El año 2023 tuvo menos espectacularidad que años anteriores en términos de amenaza informática. Sin embargo, esto no significa que haya sido un año seguro. La presencia del ransomware o secuestro de datos se volvió casi endémica. A nivel global, en 2023 se observó un aumento de 43,74% en brechas de seguridad con respecto a 2022. Esto se debió principalmente al avance del ransomware del 71% en 2023. Por otro lado, los secuestros de datos representaron el 73% de las brechas de seguridad informática el último año.
Sudamérica se ubicó como la cuarta región del mundo con mayor actividad cibercriminal, por detrás de Norteamérica, Europa y Asia, y por delante de Oceanía y África. Todos estos datos surgen del reporte Think Ahead Report 2024*, elaborado por NeoSecure by SEK, empresa del Grupo SEK, especializada en soluciones y servicios de ciberseguridad.
El reporte analizó más de 1.535.000 de alertas y aporta cifras regionales que incluyen los países donde opera la compañía: Argentina, Brasil, Chile, Colombia y Perú.
Proliferación de actores
A nivel global, durante 2023, los actores de amenazas relacionados con ransomware se incrementaron más del 200%. Esta diversidad se manifestó en una variedad de técnicas más amplia, lo que torna más compleja la acción de protección. Se estima que la desarticulación de grupos de cibercrimen generó una proliferación de emprendimientos por parte de aquellos miembros que no pudieron ser capturados.
En Sudamérica, el incremento de los actores de amenazas asociados a ransomware que han atacado supera en más del doble al aumento global, alcanzando el 443%. En la región, se observa la presencia de numerosos actores globales que operan en diversos países, con diferente nivel de actividad y foco, dependiendo de sus propias capacidades.
Principales industrias y países afectados
La actividad asociada al ransomware ha impactado a un conjunto heterogéneo de organizaciones en diversas industrias como energía y comercio electrónico, y especialmente a la cadena de suministros, sobre todo a proveedores de telecomunicaciones y servicios de datacenters.
A nivel regional, los países que registraron mayor número de brechas por ransomware en 2023 fueron Brasil (87), Argentina (27), Colombia (18), Chile (14) y Perú (10). No es una sorpresa que la mayoría de las brechas se presenten en los países de mayor tamaño o desarrollo dentro de la región, puesto que allí operan redes de agentes que conocen bien el medio y están dispuestos a buscar nuevas ofertas de RaaS (Ransomware As A Software) con mejores condiciones comerciales y mayor posibilidad de éxito.
“El modelo de negocios de ransomware ha demostrado ser enormemente efectivo para el mundo del cibercrimen y observamos que viene manteniendo su crecimiento durante 2024. Posiblemente veremos crecer los casos de doble y triple extorsión (cifrado de datos, exposición de datos, denegación de servicio) con técnicas más sofisticadas para aumentar el costo de la víctima”, señaló Fernando Fuentes, Portfolio Manager en NeoSecure by SEK.
“También veremos cómo aumenta en este tipo de ataques el uso de deepfakes y de IA para generación de código y eventualmente la ejecución de parte de las acciones. Estas tendencias explican por qué la disciplina de ciberseguridad experimenta una relevancia cada vez mayor, alineada con el negocio y manifestada en el crecimiento de los presupuestos y la vitalidad del entorno de inversión de riesgo”, añadió.
Principales actores de amenaza en Latinoamérica
En general, la motivación principal de los actores en la región es de carácter monetario. LockBit es el actor con mayor presencia a nivel mundial y regional, y la principal amenaza especialmente en Argentina, Brasil, Colombia, Chile, México y Perú. En Latinoamérica se observan, además, otros actores destacados. A continuación, las características de cada uno:
LockBit (aka ABCD y EvilCorp)
Su objetivo es lograr detener los procesos productivos y la doble extorsión. Su motivación subyacente es monetaria, por lo que sus ataques son dirigidos a todo tipo de industria, aunque sus principales víctimas son empresas del rubro manufactura, energía, utilities e infraestructura crítica. Utiliza StealBit para reunir y exfiltrar datos.
8Base
Es el segundo actor malicioso con mayor presencia en Latinoamérica. Sus principales víctimas se encuentran en EE. UU. y Brasil, especialmente empresas del rubro transporte, químicas, industrias metalúrgicas y utilities. Utiliza phishing o credenciales comprometidas para ingresar en las redes corporativas de sus víctimas, a través de SystemBC para reunir y exfiltrar datos.
BlackCat (aka Alpha, AlphaVM y Zirconium)
Opera como Ransomware as a Service (Raas). Sus principales víctimas son el sector servicios legales, servicios IT y salud, también empresas que manejan altos volúmenes de información de identificación personal, y en especial las empresas del rubro energía, utilities e industria pesada. Obtiene acceso inicial a través de credenciales o phishing, utilizando ExMatter para reunir y exfiltrar datos.
En el recorte por países también aparecen otros actores con menor incidencia, como por ejemplo Medusa, Qilin, Akira, LostTrust Team y DragonForce en Argentina; Stormus, Knight, Ransomed, Medusa, Akira, Rhysida, Mallox y Black Basta en Brasil; Medusa en Chile; CLOP, Medusa y NoEscape en Colombia, y CLOP, NoEscape, Royal, BlackByte y PLAY en México.
Focos de ataque en Argentina y líneas de acción
“La percepción de que el sector financiero, el de salud y el gobierno pueden pagar grandes sumas de dinero como rescate los convierte en objetivos tentadores para los ataques de ransomware en Argentina. Además del secuestro de información, el robo de datos con fines económicos es una preocupación adicional, porque se pueden vender o utilizar para obtener beneficios económicos posteriores, lo que agrava el impacto del ataque”, describió Ariel Gallippi, Country Manager en NeoSecure by SEK Argentina.
“La mejor forma de minimizar los riesgos es implementar medidas proactivas para protegerse. Esto incluye programas de educación y concientización sobre seguridad cibernética para los empleados, actualizaciones periódicas de sistemas y software, y la adopción de soluciones de seguridad de nueva generación”, sumó el ingeniero Gallippi, que explica que la práctica de planes de respuesta a los incidentes y los programas de evaluación de la superficie de ataque son pilares para una defensa efectiva contra el ransomware.
“Esto resalta la necesidad imperiosa de reforzar las medidas de seguridad cibernética en los sectores críticos, así como en toda la infraestructura digital del país, para proteger los activos y la confidencialidad de la información frente a las amenazas cibernéticas en evolución constante”, concluyó el referente local de NeoSecure by SEK.