Grupos de ransomware utilizan a México como campo de prueba previo a la ejecución de ataques globales


Imagen: Zdzisław Beksiński


Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.

Últimamente, hemos observado un notable aumento en los ataques de ransomware dirigidos a organizaciones de todo tipo en diversas partes del mundo. Este tipo de malware implica que un atacante cifre los archivos o restrinja el acceso a un sistema informático, solicitando un rescate a cambio de liberarlos o descifrarlos.

En los últimos años, el ransomware ha registrado un notable incremento en México. A finales de 2023, el país se posicionó como el segundo en Latinoamérica en términos de detecciones únicas de este tipo de malware, representando el 25.8% de la distribución regional. Durante el primer trimestre de 2024, se constató que el ransomware continúa siendo un desafío considerable en México, afectando a una amplia gama de sectores, tanto públicos como privados.

En los últimos años, los ataques de ransomware han generado pérdidas económicas considerables en el país. Se ha registrado, por ejemplo, que en 2023 el costo promedio para recuperarse de un ataque de ransomware ascendió a 2.3 millones de dólares.

Según un estudio realizado por la unidad de investigación de SILIKN, México ocupa el puesto número 14 a nivel global como objetivo de ataques de ransomware. Los sectores más afectados por estos ataques son el gobierno y la industria. Además, el grupo cibercriminal más activo en el país en lo que respecta a ransomware ha sido LockBit 3.0, con un total de 28 ataques documentados.

Entre las estadísticas relevantes relacionadas con el ransomware, recopiladas en el año 2023, sobresalen los siguientes datos:

  • Un 88% de las organizaciones mexicanas experimentaron impactos por ransomware durante dicho año.
  • El 72% de estos ataques resultaron en el cifrado de datos.
  • Solo el 19% de las organizaciones afectadas lograron recuperar parte de sus datos cifrados.
  • Un 45% de las organizaciones optaron por pagar el rescate exigido.
  • Aquellas organizaciones mexicanas que pagaron el rescate lograron recuperar en promedio el 28% de sus datos.
  • La cifra promedio de gastos para recuperarse de un ataque de ransomware en México durante 2023 fue de 2.3 millones de dólares.
  • Un 98% de las organizaciones en México señalaron que los ataques de ransomware afectaron su capacidad operativa.
  • Un 96% de estas organizaciones reportaron pérdida de negocios, clientes o ingresos debido a los ataques de ransomware.
  • En promedio, las organizaciones mexicanas tardaron seis meses en recuperarse por completo de estos ataques.

En este escenario, ha surgido una nueva inquietud: ¿se está convirtiendo México en el laboratorio de pruebas para el ransomware del futuro? Según la unidad de investigación de SILIKN, los grupos delictivos especializados en ransomware están llevando a cabo pruebas en países en desarrollo como México antes de ejecutar sus ataques contra blancos en Estados Unidos, Europa o Asia. Esto se debe a que han identificado en México, y en la región de América Latina en general, una falta de conciencia sobre ciberseguridad, sistemas desactualizados sin parches de seguridad, tecnologías obsoletas y sin soporte del fabricante, así como diversas vulnerabilidades globales que no se han abordado de manera oportuna ni efectiva. Además, también observan una respuesta débil por parte de los usuarios frente a los ataques de phishing.

Otro aspecto importante a resaltar es que los países en desarrollo están siendo seleccionados como objetivos principales para estas pruebas debido a su rápida adopción de la digitalización y su infraestructura de seguridad relativamente más débil. Es por esto que grupos como LockBit 3.0, Trigona, 8Base, Rhysida, Medusa, Raworld, Akira y Noescape, entre otros, están utilizando estas regiones como terrenos de pruebas. Una vez que logran infiltrarse con éxito en empresas y gobiernos de América Latina, expanden sus operaciones hacia objetivos en países desarrollados.

Un caso ilustrativo de esto es el hallazgo de nuevas variantes del ransomware SEXi, que comprometió a principios de abril de 2024 a IxMetro Powerhost, un proveedor chileno de centros de datos y servicios de hosting, y se sospecha que también impactó a la empresa mexicana Coppel a mediados del mismo mes. Además, se estima que este avanzado malware no solo provocó una interrupción temporal en los servicios, sino que también eliminó datos financieros de una empresa tributaria en Colombia y de una agencia gubernamental en Argentina.

En lo que respecta a encontrar soluciones, la lucha contra el ransomware parece ser un desafío sin fin. Sin embargo, los criminales informáticos muestran cada vez más preocupación por las operaciones encubiertas llevadas a cabo por agencias de aplicación de la ley como el FBI, Interpol y Europol que han logrado recientemente desmantelar grupos delictivos notables como Blackcat o Hive. Estas acciones han dejado en claro que es posible arrestar a los ciberdelincuentes, lo que ha generado un temor entre ellos de ser capturados y perder sus ganancias ilícitas. Aunque este efecto aún es limitado, sirve como un factor disuasorio contra las actividades de ransomware.

Además de México, otros países de América Latina deben intensificar sus esfuerzos para mejorar sus medidas de ciberseguridad y así disminuir los efectos perjudiciales causados por los grupos de ciberdelincuentes. Esta tarea debe considerarse una prioridad, ya que de lo contrario, corren el riesgo de continuar siendo naciones constantemente vulnerables a ataques cibernéticos.

Para más información, visite: https://www.silikn.com/