En estos últimos años, y con un aumento significativo durante el 2020, el ransomware se convirtió en una de las amenazas más temidas para las organizaciones latinoamericanas.
Estos ataques buscan cifrar los datos de una víctima y exigen el pago de un rescate para liberarlos, y tienen un gran impacto y costo asociado más allá del pago de un rescate —algo desaconsejado rotundamente—.
Este tipo de ataques pueden afectar la operaciones diarias y provocar pérdidas económicas, además de ser un riesgo a la seguridad pública y dañar la reputación de la empresa víctima.
Esta amenaza impacta en diversas industrias, sin embargo, los cibercriminales detrás de estos ataques tienen ciertas preferencias en cuanto a lo que tipos de empresas afectadas refiere. A continuación, estudiaremos el porqué y el cómo las bandas de ransomware deciden sus tipos de víctimas.
¿Qué buscan los atacantes?
Más allá de las situaciones que puedan tener cada una de las organizaciones en particular, como robustez de infraestructura o controles de ciberseguridad, existen ciertas industrias naturalmente atractivas para los operadores.
Veamos los tres componentes principales de estas amenazas que nos permiten comprender esto.
Tipos y sensibilidad de los datos
En primer lugar, los datos a cifrar y posiblemente robar para posterior venta son determinantes. Aquellas organizaciones que almacenan grandes volúmenes de información, sea una PyME (Pequeña y Mediana Empresa) o una multinacional, son objetivos tentadores debido a la cantidad masiva de datos que poseen.
Estos datos pueden incluir información personal y financiera de clientes, registros médicos, datos de transacciones y otra información confidencial que puede ser utilizada para extorsionar a la empresa o vender en el mercado negro.
Cuanto más sensible es la pieza de información cifrada, más probable es que la organización atacada se preocupe por resguardarla y pague un rescate, y más valiosa será para extorsionarla o luego venderla.
Confianza pública en la organizacion
Una empresa es un objetivo atractivo para los ataques de ransomware de acuerdo a la confianza que han establecido con sus clientes y partes interesadas. Los ciberdelincuentes tienden a enfocarse en organizaciones cuya reputación y credibilidad son pilares fundamentales de su operación.
Al amenazar con divulgar un ataque o exponer datos sensibles, los atacantes pueden ejercer una gran presión sobre estas empresas, incrementando así la efectividad de sus extorsiones. Las organizaciones que dependen en gran medida de la confianza de sus clientes, como las entidades financieras, gubernamentales y de salud, son objetivos prioritarios debido al enorme daño reputacional que pueden sufrir si se ven comprometidas públicamente.
Disponibilidad de recursos financieros
El tercer componente que puede hacer a una empresa un objetivo de ransomware es la disponibilidad de recursos financieros para pagar un rescate. Sin embargo, es crucial señalar que este componente no es el más importante. Muchas veces, las PyMES también son víctimas de ataques de ransomware, a pesar de no tener los mismos recursos financieros que las grandes corporaciones. En estos casos, los atacantes pueden exigir rescates más bajos, pero la cantidad aún puede ser devastadora para estas empresas. En América Latina, se han visto numerosos casos de PyMEs que, tras un ataque de ransomware, enfrentan serias dificultades operativas por ello.
Cabe aclarar que existen más factores, y que cada grupo cibercriminal es un mundo. Por ejemplo, existen grupos motivados pura y exclusivamente por el activismo, conocidos como hacktivistas.
Industrias más atacadas
Teniendo estos tres puntos principales, veamos qué industrias resultan más apuntadas por este tipo de amenaza.
Sector financiero
Con los puntos mencionados, no es sorpresa que este sector sea de los más apuntados. Este es uno de los más críticos y vulnerables a los ataques de ransomware debido a la naturaleza de su operación y la sensibilidad de la información que maneja.
Los bancos, aseguradoras, casas de bolsa y otras instituciones financieras no solo gestionan enormes cantidades de dinero, sino que también almacenan datos extremadamente valiosos y sensibles que son altamente codiciados por los ciberdelincuentes.
Las instituciones financieras operan con volúmenes masivos de transacciones diarias que involucran sumas significativas de dinero. Estas transacciones abarcan desde pagos y transferencias hasta inversiones y seguros, creando un entorno atractivo para los atacantes que buscan aprovechar la interrupción de estos servicios para obtener un rescate.
La capacidad de paralizar un banco o una bolsa de valores puede causar un caos financiero considerable, lo que pone una enorme presión sobre la institución para resolver el incidente rápidamente, llegando hasta a veces cometer el error de pagar el rescate solicitado.
Conscientes de su atractivo para el cibercrimen, las instituciones financieras suelen invertir grandes sumas de dinero en ciberseguridad cada año. Estas inversiones se destinan a recursos que van desde la implementación de infraestructura sólida, pasando por soluciones de cifrado, hasta simulacros de pérdida de operaciones con restauraciones incluidas.
