Cómo entender la evolución de los grupos cibercriminales puede mejorar las estrategias de ciberseguridad

Hace algunos años, los ciberatacantes actuaban principalmente en solitario, buscando reconocimiento en la comunidad y llevando a cabo acciones relativamente inofensivas. Hoy en día, el panorama ha cambiado drásticamente: los actores de amenazas operan dentro de organizaciones bien estructuradas que generan millones de dólares al año, ya sea atacando directamente a las organizaciones u ofreciendo sus servicios a adversarios menos capacitados.

Esta evolución hacia un cibercrimen motivado por el lucro ha llevado a una notable transformación en la dinámica de los grupos de atacantes, que ahora son mucho más grandes, organizados y eficientes. Comprender cómo funcionan estas organizaciones cibercriminales es esencial para los equipos de seguridad, ya que permite anticipar sus tácticas y mejorar la protección de las organizaciones frente a estas amenazas cada vez más sofisticadas.

En este sentido, el cibercrimen ha sido impulsado por diferentes factores, como:

• Una superficie de ataque digital más extensa: Los grupos de hackers ahora cuentan con múltiples métodos para comprometer a una empresa. Pueden dirigirse a los empleados mediante técnicas de ingeniería social o phishing, atacar a proveedores externos más vulnerables, o aprovechar credenciales filtradas para acceder a sistemas.

• La aparición de mercados en la dark web: La evolución de estos mercados ha convertido los ciberataques en productos comercializables, poniendo un valor tangible a los datos filtrados y aumentando el incentivo para llevar a cabo ataques que resulten en violaciones de seguridad.
• Las violaciones de datos: Los datos robados pueden ser comprados o sustraídos nuevamente y reutilizados para atacar a otras organizaciones que presentan brechas de seguridad o cuyos empleados reutilizan contraseñas.
• Plataformas de comunicación privadas: Los cibercriminales se están beneficiando del anonimato como nunca antes. La proliferación de plataformas de comunicación cifrada como WhatsApp, Signal y Telegram ha facilitado su actividad, ya que el contenido de sus comunicaciones está protegido, permitiendo a los grupos coordinar ataques, violaciones de seguridad y estrategias.
• Criptomonedas: Las criptomonedas han facilitado la ocultación de rastros, la ejecución de ataques de ransomware y las transacciones en la dark web. Además, se ha descubierto que se utilizan para el lavado de dinero a través de intercambios de criptomonedas.
• Pagos cada vez más elevados: El cibercrimen se ha convertido en una industria de $28,418 millones de pesos mexicanos anuales, y cada ataque exitoso incentiva aún más a los actores de amenazas con fines de lucro. Esto es especialmente evidente en los ataques de ransomware, donde los pagos y la frecuencia de estos han aumentado significativamente. Recientemente, en agosto de 2024, se dio a conocer que a principios de 2024 una empresa de la lista Fortune 50 pagó un rescate récord de 75 millones de dólares a la banda de ransomware Dark Angels.

Como lo mencionamos, hoy en día, las organizaciones cibercriminales se asemejan mucho a las empresas legítimas, en gran parte debido a la drástica expansión de su alcance operativo. Los grupos cibercriminales más grandes ofrecen sus servicios a otras organizaciones, Estados-nación y diversos adversarios.

Al igual que las empresas modernas, las organizaciones de cibercrimen varían considerablemente en tamaño y escala y, por lo general, muestran la siguiente disposición:

• Independientes: Estos pueden ser individuos o pequeños grupos que realizan ataques de bajo nivel o con poca sofisticación. Debido a que las fuerzas de seguridad son menos propensas a perseguir a estos criminales menores, pueden cometer algunos ataques al año y aún así obtener una cantidad considerable de dinero.
• Pequeños y medianos: Son los grupos más comunes en el mercado del cibercrimen, que se dedican a vender sus servicios a otros atacantes. Los grupos más grandes dentro de esta categoría tienden a estar mejor organizados y suelen emplear personal a tiempo completo o parcial para manejar solicitudes de soporte, atender a clientes y procesar pedidos de servicios.
• Grandes: Al igual que las grandes empresas legítimas, algunas organizaciones de cibercrimen operan a gran escala. Ejemplos conocidos como LockBit encajan en esta categoría. Estos grupos, que pueden contar con más de 50 empleados, están divididos en departamentos, tienen salarios y hasta están sujetos a evaluaciones de desempeño.

En México, varios grupos de ciberatacantes nacionales han logrado comprometer empresas y entidades gubernamentales. Ejemplos notables incluyen a Manipulated Caiman, que ha atacado a 4,000 usuarios de la banca del país; Neo_Net, responsables de delitos electrónicos dirigidos a importantes bancos en México, España y Chile. Otros grupos destacados son Bandidos Revolution Team, conocidos por robar millones de bancos nacionales, y Mexican Mafia, un grupo multidisciplinario originario de tierras mexicanas. Estos cibercriminales generan ingresos mediante la venta de kits para explotar vulnerabilidades, comercialización de datos robados, distribución de malware y ransomware, venta de acceso a organizaciones comprometidas y oferta de servicios como ciberatacantes.

Es importante señalar que el mundo del cibercrimen ha diversificado sus tácticas y servicios más allá del ransomware. Entre los elementos clave se encuentran las mulas de dinero, que mueven fondos robados para facilitar el lavado de dinero; los servicios de spam y phishing, que proporcionan herramientas para campañas masivas de fraude y robo de información; los proxies de alquiler permiten a los cibercriminales ocultar su origen y lanzar ataques como DDoS, mientras que los operadores de criptomonedas facilitan transacciones anónimas para actividades ilícitas. Los servicios de alojamiento en la dark web brindan anonimato para sitios ilegales y servidores de malware, y los servicios de depósito en garantía aseguran transacciones en mercados clandestinos. Además, los grupos de amenazas persistentes avanzadas (APT) y entidades patrocinadas por Estados-nación enmascaran sus métodos de espionaje, complicando la atribución y subrayando la necesidad de medidas de ciberseguridad sofisticadas.

Investigaciones recientes han revelado patrones alarmantes en los grupos de ciberdelincuencia, mostrando una coordinación avanzada y una adaptabilidad notable a los cambios. Entre estos patrones se incluyen las granjas de estafadores, que secuestran y explotan a personas en fábricas de estafas digitales; el intercambio de información entre ciberdelincuentes para evitar detección, similar a cómo se comparte información en ciberseguridad, y el uso de inteligencia artificial para mejorar la eficiencia de los estafadores, elevando su sofisticación y aumentando la amenaza en el panorama del cibercrimen.

No hay una solución única para proteger a las organizaciones de estos grupos bien organizados. Sin embargo, al entender su funcionamiento, motivaciones y métodos de ataque, se pueden tomar decisiones más informadas al desarrollar una estrategia integral de resiliencia cibernética.

En general, estos ciberdelincuentes siguen buscando aprovechar las oportunidades más sencillas y atacar a organizaciones con debilidades en su seguridad. Al comprender estas dinámicas, las organizaciones pueden fortalecer su preparación y protección de sus datos, gestionar sus activos y minimizar el riesgo asociado a sus empleados.

* Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker | Líder del Capítulo Querétaro de OWASP.

Twitter: https://twitter.com/silikn

Instagram: https://www.instagram.com/silikn

YouTube: https://www.youtube.com/@silikn7599