Las importantes medidas enérgicas contra los delitos cibernéticos indican un cambio en las estrategias globales de ciberseguridad

Meses después de que la Agencia Nacional contra el Crimen (NCA) del Reino Unido lanzara una gran ofensiva contra el notorio grupo de ransomware LockBit, la banda de cibercriminales parece haber resurgidocontinuando perpetrando ataques. A pesar de los esfuerzos de aplicación de la ley, los grupos de ransomware como LockBit siguen siendo resistentes, lo que demuestra la evolución del desafío en la lucha contra el ciberdelito.

En febrero de 2024, la NCA, en coordinación con otros nueve países, lanzó Operación Cronosun golpe decisivo a BloquearBitun grupo que surgió alrededor de 2019. Este grupo de delitos cibernéticos se había ganado la infamia por su uso de ransomware, un tipo de software malicioso que bloquea los datos de las víctimas y exige un rescate por su liberación. Opera con un modelo de ransomware como servicio (RaaS), donde proporciona herramientas e infraestructura de ransomware a los afiliados que luego llevan a cabo los ataques. LockBit también era conocido por una táctica llamada «doble extorsión», que amenazaba no sólo con mantener los datos bloqueados sino también con filtrar información confidencial si no se pagaba el rescate. Operando a través de la web oscura, el grupo se construyó sobre la base del anonimato y el cifrado, lo que dificultaba el seguimiento de las autoridades.

Se estima que 8 mil millones de dólares en daños financieros

Desde su aparición, LockBit se ha convertido uno de los grupos de ransomware más activosdirigido a industrias como las finanzas, la atención médica y la infraestructura crítica. Con un estimado 20%-25% de participación del mercado de ransomware, los ataques de LockBit han causado miles de millones de dólares en daños globales. El impacto financiero del grupo, superando $8 mil millones Según algunas versiones, ha generado comparaciones con otros actores de ransomware notorios como REvil y DarkSide.

Pero la Operación Cronos cambió eso. La operación de la NCA se infiltró e interrumpió la infraestructura criminal de Lockbit, tomando el control de sus sistemas informáticos e incluso reutilizando su sitio de filtración en la web oscura, un sitio web de acceso público donde los grupos cibercriminales publican datos robados. La Operación Cronos marcó un nuevo y audaz enfoque para combatir el cibercrimen, demostrando a los delincuentes que los organismos encargados de hacer cumplir la ley estaban preparados para pasar a la ofensiva.

De Cronos al final del juego

En mayo de 2024, los organismos encargados de hacer cumplir la ley a nivel mundial lanzaron la Operación Endgame, un ataque coordinado destinado a desmantelar la infraestructura utilizada por múltiples grupos de delitos cibernéticos. Si bien sus objetivos eran similares a los de la Operación Cronos, que se centró en LockBit, Endgame tenía un alcance más amplio: apuntaba a las infraestructuras de malware utilizadas por varios grupos de ransomware y robo de datos, incluidos aquellos que probablemente colaboraron con LockBit.

Los ciberdelincuentes suelen utilizar el malware, un tipo de software diseñado para infiltrarse en dispositivos digitales, para robar información o tomar el control de los sistemas. Una forma particularmente peligrosa de malware crea redes de computadoras infectadas, conocidas como botnets, que pueden controlarse de forma remota sin el conocimiento de sus propietarios. Estas botnets se utilizan para una variedad de actividades delictivas, desde enviar spam y robar datos hasta lanzar ataques distribuidos de denegación de servicio (DDoS), abrumando un sistema con solicitudes falsas para que no pueda procesar las legítimas.

Operation Endgame desmanteló específicamente la infraestructura de «droppers» y «loaders», programas utilizados para instalar malware de forma sigilosa en los sistemas de las víctimas. La operación marcó otro paso significativo en la lucha global contra el cibercrimen, destacando la importancia de la colaboración internacional para acabar no sólo con los delincuentes individuales sino también con las herramientas y redes que los habilitan.

Los éxitos de Endgame fueron notables: interrumpió más de 100 servidores infectados y confiscó más de 2.000 nombres de dominio utilizados para alojar software malicioso, asestando un duro golpe a las redes de botnets que habían causado cientos de millones de dólares en daños en todo el mundo.

Las operaciones consecutivas, Cronos y Endgame, marcaron un cambio fundamental en las tácticas de ciberseguridad global, apuntando directamente al aumento del ciberdelito como servicio (CaaS). CaaS permite a cualquier persona, independientemente de sus habilidades técnicas, comprar o alquilar herramientas y servicios para llevar a cabo ciberataques. Este modelo ha reducido la barrera de entrada del ciberdelito, facilitando que individuos o grupos lancen ataques sofisticados. LockBit es un excelente ejemplo: el grupo proporciona la infraestructura mientras los afiliados ejecutan los ataques, los afiliados obtienen la mayor parte del rescate y LockBit reclama una parte por proporcionar las herramientas. Cronos y Endgame subrayaron la creciente colaboración entre los organismos encargados de hacer cumplir la ley en todo el mundo, lo que indica un frente unido contra la creciente amenaza del delito cibernético.

