Así operan las cibermafias rusas que atacan España secuestrando ordenadores

A partir de ahora vas a oír hablar, y mucho, de ransomware, el formato de ciberataque que ayer puso en jaque a cientos de empresas españolas, muchas de ellas cotizadas en el Ibex 35, y también a organizaciones de todo el mundo.

Detrás de esa palabra se encuentra algo mucho más sencillo: se trata de ataques que buscan 'secuestrar' información o dispositivos para pedir posteriormente un rescate por la liberación de la información o del equipo. El rescate se paga en bitcoins, una moneda virtual que no puede ser rastreada.

De las 62 nuevas familias de ransomware descubiertas en 2016 por la firma de seguridad, Kaspersky Lab, al menos 47 fueron desarrolladas por cibercriminales de habla rusa. En concreto, un 75% de los ataques vinieron de esa región.

Además, en 2016 más de 1.445.000 usuarios y empresas de todo el mundo fueron víctimas de este tipo de malware de origen ruso.

Las mafias rusas que están detrás de estos ataques tienen estructuras sencillas. Están formadas por dos tipos de 'profesionales': quienes desarrollan el software malicioso y quienes lo distribuyen a través de spam.

El problema de esta clase de ataques es que es relativamente sencillo obtener el software malicioso. No es necesario ni una gran financiación ni conocimientos concretos para hacerlo. De hecho se puede encontrar, de forma muy sencilla, información en Internet sobre cómo hacerlo.

De ahí que ataques como el de la nueva versión de WCry/WannaCrt (así se llama el ransomware que atacó este viernes) sean cada vez más comunes.

A pesar de lo fácil que es desarrollarlo, su peligrosidad es muy alta y se expande con relativa velocidad, aseguran desde Kaspersky.

La estructura de las cibermafias

El negocio del ransomware se estructura en torno a dos estratos diferentes:

• Desarrolladores de ransomware: son quienes desarrollan y mejoran el software, y suelen tener altos conocimientos de informática.

• Distribuidores de ransomware: son quienes recogen el malware y lo distribuyen. Lo hacen con la ayuda de spam malicioso o mediante los exploit kits. Cobran un porcentaje del rescate obtenido.

Los ingresos diarios de un programa de afiliados pueden llegar a alcanzar los miles de dólares, de los cuales el 60% es el beneficio neto es para los cibercriminales.

Kaspersky Lab tiene identificados a varios grupos de cibercriminales rusos especializados en el desarrollo y distribución de ransomware. Estos grupos pueden llegar a agrupar decenas de participantes, cada uno con su propio programa de afiliados.

La lista de sus objetivos incluye no sólo a usuarios de Internet, sino también empresas de todo tipo y tamaño Inicialmente se centraban en usuarios y entidades rusas, pero ahora han puesto el punto de mira en compañías ubicadas en otras partes del planeta.