Cuanto más entendamos el modus operandi y la magnitud operativa de los ciberdelincuentes, mayor será la eficacia con la que podamos combatirlos. En el caso del ransomware, evaluar el éxito y las ganancias de un grupo criminal en particular no es tarea fácil. Los proveedores de seguridad a menudo se enteran de dichos ataques al observar y comunicarse con sus clientes, lo que básicamente significa que suelen ver los intentos fallidos. Por su parte, las víctimas de ransomware tienden a quedarse callados (sobre todo si han pagado el rescate).
Por consiguiente, escasean los datos confiables sobre los ataques exitosos. Sin embargo, en el Remote Chaos Communication Congress (RC3) del 2020, un equipo de investigadores presentó un método un tanto curioso para analizar las campañas de los ciberdelincuentes de principio a fin, basándose en las huellas que dejan las criptomonedas.
Un grupo de analistas de la Universidad de Princeton, la Universidad de Nueva York y la Universidad de California, en San Diego, así como varios empleados de Google y Chainalysis, realizaron este estudio durante el 2016 y el 2017. Han pasado unos años, pero su método aún puede aplicarse.
Método de investigación
Los delincuentes temen que el dinero deje rastros, motivo por el que el cibercrimen actual prefiere las criptomonedas (Bitcoins, en particular), que apenas están reguladas y aseguran el anonimato. Por otra parte, las criptomonedas están disponibles para todos y las transacciones no pueden cancelarse.
Sin embargo, aquí es relevante otra característica importante del Bitcoin: todas las transacciones de Bitcoin son públicas. Eso significa que es posible rastrear los flujos financieros y echar un ojo a la magnitud del funcionamiento interno de la economía cibercriminal. Y eso es exactamente lo que los investigadores hicieron.
Algunos atacantes, no todos, generan una dirección única del monedero de BTC para cada víctima, así que los investigadores primero recopilaron los monederos a los que se destinaban los pagos del rescate. Encontraron algunas de las direcciones en los mensajes públicos sobre la infección (muchas víctimas publicaron online las capturas de pantalla del mensaje de rescate) y obtuvieron otros ejecutando el ransomware en máquinas de prueba.
El siguiente paso de los investigadores fue rastrear la trayectoria de las criptomonedas después de la transferencia al monedero, que en algunos casos requirió que ellos mismos hicieran micropagos de Bitcoin. Bitcoin permite el copago, mediante el cual los fondos de diversos monederos se transfieren a uno, lo que permitió a los cibercriminales consolidar los pagos de rescate de varias víctimas. Pero dicha operación requiere de una mente maestra que contenga las claves de múltiples monederos. Por lo tanto, rastrear dichas operaciones permite ampliar la lista de víctimas y encontrar simultáneamente la dirección del monedero principal hacia el que se transfieren los fondos.
Tras estudiar los flujos financieros que pasan por los monederos durante un periodo de dos años, los investigadores se hicieron una idea de los ingresos de los ciberdelincuentes y los métodos para el blanqueo de fondos.
Conclusiones principales
El hallazgo clave de los investigadores en ese periodo de dos años fue que 19.750 víctimas transfirieron aproximadamente 16 millones de dólares a los operadores de los cinco tipos más comunes de ransomware. Bien es cierto que esta cifra no es totalmente exacta (es improbable que hayan rastreado todas las transacciones), pero proporciona una cifra aproximada de la magnitud de la actividad de los ciberdelincuentes hace algunos años.
Resulta interesante que cerca del 90 % de los ingresos provengan de las familias de Locky y Cerber (dos de las ciberamenazas más activas en aquel tiempo). Además, el famoso WannaCry ganó más de unos pocos cientos de miles de dólares (aunque muchos expertos clasifican este malware como un borrador y no como un ransomware).
De mucho mayor interés fue investigar cuántos de esos ingresos se llevaron los ciberdelincuentes y cómo lo hicieron. Para ello, los investigadores utilizaron el mismo método de análisis de transacciones para ver en qué monederos de los ciberdelincuentes aparecían transacciones conjuntas donde participaban los ya conocidos monederos de los servicios online de cambio de divisas digitales. No todos los fondos se pueden rastrear de esta forma, por supuesto, pero el método les permitió determinar que los ciberdelincuentes retiraban dinero mediante BTC-e.com y BitMixer.io (posteriormente, las autoridades clausuraron ambos servicios de cambio: como habrás imaginado, se dedicaban al blanqueo de fondos ilícitos).
Desgraciadamente, el sitio de RC3 no permite ver la presentación al completo, pero sí está disponible el texto íntegro del informe.
Cómo protegerte del ransomware
Las enormes ganancias del ransomware han provocado que los ciberlincuentes sean más audaces. Un día se consideran Robin Hoods modernos al invertir en obras de caridad, pero al siguiente lanzan una campaña de publicidad para seguir acosando a sus víctimas. En este estudio, los investigadores intentaron localizar los puntos de presión que detendrían los flujos financieros y sembrarían la duda en las mentes de los ciberdelincuentes acerca de la rentabilidad del nuevo ransomware.
El único método verdaderamente eficaz para combatir el cibercrimen es evitar la infección. Por lo tanto, te recomendamos seguir al pie de la letra las siguientes reglas:
- Forma a tus empleados para que reconozcan las técnicas de ingeniería social. En algunos raros casos, los atacantes intentarán infectar los ordenadores mediante el envío de documentos maliciosos o un enlace.
- Actualiza periódicamente todo el software, especialmente los sistemas operativos. Con frecuencia, el ransomware y sus herramientas de envío aprovechan las vulnerabilidades conocidas sin parchear.
- Usa soluciones de seguridad con tecnologías antiransomware; sobre todo aquellas que sean capaces de lidiar con las amenazas conocidas y no detectadas.
- Realiza copias de seguridad; a ser posible, almacena tus copias en medios aislados que no estén conectados de forma permanente a la red local.