Escuchar
Sistemas informáticos públicos y privados de Costa Rica fueron blanco de 513 millones de intentos de ciberataques durante la primera mitad del 2022, según datos divulgados este lunes por la empresa estadounidense Fortinet, dedicada al desarrollo y venta de software, dispositivos y servicios de ciberseguridad.
Conforme la estadística de su división FortiGuard labs, toda la región de América Latina y el Caribe sufrió 137.000 millones de intentos de ciberataques de enero a junio de este año, para un aumento de 50% en comparación con el mismo período del 2021, cuando se registraron 91.000 millones.
Los 513 millones de intentos de intrusión en Costa Rica representan apenas 0,37% del total reportado en América y Latina en el período analizado; no obstante, esos intentos en sistemas ticos representan un repunte de 104% en comparación con el mismo periodo de 2021, cuando ocurrieron 251 millones.
En esta región, México fue el país más atacado con 85.000 millones (62% del total regional), seguido por Brasil con 31.500 millones (23% del total) y Colombia con 6.300 millones (4,6%). Solo esos tres países suman 89,6% del total; otro 10,1% se lo reparten otras naciones del área.
LEA MÁS: Conti usó a Costa Rica para crear nuevos grupos de ‘hackers’
Fortinet también alertó de un aumento en el uso de estrategias más sofisticadas y dirigidas de estos ataques. La principal fue la modalidad de ransomware o ‘secuestro de datos’ en español, que consiste en software malicioso creado para restringir el acceso a determinadas partes o archivos de un sistema operativo infectado. Los autores del ataque luego piden un rescate económico a cambio de quitar la restricción.
Durante los primeros seis meses de 2022, se detectaron aproximadamente 384.000 intentos de distribución de ransomware en sistemas de todo el mundo. De estos, 52.000 (13,5%) tenían como destino a América Latina.
Una vez más, México fue el país con mayor actividad de distribución de ransomware con más de 18.000 detecciones, seguido de Colombia con 17.000 y Costa Rica con 14.000.
Además, según FortiGuard Labs, la cantidad de firmas de ransomware casi se ha duplicado en seis meses. En la primera mitad de 2022, se encontraron 10.666 en América Latina, siendo que en la última mitad de 2021 fueron detectadas solamente 5.400.
“Estamos viendo un crecimiento en las variantes de ransomware, con diferentes actores maliciosos y grupos de ciberdelincuentes internacionales que afectan a empresas de todas las industrias, gobiernos e incluso economías enteras”, detalló Arturo Torres, estratega de ciberseguridad de FortiGuard Labs para América Latina y el Caribe.
LEA MÁS: Este es Conti, el nuevo enemigo ‘hacker’ de Costa Rica
Ataque preferido
Según Torres, también se elevó el uso del llamado Ransomware-as-a-Service (RaaS) donde los creadores de ransomware lo entregan a terceros a cambio de un pago mensual o una parte de las ganancias obtenidas. El analista dijo que algunos delincuentes de ransomware ofrecen a sus víctimas servicio de soporte técnico 24/7 para agilizar el pago del rescate y la restauración de sistemas o datos encriptados.
La empresa asegura que este tipo de estadística evidencia un mercado del ransomware mucho más profesional respecto al 2021, con un modelo de negocio bien establecido. Los actores de amenazas emplean servicios independientes para negociar el rescate de los datos, ayudar a las víctimas a realizar pagos y arbitrar disputas entre grupos de ciberdelincuentes.
Una variante de este tipo de programa malicioso llamada WannaCry (Quierollorar), por ejemplo, tiene incluso un traductor de idiomas e incluso un chat de soporte.
“Las campañas de ransomware más activas en la región durante el primer semestre de 2022 fueron Revil, detectada principalmente en territorio mexicano, seguida de LockBit y Hive. Conti ransomware, por su parte, ha sido uno de los más populares en los medios debido al alto impacto que ha tenido recientemente en Costa Rica”, señaló la empresa Fortinet en un comunicado.
De hecho, los hackers que atacaron los sistemas informáticos de la Caja Costarricense de Seguro Social (CCSS) dispusieron de semanas, incluso meses, según dijo el presidente ejecutivo de esa institución, Álvaro Ramos. Así lo reconoció el jerarca cuando informó de que los efectos del ciberataque ocurridos este año fueron profundos: de 30 servidores infectados se pasó a 800 (53% del total) y llegaron a elevarse a 9.000 las terminales de usuarios (computadoras) afectadas en esa entidad: 22% de todas las que tiene la Caja.
LEA MÁS: ‘Hackers’ estuvieron semanas, inclusive meses, en los sistemas, admite jerarca de CCSS
Otros resultados semestrales
1) En la primera mitad del año, la técnica de explotación más detectada en la región fue la relacionada con la vulnerabilidad conocida coloquialmente como Log4Shell. Esta vulnerabilidad permite la ejecución remota completa de código malicioso en un sistema vulnerable.
2) El malware descargado por web parece ser una de las maneras más efectivas por las cuales los adversarios distribuyen malware basado en HTML y/o Java Script, utilizando millones de direcciones de Internet maliciosas como canales de distribución en la web. Una vez infectados, los dispositivos de las víctimas pueden quedar bajo el control de los adversarios, que pueden utilizarlos para cometer delitos informáticos como el robo de credenciales, el envío de spam y los ataques distribuidos de denegación de servicio.
3) Por otro lado, en la región también se ha observado una fuerte distribución de malware a través de documentos de Office, en su mayoría Excel, la cual le permite al atacante aprovecharse de la vulnerabilidad de la aplicación para poder ejecutar instrucciones o ganar acceso al sistema.
4) Al igual que en 2021, Mirai permanece como la campaña de botnet (un conjunto o red de robots informáticos que ejecutan comandos de manera autónoma y automática) con mayor actividad en todos los países de América Latina. Mirai es un malware Internet de las Cosas (IoT) que hace que las máquinas infectadas se unan a una red de botnets que se utiliza para ataques de denegación de servicio distribuido (DDoS). Esta campaña de botnet se ha adaptado para poder propagarse mediante vulnerabilidades recientes tales como Log4Shell.
5) Otras campañas de botnet como Bladabindi y Gh0st permanecen también muy activas en los países de la región de Latinoamérica, lo que permite a los atacantes tomar el control total del sistema infectado, registrar las pulsaciones de teclas, acceder a la cámara web en vivo y al micrófono, descargar y cargar archivos y otras actividades nefastas.
