los atacantes buscan presas cuyo retorno de la inversión sea alto, como si de una empresa se tratase. Los objetivos son variados: robo de información para venderla en el mercado negro, destrucción de la capacidad para operar, encriptado de ordenadores para pedir rescates o encargos de la competencia.
Lo cierto es que la ciberdelincuencia hace mucho que trabaja de forma jerarquizada. El libro ‘Delitos del futuro’ de Marc Goodman (2015) ya analizaba multitud de sociedades ilegales que contaban con departamentos de marketing, recursos humanos o contabilidad. El cibercrimen lleva tiempo refinándose y especializándose, y el malware dirigido ha sido la última estrategia.
Ataques quirúrgicos contra víctimas rentables
“Los cibercriminales están usando ransomware para realizar ataques quirúrgicos contra aquellas víctimas que están más dispuestas a pagar debido a la información confidencial que poseen o a los fondos con los que cuentan o ambos”. Esta cita del informe de SonicWall es particularmente interesante.
El ransomware es un tipo de malware que secuestra datos encriptándolos. Si uno quiere desencriptarlos, tiene que pagar un rescate. Los ataques de ransomware dirigidos han disminuido en 187,9 millones (un 9%) en un año, pero a pesar de que los ataques se han vuelto más ambiciosos, sus consecuencias son mucho más graves.
El informe destaca cómo los gobiernos, ya sea estatales, provinciales o a nivel municipal, son algunos de los mayores afectados por este tipo de embestidas. No solo por la información confidencial que manejan, sino porque el coste de paralizar su actividad es muy grave. Vivimos en una sociedad digitalizada y el acceso de los ciudadanos a los servicios básicos es un sistema crítico.
Gobiernos y grandes empresas, en el punto de mira
Pensemos en el caos que podría generar durante unos días el ataque dirigido a la web de un ayuntamiento. Miles de usuarios, incapaces de realizar trámites digitales, colapsan los centros de atención y las oficinas físicas. A escala nacional las consecuencias son mucho peores, especialmente si el bloqueo se alarga.
Durante los últimos años hemos visto ataques dirigidos contra redes eléctricas locales, borrado de archivos o cambiado historiales en hospitales, bloqueo de páginas de consulta ciudadana o el encriptado de bases de datos clave para el funcionamiento tributario de algunos países.
Algo similar estamos viendo de cara a las empresas, donde el encriptado de información clave se ha convertido en una vulnerabilidad y los ataques DDoS de denegación de servicio una posibilidad futura. Debido a todo esto, empresas y gobiernos están tomando medidas defensivas de todo tipo.
Debido a ello, muchos gobiernos están abrazando estrategias defensivas de todo tipo. Barreras virtuales para no dejar pasar el ransomware o no activarlo, cierres sistemáticos de sistemas enteros nada más detectarse para evitar que se extiendan, o la activación de copias de seguridad son algunos de ellos.
De lo que no cabe duda es de que el mundo del ciberdelito está en permanente cambio, adaptándose a su objetivo criminal a medida que sus víctimas encuentran nuevas formas de defenderse. Hoy, proteger los datos es más importante que nunca.
Por Marcos Martínez
Imágenes | iStock/kieferpix, iStock/solarseven
