En un momento en el que la mera mención del “ransomware” evoca titulares y relatos negativos (organizaciones que acaban de ser víctimas, cuál ha sido el pago o cómo el ataque ha dejado paralizadas las operaciones), el último informe sobre criptodelincuencia de Chainalysis ofrece datos alentadores. El análisis de la empresa demuestra que en 2022 los ingresos totales por ransomware cayeron a su nivel más bajo en tres años. Aunque los atacantes hayan recibido al menos 456.8 millones de dólares, esto representa una enorme caída del 40.3% en comparación con sus ganancias de ransomware en 2021, que ascendieron a 765.6 millones de dólares.
La caída en los pagos no significa necesariamente que haya habido una disminución en los ataques. «La evidencia sugiere que la disminución de los ingresos de los atacantes se debe a la creciente falta de voluntad de las víctimas para pagar sus demandas de rescate en lugar de una caída en el número real de ataques. Esta reticencia puede atribuirse a varios factores, desde una mayor utilización de soluciones como copias de seguridad y recuperación que mitigan el impacto de los ataques, hasta el temor a incumplir las normativas gubernamentales que prohíben el pago de rescates a organizaciones potencialmente afiliadas a naciones y grupos sancionados«, afirma Kim Grauer, Director de Investigación de Chainalysis.
Los investigadores también han podido revelar las técnicas que utilizan los atacantes para blanquear sus ganancias ilícitas. El porcentaje de fondos por secuestro de datos destinados a las principales plataformas de criptomonedas creció del 39.3 % en 2021 al 48.3 % en 2022. Por otro lado, el porcentaje destinado a exchanges de alto riesgo descendió del 10.9% al 6.7%. El uso de servicios ilícitos como los mercados de la darknet para el lavado de dinero proveniente de ataques de ransomware también disminuyó, mientras que el uso de mixers – servicios que mezclan criptodivisas de muchos usuarios para ocultar los orígenes y propietarios de los fondos – aumentó del 11.6 % al 15.0%.
A pesar de la caída en el número de ataques y los ingresos, el número de cepas únicas de ransomware en funcionamiento supuestamente se disparó en 2022, con la investigación de la empresa de ciberseguridad Fortinet afirmando que más de 10.000 cepas únicas estaban activas en la primera mitad de 2022. Pero al mismo tiempo, la vida útil del ransomware siguió disminuyendo. En 2022, la cepa media de ransomware permaneció activa solo 70 días, frente a los 153 de 2021 y los 265 de 2020.
Grauer advierte de que las apariencias engañan: «La rotación constante entre las principales variedades de ransomware y la aparición de otras nuevas sugiere que el mundo del ransomware está saturado, con un gran número de organizaciones delictivas que compiten entre sí y nuevos participantes que aparecen constantemente en escena. Sin embargo, aunque hay muchas cepas activas a lo largo del año, el número real de individuos que componen el ecosistema del ransomware es probablemente bastante reducido.»
Esto se evidencia en los datos on-chain que revelan numerosos casos de monederos únicos que reciben grandes pagos relacionados con varias cepas de ransomware diferentes en momentos distintos. «Al rastrear los monederos asociados a atacantes conocidos, hemos podido trazar la evolución de la industria del ransomware. El gran solapamiento que hemos encontrado desafía la percepción actual de que se trata de una organización extremadamente grande. Por el contrario, vemos que el núcleo de actores maliciosos está en realidad muy concentrado. Y a pesar de los esfuerzos de estos atacantes, la transparencia de la cadena de bloques permite a los investigadores detectar sus intentos de cambio de marca prácticamente en cuanto se producen«, concluye Grauer.
