Los pagos a ciberatacantes por ransomware disminuyeron 35% en 2024 con respecto al año anterior, de acuerdo con la plataforma de datos de blockchain Chainalysis, que asegura que las criptomonedas siguen desempeñando un papel central en la extorsión.
En total, de acuerdo con sus datos, se pagaron $813,550 millones de dólares (mdd), por debajo de los $1,250 mdd registrados en 2023, año que registró la cifra récord en lo que va de esta década, y solo por arriba de los $655,440 mdd de 2022.
A mediados del año pasado, Chainalisys reportaba un incremento en los pagos de 2.38% con respecto a la primera mitad de 2023, por lo que esperaba que el dato anual fuera mayor; sin embargo, esto no ocurrió.
Cabe señalar que a principios de 2024, el brazo de investigación de seguridad de Zscaler, Threat Labz, descubrió que una víctima del grupo Dark Angels pagó $75 millones de dólares, la cantidad más alta conocida públicamente.
La desaceleración del segundo trimestre, apuntó Chainalisys, es similar a la disminución semestral en los pagos de rescates que ocurre desde 2021 y a la baja general durante el segundo semestre de 2024 de algunos tipos de delitos relacionados con las criptomonedas, como el robo de fondos.
Menos pagos, mayor resiliencia
Según NCC Group, 2024 fue el año con el mayor volumen de incidentes de ransomware, con 5,263 ataques exitosos. La disminución de los pagos, a pesar de dicho aumento, se explica por varios factores clave, principalmente una mayor resistencia de las víctimas.
El informe de Chainalisys cita datos de la firma de respuesta a incidentes de ciberseguridad Kivu Consulting respecto a que solo alrededor de 30% de las negociaciones terminan en pagos o en que las víctimas deciden pagar los rescates.
Dado que la conciencia de los riesgos que sustentan las infracciones de ransomware ha aumentado en todas las industrias, las entidades invierten más en ciberseguridad, adoptan mejores prácticas e implementan medidas de protección más sólidas.
Además, no se puede confiar en las promesas de los actores de amenazas de eliminar los datos robados y, debido a la presión legal, cada vez más organizaciones se niegan a negociar. En cambio, prefieren absorber el impacto reputacional y recuperar sus datos/sistemas a partir de copias de seguridad.
“En respuesta, muchos atacantes cambiaron de táctica y surgieron nuevas cepas de ransomware a partir de códigos rebautizados, filtrados o comprados, lo que refleja un entorno de amenazas más adaptable y ágil”, detalla en su reporte.
Y añade que las operaciones de ransomware también se han vuelto más rápidas y las negociaciones suelen comenzar a las pocas horas de la exfiltración de datos.
Mayor miedo a ser descubiertos
De acuerdo con la plataforma de datos de blockchain, la baja también fue impulsada por el aumento de las acciones de las fuerzas del orden y la mejora de la colaboración internacional.
Las operaciones de aplicación de la ley dirigidas a las bandas de ransomware que tuvieron lugar el año pasado jugaron un papel clave. En particular, la acción “Operación Cronos” que desbarató al grupo de ransomware más notorio y prolífico en ese momento, LockBit.
Esto, combinado con la estafa de salida de ALPHV/BlackCat, dejó el espacio fragmentado, y las operaciones más pequeñas no lograron llenar el vacío a pesar del éxito relativo de RansomHub.
En definitiva, los datos de Chainalysis muestran que los importes medios de pago cayeron en 2024 a pesar del historial de Dark Angels, lo que indica que incluso cuando se realizaron los pagos, a menudo se negociaron a la baja.
Tampoco es fácil cobrar
Para el dinero que llega a los bolsillos de los actores del ransomware, las cosas se han complicado mucho más que en años anteriores, cuando los ciberdelincuentes tenían múltiples opciones de lavado.
Las medidas enérgicas de las fuerzas del orden contra los mezcladores y los intercambios de criptomonedas que no respetaban las leyes de conocimiento del cliente (KYC) también han presionado a los ciberdelincuentes del ransomware para que busquen en otra parte.
Chainalysis dice que los servicios de mezcla ahora se están abandonando en favor de puentes entre cadenas para ofuscar las transacciones y evadir el seguimiento.
Los intercambios centralizados siguieron siendo el principal método de cobro en 2024, y el 39% de todos los ingresos del ransomware pasaron a través de ellos.
Por último, Chainalysis dice que un número cada vez mayor de afiliados optan por mantener los ingresos del ransomware en billeteras personales y dudan en cobrar por miedo a ser rastreados y arrestados.
