Hubo un tiempo en que las ciberamenazas estaban claramente definidas: por un lado, los ciberdelincuentes motivados por el afán de lucro, y por otro, los actores estatales centrados en campañas de ciberespionaje o ataques geopolíticos. Sin embargo, esta frontera tradicional se ha ido desdibujando en los últimos meses, dando lugar a una nueva era de ciberamenazas en la que el ransomware se convierte en un arma tanto para la monetización como para el encubrimiento de operaciones de espionaje.
Este panorama, destacado en el último Threat Report de ESET, subraya la creciente complejidad y los riesgos asociados para las organizaciones. Además, la compañía líder en ciberseguridad advierte que esto tiene implicaciones potencialmente importantes para los responsables de TI y seguridad, ya que no sólo aumenta el riesgo de ataque, sino que también cambia el cálculo sobre cómo mitigar ese riesgo.
Ciberataques estatales: los nuevos métodos
La evolución de las tácticas de ciberataque ha llevado a una creciente interacción entre la ciberdelincuencia y los intereses de varios gobiernos. Según ESET, desde incidentes históricos en 2017, como WannaCry a nivel mundial y NotPetya, centrado principalmente en Ucrania, hasta los recientes casos documentados, como los incidentes protagonizados por del grupo ruso Sandworm, los estados han adoptado cada vez más el ransomware como un arma versátil para “limpiar” datos.
Los ciberdelincuentes gubernamentales están utilizando deliberadamente el ransomware como una herramienta para ganar dinero para el estado. Países como Corea del Norte han utilizado grupos como Moonstone Sleet para desplegar FakePenny, un ransomware personalizado cuyo fin es robar información confidencial y generar ingresos ilícitos que financian actividades estatales. De hecho, se estima que, entre 2017 y 2023, este tipo de estrategias generó cerca de 3.000 millones de dólares en beneficios ilícitos.
Otro motivo de la implicación estatal en los ataques de ransomware es permitir que los hackers gubernamentales ganen algo de dinero con el pluriempleo. Grupos como Pioneer Kitten en Irán trabajan con actores delictivos como Ransomhouse y BlackCat, proporcionando accesos iniciales y participando en extorsiones a cambio de una parte de los pagos de rescate.
Los grupos APT vinculados a Estados también están utilizando el ransomware para encubrir la verdadera intención de los ataques. Esto es lo que se cree que ha hecho ChamelGang, alineado con China, en múltiples campañas dirigidas a organizaciones de infraestructuras críticas en Asia Oriental e India, así como en Estados Unidos, Rusia, Taiwán y Japón. Utilizar el ransomware CatB de esta forma no sólo sirve para encubrir estas operaciones de ciberespionaje, sino que también permite destruir las pruebas del robo de datos.
Este cambio de paradigma plantea nuevos retos para las organizaciones, ya que la atribución de los ataques es cada vez más compleja. Las tácticas, técnicas y procedimientos (TTP) empleados por estos grupos, a menudo similares a los de la ciberdelincuencia común, dificultan la detección temprana y la respuesta adecuada.
