El ransomware está cumpliendo 35 años. En este tiempo, la ciberextorsión ha evolucionado hasta ser el más importante cibercrimen global.
¿Cómo es que no vimos los avances de esta amenaza, justo en nuestras narices? Aunque no lo parezca, nada pasa de un día para el otro.
¿Sabía usted que el caso más temprano de ciberextorsión ocurrió en 1989? El concepto de ransomware se remonta a cuando, en ese año, el Dr. Joseph Popp distribuyó el troyano del SIDA: un malware que cifraba archivos en computadoras infectadas y exigía un pago por su recuperación.
Aunque usted no lo crea, la infección ocurría mediante el uso de un disquete. Sin duda, era un método rudimentario en comparación con los sofisticados mecanismo actuales.
Pero ese disquete pasó a la historia como el pionero en el modelo de extorsión digital.
De hecho, sólo en 2024, este tipo de ataques logró estafar a empresas por más de US$ 1.100 millones en todo el mundo.
“El ransomware es la ciberamenaza que más ha evolucionado en los últimos 10 a 15 años. Si bien comenzó con un pago por correo, hoy es un negocio global”, refirió el estratega de seguridad global de Splunk, empresa de Cisco, Mick Baccio.
Se sabe, agregó el especialista, que este tipo de infección es utilizada por bandas cibernéticas organizadas. También que algunas actividades que conducen a estos ataques son patrocinadas por estados de países como Rusia y Corea del Norte.
Dicho de otro modo, el ransomware es una de las más poderosas armas conocidas de las actuales ciberguerras.
Volvamos al disquete
Lo cierto es que, a lo largo de estos 35 años, el ransomware ha refinado sus técnicas de ataque y ampliando tanto sus alcances como su sofisticación.
¿Cómo pasó de un disquete a la amenaza que es hoy? Le llevó tiempo. La investigación histórica encuentra, en 2004, al malware GPCode como punto de inflexión al distribuirse masivamente por correo electrónico.
¿Con que cubierta? Una que siempre funciona: se disfrazó de oferta de trabajo. Su éxito radicó en la capacidad de engañar a usuarios desprevenidos, lo cual le permitió propagarse sin grandes dificultades.
Todavía por aquel entonces las bandas dependían de las tarjetas de regaló para lograr su desafío más importante: lograr un mecanismo de pago que sea, esencialmente, irrastreable.
Por ello el año 2010 es un nuevo punto de inflexión gracias, nada más y nada menos, que a las criptomonedas.
“Eso fue, realmente, lo que dio paso al auge de una epidemia de ransomware. Cuando apareció Bitcoin, los ataques se volvieron cada vez más anónimos. Hasta entonces, se enviaba dinero por correo, se usaban tarjetas de regalo o se dependía de transferencias bancarias”, puntualizó Mick Baccio, Estratega de Splunk.
Todo esto cambio, según el experto, cuando las criptos hicieron su irrupción, facilitando los pagos transfronterizos, tornándolos, prácticamente, en imposibles de rastrear.
Con este nuevo recurso evolucionando rápidamente, a partir de 2016, el ransomware alcanzó una nueva escala con ataques dirigidos a grandes empresas:
- SamSam fue uno de los primeros en explotar vulnerabilidades en redes corporativas, exigiendo rescates de cifras millonarias.
- Posteriormente, el ransomware *Maze* introdujo el concepto de doble extorsión, amenazando con divulgar información robada si el rescate no era pagado.
En la última decada: Infraestructura crítica bajo ataque
Hoy en día, los grupos de ransomware han refinado sus estrategias, especializándose en sectores vulnerables como el financiero, el de salud y el de infraestructura crítica.
A menudo, estos objetivos carecen de recursos tecnológicos avanzados, lo cual facilita la ejecución de ataques devastadores.
“Se ha comprobado que las organizaciones con menos recursos son las que más necesitan ayuda. Hay plantas de tratamiento de agua en todo el sur de simplemente carecen del personal, las habilidades y los recursos necesarios para reforzar sus defensas”, precisó el estratega de seguridad global de Splunk, Mick Baccio.
Para agravar este escenario, los actores estatales también han intensificado su participación en estos ataques en la última década. Los conflictos bélicos abiertos en el mundo han sido detonante de esta nueva etapa.
En el último trimestre, Cisco Talos Incident Response identificó nuevas variantes como RansomHub, RCRU64 y DragonForce, además de la persistencia de amenazas como BlackByte y Cerber.
Blindaje básico
Ciertamente, el ransomware luce casi imbatible. No obstante, existen medidas clave para mitigar el impacto del ransomware.
La creación de copias de seguridad seguras sigue siendo una de las herramientas más eficaces contra el cifrado malicioso de archivos.
“El ransomware tiene un enorme talón de Aquiles: las copias de seguridad. Si existe una copia de respaldo de tus datos, puedes restaurarlos fácilmente en caso de un ataque”, señala el líder de Cisco Talos EMEA, Martin Lee.
Sin embargo, la protección efectiva no depende únicamente de respaldos de datos. La actualización de software, la segmentación de redes y la educación del personal en ciberseguridad desempeñan un papel fundamental.
A medida que los cibercriminales recurren a técnicas avanzadas de ingeniería social y falsificación digital, la conciencia humana se convierte en una línea de defensa crucial.
“Será cada vez más difícil confiar en lo que se ve y se escucha. Por lo tanto, es fundamental garantizar que las personas estén al tanto y preparadas para este tipo de ataques”, alerta el jefe de divulgación de Cisco Talos, Nick Biasini.
El ransomware no es una amenaza aislada, sino un problema global que requiere una estrategia coordinada.
La cooperación entre el sector público y privado, junto con políticas internacionales enfocadas en la seguridad digital, son esenciales para reducir su impacto y proteger a organizaciones vulnerables.