En noviembre de 2021, el Departamento del Tesoro de Estados Unidos anunció una alianza con Israel para combatir el ransomware. A medida que los autores de estos ataques crean organizaciones globales cada vez más coordinadas, resulta alentador ver que sus defensores también colaboran más allá de las fronteras. El volumen de ataques de ransomware, especialmente contra infraestructuras críticas, ha aumentado la atención de los gobiernos y la supervisión del sector. Aunque las acciones coordinadas de las fuerzas del orden han frenado a las bandas de ransomware a corto plazo, no hay motivos para creer que el ransomware vaya a desaparecer a corto plazo.
El ransomware se ha convertido en una de las mayores amenazas para la ciberseguridad en los últimos años. Según el Grupo de Trabajo sobre Ransomware, en 2020 se produjeron al menos 2.400 ataques de ransomware y las víctimas pagaron 350 millones de dólares, lo que supone un aumento del 311 % con respecto al año anterior. Será interesante ver cómo varían estas estadísticas cuando llegue el final de 2021, teniendo en cuenta la cantidad de ataques de ransomware de gran repercusión que se han producido durante el último año.
Por ejemplo, el ataque de ransomware contra Colonial Pipeline fue, sin duda, el más sonado del año pasado, ya que provocó una interrupción del servicio de una semana de duración para la empresa energética, además de un rescate de casi 5 millones de dólares. El ataque fue perpetrado por DarkSide, una banda de ransomware que afirmó: «Somos apolíticos, no participamos en la geopolítica, no es necesario vincularnos con ningún gobierno concreto ni buscar nuestros motivos».
Las bandas de ransomware, como DarkSide, han evolucionado en los últimos años para organizar mejor sus operaciones y dirigir sus ataques de forma más selectiva (lo que se conoce como «caza mayor», con el fin de obtener mayores ganancias económicas). En la dark web existe un próspero submundo delictivo formado por socios vagamente afiliados entre sí, cada uno con sus propias funciones y responsabilidades.
Los intermediarios de acceso inicial se especializan en robar credenciales de acceso, que luego venden a otros delincuentes. Una vez que la víctima ha sido comprometida, muchas bandas de ransomware ofrecen un equipo de asistencia que negocia el rescate o proporciona instrucciones sobre cómo realizar el pago. El «ransomware como servicio» (RaaS) ha convertido los ataques de ransomware en un producto de consumo para los delincuentes que carecen de conocimientos técnicos más avanzados, un espejo oscuro de las soluciones de ciberseguridad destinadas a detenerlos. La cuestión es que los atacantes de ransomware operan como organizaciones internacionales que colaboran con delincuentes de todo el mundo.
Una respuesta internacional
Tras el ataque a Colonial Pipeline, la Administración Biden promulgó un decreto ejecutivo sobre la mejora de la ciberseguridad nacional, en el que se instaba al sector privado a colaborar con el Gobierno federal para fomentar una mayor ciberseguridad. Un mes después, en junio de 2021, el Departamento de Justicia recuperó 2,3 millones de dólares de DarkSide tras rastrear sus pagos. DarkSide sucumbió a la presión y anunció que cesaría sus operaciones, lo que llevó a muchos investigadores de seguridad a creer que se había producido un desmantelamiento coordinado de su infraestructura.
El decreto del presidente Biden sentó las bases para una serie de anuncios sobre ciberseguridad en 2021, entre los que se incluyen un memorándum de seguridad nacional sobre la mejora de la ciberseguridad de los sistemas de control de infraestructuras críticas, así como el desarrollo de un modelo de madurez de «cero confianza». El Gobierno insta a una mayor colaboración, pero, según un alto funcionario de la Casa Blanca, «lo que queremos dejar claro es que el Gobierno federal no puede hacerlo solo. Asegurar nuestras infraestructuras críticas requiere un esfuerzo de toda la nación, y la industria tiene que poner de su parte».
Además de las alianzas público-privadas, el Gobierno también está colaborando con sus países aliados. La alianza recientemente anunciada entre el Departamento del Tesoro de Estados Unidos e Israel para combatir el ransomware beneficiará a ambos países, dado que el ransomware y los ciberataques no conocen fronteras.
Algunas de las soluciones de ciberseguridad más avanzadas de la comunidad internacional están presentes tanto en Israel como en Estados Unidos. Una de las razones por las que Israel desarrolla tantas soluciones de ciberseguridad es que el servicio militar es obligatorio para todos sus ciudadanos; las metodologías de ciberseguridad ofensivas y defensivas de las Fuerzas de Defensa de Israel han dado lugar a la creación de numerosas tecnologías innovadoras. Por lo tanto, esta nueva colaboración debería permitir un intercambio bilateral de buenas prácticas y tecnologías de vanguardia.
Además, la Dirección Nacional de Ciberseguridad de Israel ha presentado recientemente una doctrina de ciberdefensa renovada. Esta doctrina se basa en un marco de seguridad común (CSF) del Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos. Esto significa que el momento en que se ha establecido la colaboración entre Estados Unidos e Israel es ideal para facilitar el intercambio de información, basándose en los controles de ciberseguridad actualizados de Israel, que incluyen recomendaciones específicas para combatir el ransomware.
Dado que los ataques de ransomware son cada vez más frecuentes y han llegado a afectar a infraestructuras críticas, este grupo de trabajo conjunto tiene el cometido de prevenir dichos ataques antes de que se produzcan daños irreversibles. Tras el reciente éxito en la desactivación, al menos temporal, de REvil, BlackMatter y DarkSide, cabe esperar que estos grupos regresen con más fuerza que nunca y que surjan otros nuevos para ocupar el vacío que dejan, entre ellos potentes actores maliciosos respaldados por Estados.
Teniendo en cuenta el carácter estatal de los ataques de ransomware, este grupo de trabajo conjunto también tiene el potencial de cortar la financiación de organizaciones terroristas internacionales y otras entidades hostiles. Ya existen numerosos programas internacionales de intercambio de información, por lo que este nuevo grupo de trabajo representa una oportunidad para que los defensores «se adelanten» cortando el ransomware como fuente de financiación del terrorismo y otros regímenes opresivos.
En materia de ciberseguridad, no existe una «solución milagrosa» capaz de proteger a las organizaciones, por lo que la colaboración es tan importante. Fomentar la colaboración entre la industria y los gobiernos de todo el mundo permite generar mayores sinergias, de modo que estas organizaciones dispongan de las mejores medidas de protección para sus operaciones. A medida que los autores de ataques de ransomware siguen perfeccionando sus tácticas, es imprescindible que los sectores críticos también mejoren sus medidas de protección. A medida que los autores de ataques de ransomware siguen perfeccionando sus tácticas, los sectores críticos deben mejorar también sus medidas de protección.