La amenaza persistente del ransomware

A pesar de estas victorias, el regreso de LockBit pone de relieve un desafío clave: los ciberdelincuentes se adaptan constantemente. El resurgimiento del grupo genera preocupaciones sobre si las organizaciones están adecuadamente preparadas para futuros ataques. Muchos todavía carecen de medidas esenciales de ciberseguridad, lo que los deja vulnerables a grupos de ransomware cada vez más sofisticados.

A medida que LockBit reafirma su influencia, nuevos grupos de ransomware también están ganando protagonismo. Los analistas han identificado al menos 10 actores emergentes de ransomware en 2024, incluidos Play Ransomware, RansomHub y Akira, todos los cuales han adoptado tácticas similares a las de LockBit. Play Ransomware ha sido una amenaza persistente y creciente, conocida por sus ataques a gran escala a municipios e infraestructuras críticas. En 2024, continuó cometiendo infracciones de alto perfil, incluido un ataque a proveedores del gobierno suizo. RansomHub ha ganado rápidamente prominencia en 2024, con su atractivo programa de afiliados que ofrece hasta una comisión del 90% a los atacantes. RansomHub se ha dirigido a más de 100 organizaciones en todo el mundo, centrándose especialmente en servicios empresariales y empresas más pequeñas que pueden ser más vulnerables. Akira ha ganado notoriedad por sus exitosos ataques de doble extorsión, centrándose en industrias como la atención médica, la educación y la tecnología.

Estos grupos, junto con otros como Medusa e IncRansom, son parte de un ecosistema dinámico de ransomware donde surgen nuevos grupos mientras los establecidos como LockBit luchan por mantener el dominio. A pesar de una breve caída en los incidentes de ransomware desde mediados de 2023 hasta 2024, hubo una Aumento del 20% entre el primer y segundo trimestre de 2024.

Se necesita más coordinación global

Las operaciones Cronos y Endgame marcan un punto de inflexión en la lucha contra el cibercrimen, cambiando el enfoque de las fuerzas del orden de atacar a piratas informáticos individuales a desmantelar la infraestructura que impulsa estos ataques. Estos esfuerzos mostraron un nuevo enfoque, que persigue los servidores, las redes y las herramientas de las que dependen los grupos de ransomware y malware en lugar de simplemente perseguir a delincuentes de alto perfil.

Las operaciones también pusieron de relieve niveles sin precedentes de cooperación internacional, con agencias como Europol, el FBI y la Interpol trabajando juntas para realizar derribos globales en múltiples jurisdicciones, una hazaña que anteriormente se había visto obstaculizada por desafíos legales y políticos. Este trabajo en equipo transfronterizo permitió ataques simultáneos a las redes de cibercrimen, golpeándolas donde más les duele: su columna vertebral operativa.

Las operaciones también pusieron de relieve hasta dónde ha llegado la aplicación de la ley. para comprender las vulnerabilidades técnicas de infraestructura para el cibercrimen. En lugar de esperar a que se produjeran los ataques, las agencias explotaron las fallas en los sistemas de los ciberdelincuentes, asestando golpes decisivos que paralizaron su capacidad de operar.

Estas operaciones señalan un impulso global para combatir el delito cibernético y el creciente poder de las fuerzas del orden internacionales trabajando juntas. Pero el rápido regreso de LockBit es un claro recordatorio de que la lucha está lejos de terminar. A medida que las ciberamenazas se vuelven más sofisticadas, también deben hacerlo las tácticas para detenerlas. Si bien Cronos y Endgame fueron victorias clave, también enfatizan la necesidad de una coordinación aún mayor a nivel global. Un esfuerzo reciente es el El primer tratado de la ONU encaminado a crear leyes y protocolos universales para las investigaciones. Más allá de las medidas legales, la verdadera batalla es técnica: los gobiernos, las empresas tecnológicas y los grupos civiles deben trabajar juntos no sólo para hackear a los hackers sino que también ralentizará su capacidad de reconstrucción.

Las fuerzas del orden también están recurriendo a operaciones psicológicas (psyops) para desbaratar el cibercrimen. Al apoderarse de foros de la web oscura y sitios de fuga de ransomware, está socavando la credibilidad de los delincuentes y creando paranoia dentro de estas redes. Criptomoneda, la columna vertebral de los pagos de ransomware, es otro enfoque. Las autoridades congelan cada vez más cuentas vinculadas a ciberdelincuentes, cortándoles sus medios de vida financieros.

El mensaje es claro: las fuerzas del orden deben adelantarse a las amenazas que evolucionan rápidamente y las organizaciones deben reforzar sus defensas. La batalla contra el cibercrimen está en curso y para ganar será necesaria una vigilancia incesante y estrategias inteligentes y coordinadas.

Este artículo se republica desde La conversación bajo una licencia Creative Commons. Lea el artículo original.