[15/05/2025] Kaspersky presentó su informe anual sobre la evolución del panorama mundial y regional de las ciberamenazas de ransomware.
Según los datos de Kaspersky Security Network, las regiones de Oriente Medio, APAC y África lideran la cuota de usuarios atacados por ransomware, con América Latina, la CEI (Comunidad de Estados Independientes) y Europa a la zaga. "A nivel mundial, del 2023 al 2024 el porcentaje de usuarios afectados por ataques de ransomware aumentó hasta el 0,44%, un 0,02 p.p. El porcentaje aparentemente pequeño es típico del ransomware y se explica por el hecho de que los atacantes no suelen distribuir este tipo de malware a escala masiva, sino que priorizan objetivos de alto valor, lo que reduce el número total de incidentes”, sostuvo Dmitry Galov, jefe del Centro de Investigación para Rusia y la CEI en el GReAT de Kaspersky, en el comunicado de prensa.
Porcentaje de usuarios cuyas computadoras fueron atacadas por crypto-ransomware, por región. Datos de Kaspersky Security Network.
El ejecutivo anotó que, en las regiones de Oriente Medio y Asia-Pacífico, el ransomware afectó a una mayor proporción de usuarios debido a la rápida transformación digital, la ampliación de las superficies de ataque y los diferentes niveles de madurez de la ciberseguridad. "Las empresas de APAC fueron un objetivo importante, impulsado por los ataques a la infraestructura y la tecnología operativa, especialmente en países con economías en crecimiento y nuevas leyes de privacidad de datos”.
Galov comentó que el ransomware es menos frecuente en África debido a los bajos niveles de digitalización y las limitaciones económicas, que reducen el número de objetivos de alto valor. "Sin embargo, a medida que países como Sudáfrica y Nigeria amplían sus economías digitales, aumentan los ataques de ransomware, sobre todo en los sectores manufacturero, financiero y gubernamental. La conciencia y los recursos limitados en materia de ciberseguridad dejan a muchas organizaciones vulnerables, aunque la menor superficie de ataque significa que la región sigue estando por detrás de los puntos calientes mundiales”.
América Latina también sufre ataques de ransomware, especialmente en Brasil, Argentina, Chile y México, indicó el ejecutivo. "La industria manufacturera, la administración pública y la agricultura, así como sectores críticos como la energía y el comercio minorista, están en el punto de mira, pero las limitaciones económicas y los rescates más pequeños disuaden a algunos atacantes. A pesar de ello, la creciente adopción digital de la región está aumentando la exposición”.
Galov agregó que, en la Comunidad de Estados Independientes, la proporción de usuarios que sufren ataques de ransomware es menor. "Sin embargo, grupos hacktivistas como Head Mare, Twelve y otros activos en la región utilizan a menudo ransomware como LockBit 3.0 para infligir daños a las organizaciones objetivo. Los sectores manufacturero, gubernamental y minorista son los más atacados, y los distintos niveles de madurez de la ciberseguridad en la región afectan a la seguridad”.
En cuanto a Europa, el ejecutivo señaló que es objetivo constante del ransomware, pero se beneficia de marcos y normativas de ciberseguridad sólidos que disuaden a algunos atacantes. "Sectores como la industria manufacturera, la agricultura y la educación son objetivos frecuentes, pero la madurez de la respuesta a incidentes y la concienciación limitan la escala de los ataques. Las economías diversificadas y las sólidas defensas de la región la convierten en un punto menos focal para los grupos de ransomware que las regiones con un crecimiento digital rápido y menos seguro”.
Tendencias actuales y emergentes del ransomware
Según Galov, las herramientas de IA se utilizaron cada vez más en el desarrollo de ransomware, como demostró FunkSec, un grupo de ransomware que surgió a finales del 2024 y rápidamente ganó notoriedad al superar a grupos establecidos como Cl0p y RansomHub con múltiples víctimas reclamadas solo en diciembre. "FunkSec, que opera bajo un modelo de ransomware como servicio (RaaS), emplea tácticas de doble extorsión -combinando el cifrado de datos con la exfiltración- dirigidas a sectores como la administración pública, la tecnología, las finanzas y la educación en Europa y Asia. El grupo se distingue por su gran dependencia de herramientas asistidas por inteligencia artificial, ya que su ransomware incluye código generado por inteligencia artificial, con comentarios impecables, probablemente producidos por Large Language Models (LLM) para mejorar el desarrollo y eludir la detección. A diferencia de los típicos grupos de ransomware que exigen millones, FunkSec adopta un enfoque de gran volumen y bajo costo con peticiones de rescate inusualmente bajas, lo que pone aún más de relieve su innovador uso de la IA para agilizar las operaciones”.
El ejecutivo añadió que el modelo RaaS (Ransomware-as-a-Service) sigue siendo el marco predominante para los ataques de ransomware, alimentando su proliferación al reducir la barrera técnica para los ciberdelincuentes. En el 2024, plataformas RaaS como RansomHub prosperaron ofreciendo malware, soporte técnico y programas de afiliación que dividen el rescate. Este modelo permite a los actores menos cualificados ejecutar ataques sofisticados, contribuyendo a la aparición de múltiples grupos nuevos de ransomware solo en el 2024.
Galov señaló que, en el 2025, se espera que el ransomware evolucione aprovechando vulnerabilidades poco convencionales, como demuestra el uso de una cámara web por parte de la banda Akira para eludir los sistemas de detección y respuesta de endpoints e infiltrarse en redes internas. "Es probable que los atacantes se dirijan cada vez más a puntos de entrada pasados por alto, como dispositivos IoT, electrodomésticos inteligentes o hardware mal configurado en el lugar de trabajo, aprovechando la creciente superficie de ataque creada por los sistemas interconectados. A medida que las organizaciones fortalezcan las defensas tradicionales, los ciberdelincuentes refinarán sus tácticas, centrándose en el reconocimiento sigiloso y el movimiento lateral dentro de las redes para desplegar ransomware con mayor precisión, lo que dificultará a los defensores detectar y responder a tiempo”.
El ejecutivo finalizó comentando que la proliferación de LLM adaptados a la ciberdelincuencia amplificará aún más el alcance y el impacto del ransomware. "Los LLM comercializados en la web oscura reducen la barrera técnica para crear códigos maliciosos, campañas de phishing y ataques de ingeniería social, permitiendo incluso a los actores menos cualificados crear señuelos muy convincentes o automatizar el despliegue del ransomware. A medida que conceptos más innovadores como RPA (Robotic Process Automation) y LowCode, que proporcionan una interfaz intuitiva, visual y asistida por IA de arrastrar y soltar para el desarrollo rápido de software, son adoptados rápidamente por los desarrolladores de software, podemos esperar que los desarrolladores de ransomware utilicen estas herramientas para automatizar sus ataques, así como el desarrollo de nuevos códigos, haciendo que la amenaza del ransomware sea aún más prevalente”.
Franca Cavassa, CTOPerú