Ransomware como Servicio es un modelo de negocio altamente rentable para el cibercrimen. Blog de Incode

Ransomware como Servicio. ¿Qué es y por qué es una amenaza?

Seguramente has oído hablar de SaaS (Software como Servicio). Adobe Creative Cloud, Microsoft Office 365 y Netflix son ejemplos de proveedores de SaaS. Incode también ofrece servicios Saas.

Los días en los que había que ir a una tienda de informática para comprar software físico, instalarlo y gestionarlo en un dispositivo han quedado atrás. Los proveedores de SaaS entregan aplicaciones de software a los usuarios a través de Internet, generalmente bajo un modelo de suscripción. El proveedor de SaaS aloja el software en sus propios servidores y se encarga completamente del mantenimiento, las actualizaciones y la seguridad.

Desde 1999 —considerado el año de nacimiento del SaaS, cuando el número de usuarios de Internet en todo el mundo alcanzó los 150 millones—, la industria del SaaS ha crecido enormemente, revolucionando la forma en que operan las empresas a nivel global.

Eso es un resumen de SaaS. Ahora, hablemos de RaaS.

¿Qué es RaaS?

RaaS significa Ransomware como Servicio. Es un modelo de negocio del cibercrimen en el que los atacantes ofrecen herramientas de ransomware, infraestructura y soporte a otros delincuentes —conocidos como afiliados—, a menudo a cambio de una parte de los pagos del rescate. Para los proveedores de RaaS, este es un modelo altamente rentable.

¿Por qué el RaaS es peligroso?

Incluso los criminales con habilidades técnicas limitadas pueden convertirse en afiliados y lanzar ataques sofisticados gracias a la facilidad de acceso a las herramientas de ransomware. Esto ha provocado un aumento significativo en los ataques, convirtiendo al ransomware en una amenaza aún mayor.

LockBit se ha convertido en una de las operaciones de RaaS más prevalentes en los últimos años. Incode Blog
LockBit se ha convertido en una de las operaciones de RaaS más prevalentes en los últimos años.

La operación de RaaS más notoria de los últimos años

LockBit es una operación de Ransomware como Servicio (RaaS) que ha estado activa desde aproximadamente 2019. Su alto grado de automatización y sofisticación, combinado con su facilidad de uso para los afiliados, la ha convertido en una de las operaciones de RaaS más prevalentes en los últimos años.

Los afiliados que usan LockBit han atacado organizaciones en diversos sectores de infraestructura crítica, incluidos salud, manufactura, finanzas y gobierno. Entre enero de 2020 y mayo de 2023, LockBit fue utilizado en aproximadamente 1,700 ataques de ransomware en los Estados Unidos, y los hackers recibieron $91 millones en pagos de rescate.

Los peligros del ransomware de doble extorsión

LockBit utiliza la doble extorsión, una táctica en la que el atacante no solo cifra los datos de la víctima, sino que también los roba. Luego, exigen un pago de rescate tanto para obtener la clave de descifrado como para garantizar que los datos robados no se hagan públicos.

La velocidad y eficiencia de LockBit en cifrar datos con poca intervención manual lo hacen especialmente peligroso para las empresas, causando interrupciones significativas y daños financieros. Cuenta con un “Leak Site” donde publica los datos robados para presionar a las víctimas a pagar.

La filtración de datos de T-Mobile

En agosto de 2021, T-Mobile fue atacado por hackers asociados con LockBit. Se informó que los ciberdelincuentes accedieron a una gran base de datos que contenía información de clientes, como nombres, números de teléfono e incluso números de seguro social en algunos casos.

La filtración fue significativa dado que T-Mobile brinda servicios a millones de personas, lo que aumenta la escala y el potencial de daño en comparación con un ataque a una organización más pequeña.

Incode protege contra ataques de ransomware asegurando el acceso a redes y datos. Incode Blog
Incode protege contra ataques de ransomware asegurando el acceso a redes y datos.

Cómo proteger tu organización contra ataques de ransomware

El primer consejo es realizar copias de seguridad periódicas de tus archivos más importantes. Mantener respaldos actualizados es la forma más efectiva de recuperarse de un ataque de ransomware.

Para reducir la probabilidad de que contenido malicioso llegue a tus dispositivos, el National Cyber Security Centre (NCSC) del Reino Unido, que actúa como un puente entre la industria y el gobierno, recomienda una combinación de:

  • Filtrar para permitir solo los tipos de archivos que esperas recibir
  • Bloquear sitios web conocidos por ser maliciosos
  • Inspeccionar activamente el contenido
  • Usar firmas para bloquear código malicioso identificado

También destacan la importancia de la verificación de identidad multifactor (MFA), recomendando que las organizaciones “habiliten MFA en todos los puntos de acceso remoto a la red y apliquen listas de permitidos de IP mediante firewalls de hardware.” Además, indican que el uso de MFA evita que, en caso de que un malware robe credenciales, estas puedan reutilizarse fácilmente.

Cómo Incode fortalece la MFA

Incode refuerza la verificación de identidad multifactor con avanzadas comprobaciones biométricas para autenticar que el usuario es, de hecho, quien dice ser.

  • La tecnología de Reconocimiento Facial de Incode aprovecha avanzados modelos de machine learning, entrenados con datos diversos y globales, para comparar selfies con fotos de identificación o imágenes previamente capturadas en la base de datos, ofreciendo una tasa de falsos positivos menor al 0.01%.
  • Nuestra tecnología de detección de liveness analiza microexpresiones, iluminación y patrones de movimiento, capturando señales sutiles que distinguen a usuarios legítimos de deepfakes sofisticados.
  • Nuestra tecnología de Verificación de Identidad emplea machine learning para procesar más de 4,900 documentos de identidad globales, detectando tanto identificaciones físicas falsas como falsificaciones generadas por IA.

Lee el artículo de Ricardo Amper, CEO de Incode, en TechCrunch sobre la era del Fraude como Servicio (FaaS).