Con la llegada de fin de año, comienza el momento de hacer balances para entender cuál fue la actividad de ciertos actores maliciosos vinculados al campo de la ciberseguridad. Y en este punto, lógicamente, es inevitable analizar cuál fue el comportamiento de una de las amenazas informáticas de mayor impacto: el ransomware.

Como detallaremos a continuación, 2024 fue un año récord para el ransomware: desde su nivel de alcance hasta las ganancias que obtuvieron los atacantes por sus golpes.

Para entender cómo esta amenaza tuvo un papel determinante en el devenir de la seguridad de la información de las empresas y organizaciones, detallaremos cuáles fueron los ataques más paradigmáticos del año, y qué impacto tuvieron en América Latina.

Lectura recomendada:
Ransomware: qué es y cómo funciona

¿Qué pasó con el ransomware en 2024?

No hay duda de que el ransomware sigue siendo una de las mayores amenazas para la ciberseguridad a nivel mundial. Un informe de Rapid 7 afirma que se registraron más de 2.500 ataques de ransomware solo en la primera mitad de 2024. Lo que se traduce en casi 15 ataques reivindicados públicamente por día.

En esa línea, un informe publicado por Statista confeccionado con la opinión de líderes de ciberseguridad de todo el mundo detalla que casi el 60% de las organizaciones de todo el mundo fueron víctimas de un ataque de ransomware solo entre enero y febrero de 2024.

Y según lo relevado en el ESET Security Report de este año, en América Latina el 14% de las organizaciones afirmó estar dispuesta a pagar un rescate.

Lo que aún es más preocupante es que la pérdida de datos también aumentó de manera significativa: del 17,2% registrado en 2023 se pasó a un 30,2% en 2024. En concordancia con esto, el Informe Global confeccionado por Veeam asegura que el 27% de las organizaciones que pagaron el rescate no pudieron recuperar sus datos incluso después de pagar el rescate.

Por si fuera poco, el 2024 se perfila para establecer el récord respecto de los ingresos pagados por ataques de ransomware. Según Chainalysis, los rescates pagados hasta julio rozaban un total de 460 millones de dólares, mientras que en 2024 se registró la cifra más alta que pagó una víctima por un rescate de ransomware hasta el momento: 75 millones de dólares.

¿Qué caracterizó al ransomware en 2024?

Es realmente paradójico que pese al desmantelamiento de grupos dominantes como Lockbit, el ransomware se siguió reinventando en manos de grupos más pequeños y flexibles. De hecho, una de las principales características de estos actores emergentes es que trabajan a través de varios grupos de ransomware, consolidando así la llamada “democratización del ransomware”.

También es necesario mencionar que los grupos de ransomware siguen explorando nuevas técnicas y tácticas. Un ejemplo de esto es la incorporación de herramientas que buscan anular tecnologías de seguridad como son los EDR. Los investigadores de ESET descubrieron este nuevo kit de herramientas desplegado por el ransomware Embargo, que consiste en un loader y un killer EDR, llamados MDeployer y MS4Killer respectivamente por ESET.

El ransomware, al igual que las otras amenazas, se volvió mucho más sofisticado con la implementación de herramientas de Inteligencia Artificial. ¿El resultado? Ataques mucho más personalizados, dificultando así la prevención y la respuesta.

¿Cuáles fueron los ataques de ransomware más destacados a nivel global?

A lo largo y a lo ancho del mundo, hubo ataques que marcaron el impacto y preponderancia del ransomware a nivel global. Como mencionábamos antes, un ejemplo de esto fueron los 75 millones de dólares que recibió el grupo Dark Angel en julio por parte de la empresa Fortune 50, el pago de ransomware más grande de la historia hasta el momento.

Pero no fue el único: otro ejemplo paradigmático de este 2024 fue el ciberataque ocurrido en febrero que dejó expuesta la información médica de más de un tercio de los estadounidenses. Así lo confirmó el CEO de la empresa en una audiencia frente al comité de energía y comercio del Congreso estadounidense. El ataque a Changue HealthCare fue atribuido a Optum, un aliado o subsidiario del grupo de ransomware BlackCat, que había sido desmantelado por el FBI en diciembre 2023, y le costó a la empresa unos 872 millones de dólares.

Lamentablemente el sector salud fue uno de los más afectados este año. Así lo confirma el ataque de ransomware a Ascension, que hasta obligó a la empresa de atención médica de los Estados Unidos a desviar ambulancias, cerrar farmacias y desconectar sistemas informáticos críticos. Para Ascension, las pérdidas económicas derivadas del ciberataque ocurrido en mayo fueron devastadores: hablamos de más de 1.000 millones de dólares netos.

En esa misma línea se encuentra el ataque de ransomware del que fue víctima MediSecure en Australia, que significó una de las mayores violaciones de datos personales de la historia del país. Concretamente, se trató de 6,5 terabytes de información, incluyendo los historiales de salud de casi 13 millones de australianos.

¿Cuál es la situación del ransomware en América Latina?

Poniendo la lupa puntualmente en la región, hubo ciertos grupos que se destacaron por su constante actividad. Allí vale puntualizar en LockBit 3.0, Vice Society, ALPHV (BlackCat) y Medusa.

Pero un actor decisivo sin dudas que fue RansomHub, grupo que ofrece ransomware como servicio y que desde su aparición a principio de año afectó a más de 200 organizaciones. Por su servicio cobra el 10% de los pagos obtenidos por sus afiliados en cada ataque, y sus principales víctimas suelen ser instituciones y empresas de alto perfil y gran capacidad de pago.

Otro grupo muy activo en la región fue LockBit 3.0, que entre sus víctimas se destaca la cadena mexicana de tiendas Coppel, que afectó a 1.800 tiendas en todo el país, que vieron diezmada su operatoria por un periodo de tres meses. Ese periodo de inactividad (con cierres de sus tiendas en línea y la imposibilidad de procesar transacciones en sus tiendas físicas) significó para la empresa una pérdida cercana a los $15 millones de dólares en ingresos

Lo cierto es que como vimos en el artículo incidentes de ciberseguridad que marcaron el 2024 en América Latina, como viene ocurriendo en los últimos años, el ransomware fue protagonista de varios ataques en la región. Universidades, Centros de Salud, empresas y organismos gubernamentales de Argentina, Brasil, Chile, Colombia, México, Perú y muchos otros países fueron blanco de ataques de algún grupo de ransomware.

Para confirmar cómo los grupos de ransomware siguen evolucionando, recientemente el equipo de Research de ESET Latinoamérica elaboró un informe en el que destacaba a otros dos grupos de ransomware emergentes en América Latina: Qiulong y Cactus.

¿Cómo protegerse contra el ransomware?

Para protegerse del ransomware es necesario aplicar un enfoque transversal, que abarca integralmente todas las aristas de una organización. Para eso es aconsejable:

  • Implementar la autenticación multifactor (MFA) que fortalece la seguridad y reduce en gran medida el riesgo de accesos indebidos, en caso de compromiso de contraseñas.
  • Realizar backups periódicos es clave para minimizar el impacto del ransomware.
  • Mantenerse actualizado sobre las últimas amenazas y tendencias de seguridad.
  • Capacitar al personal en buenas prácticas de seguridad para prevenir riesgos y amenazas