Los piratas informáticos han adoptado la estrategia de infiltrarse en sistemas informáticos en países del Sur Global como método de prueba antes de pasar a objetivos con mayor potencial económico en América del Norte y Europa, según apuntan varios informes de ciberseguridad. Entre los objetivos recientemente identificados en este tipo de tentativas de ransomware se incluyen un banco senegalés, una empresa de servicios financieros en Chile, una filial tributaria en Colombia y una agencia económica gubernamental en Argentina, que fueron atacadas por distintos grupos de hackers.
Los países en desarrollo, blancos fáciles para los cibercriminales
El aumento de los ciberataques a nivel mundial
Todo ello emerge en un contexto global en el que los ciberataques han experimentado un importante repunte en los últimos años, en particular desde de la pandemia de COVID-19, exacerbados en los países emergentes por un periodo de rápida digitalización de la información, mejores redes y acceso a Internet, pero una protección aún inadecuada.
Las pérdidas estimadas por ataques informáticos a empresas de todo el mundo desde 2020 han aumentado hasta alcanzar casi 28.000 millones de dólares, con miles de millones de datos robados o comprometidos. Según recoge un reciente artículo del Wall Street Journal, afirma no obstante que el coste real en todo el mundo probablemente sea “sustancialmente más alto”.
Quizá te interese: Los ciberdelincuentes apuntan a Latinoamérica con un nuevo ataque de phishing
Tácticas de preparación de los hackers
Casos de estudio: el grupo Medusa
Los expertos en ciberseguridad coinciden en señalar que esta táctica del terreno de preparación es útil para los criminales porque las empresas en esos países tienen menos experiencia en materia de ciberseguridad. Uno de los ejemplos ha sido Medusa, un grupo de cibercriminales que “convierte los archivos en piedra” con ataques de ransomware (en referencia al personaje de la mitología griega).
En este caso Medusa roba y cifra los datos de empresas, a las que después exige elevados rescates. Comenzó con ataques a empresas en 2023 en Sudáfrica, Senegal y Tonga, según un informe de ciberseguridad, y se cree que es el responsable de 99 infracciones en Estados Unidos, Reino Unido, Canadá, Italia y Francia el año pasado.
Riesgos y vulnerabilidades
En principio, los equipos de seguridad de una empresa deben ser capaces de detectar y prevenir un ataque de este tipo. Pero el mayor riesgo viene de usuarios individuales, que es más probable que puedan ser manipulados para instalar malware en sus equipos.
Por ejemplo, en varios de los ataques, un mensaje en el archivo adjunto !!!READ_ME_MEDUSA!!!.txt., indicaba al usuario que debía iniciar sesión en la web oscura y abrir una negociación de rescate de archivos con el “servicio al cliente” del grupo. Si las víctimas se negaban, los cibercriminales publicaban datos sensibles.
En la misma línea, cuando otro grupo de hackers comenzó este año a explotar una nueva vulnerabilidad, denominada CVE-2024-29201, se dirigieron específicamente a unos pocos servidores expuestos en países emergentes para probar la eficacia del ataque.
Ransomware como servicio (RaaS)
Las empresas de ciberseguiridad monitorizan regularmente la dark web en busca de novedades en los métodos de los criminales y luego crean “honeypots”. Es decir, sitios web falsos que imitan objetivos atractivos para detectar los ciberataques experimentales en una etapa temprana.
En el caso de los citados ataques recientes, los ataques a los honeypots situados en distintos países confirmaron que los hackers se centraron en atacar el sudeste asiático, antes de utilizar las técnicas en una fase posterior más amplia.
Perspectivas sobre la cibercriminalidad en países en desarrollo
No obstante, Sherrod DeGrippo, directora de estrategia de inteligencia de amenazas de Microsoft, afirmó al Wall Street Journal que, en algunos casos, los cibercriminales siguen siendo demasiado “oportunistas” para probar nuevos ataques de forma tan metódica.
Así, otra tendencia observada en naciones en desarrollo es un aumento general de la actividad criminal. Ya que los hackers locales compran ransomware de otros grupos y organizan sus propios ataques. Bandas como Medusa habían empezado a vender sus estrategias a hackers menos sofisticados.
De manera general, los expertos señalan que la velocidad de la adopción digital en África está superando el desarrollo de medidas sólidas de ciberseguridad y la concienciación sobre las ciberamenazas. Todo ello, combinado, crea una preocupante brecha cada vez mayor en las defensas que aprovechan los ciberdelincuentes.