Sector público
El sector público, que incluye agencias gubernamentales, municipios y otras entidades estatales, es otro de los más afectados por ataques de ransomware.
Esta industria maneja una vasta cantidad de información crítica y realiza funciones esenciales que son vitales para el funcionamiento diario de la sociedad. La interrupción de estos servicios puede tener consecuencias graves y generalizadas, lo que convierte a las entidades públicas en objetivos muy atractivos para los ciberdelincuentes.
Las agencias gubernamentales gestionan grandes volúmenes de datos personales de ciudadanos, incluyendo números de identificación, direcciones, información fiscal y de salud, entre otros.
Estos datos son altamente sensibles y valiosos en el mercado negro, ya que pueden ser utilizados para realizar fraudes, suplantación de identidad y otros delitos. Además, los sistemas gubernamentales manejan información confidencial relacionada con la seguridad nacional, infraestructura crítica y estrategias políticas, lo que aumenta aún más su atractivo para los atacantes.
Además, la confianza pública en la capacidad del gobierno para proteger la información y mantener la continuidad operativa es fundamental. Un ataque de ransomware que exponga o comprometa datos sensibles puede erosionar esta confianza, lo que a su vez puede tener implicaciones políticas y sociales significativas. La percepción de una falta de seguridad puede debilitar la credibilidad del gobierno y generar descontento entre los ciudadanos.
En América Latina, ha habido varios casos destacados que ilustran la vulnerabilidad del sector público ante los ataques de ransomware. Un ejemplo significativo es el ataque al gobierno de Costa Rica en 2022. Este ataque, llevado a cabo por el grupo de ransomware Conti, afectó a múltiples instituciones gubernamentales, paralizando servicios críticos y comprometiendo datos sensibles. El impacto fue tan severo que el gobierno de Costa Rica declaró un estado de emergencia nacional, subrayando la magnitud de la amenaza y la necesidad urgente de fortalecer la ciberseguridad en el sector público.
Otro caso relevante es el ataque a la Comisión Nacional de Valores (CNV) de Argentina en 2023. Los ciberdelincuentes lograron infiltrarse en los sistemas de la CNV, encriptando datos críticos y afectando la operatividad de la entidad. Este incidente no solo interrumpió las funciones regulatorias esenciales de la comisión, sino que también generó preocupación sobre la seguridad de la información financiera y de los mercados en el país.
Sector salud
Durante la pandemia de COVID-19, el sector salud se convirtió en un objetivo principal para los ciberdelincuentes. La urgencia y la presión a la que estaban sometidas las instituciones de salud hicieron que cualquier interrupción causada por un ataque de ransomware tuviera consecuencias aún más graves. Los atacantes aprovecharon la situación, conscientes de que los hospitales y otros centros médicos estarían más dispuestos a pagar rescates para restaurar rápidamente el acceso a sus sistemas y garantizar la continuidad de la atención médica.
Las instituciones de salud manejan una amplia variedad de información sensible, incluyendo historiales médicos completos, datos de seguros, resultados de pruebas de laboratorio y estudios de investigación. Estos datos no solo son valiosos para los ciberdelincuentes debido a su naturaleza sensible, sino que también pueden ser utilizados para cometer fraudes o ser vendidos en el mercado negro. La interrupción de los sistemas de salud por ataques de ransomware puede tener consecuencias devastadoras, desde la cancelación de cirugías y tratamientos hasta la incapacidad de acceder a información crítica en emergencias.
En 2022, la organización de salud OSDE en Argentina fue víctima de un ataque de ransomware perpetrado por la banda LockBit. Los ciberdelincuentes lograron infiltrarse en los sistemas de OSDE, encriptando datos críticos y exigiendo un rescate para liberarlos. Este ataque no solo interrumpió la operatividad de una de las principales empresas de salud del país, sino que también puso en riesgo la privacidad de los datos de miles de pacientes.
Conclusiones
Si bien esta lista no es exhaustiva, hemos podido comprender qué factores en común tienen las industrias más afectadas por ataques de ransomware de alto nivel. Además, y a pesar de la diversidad de bandas de ransomware y sus variados objetivos, un análisis profundo de sus víctimas revela patrones significativos que arrojan luz sobre sus motivaciones y métodos. Esto, como parte de la defensa de la ciberseguridad corporativa, nos permite comprender cómo fortalecer nuestras defensas cibernéticas de manera proactiva y reducir la probabilidad de sufrir un ataque de ransomware. En última instancia, esta comprensión nos capacita para defendernos de manera más eficaz en el ámbito corporativo y mitigar los riesgos asociados con estas amenazas digitales.