Joseph Jarnecki y Jamie MacColl, investigadores del principal centro de estudios sobre defensa y seguridad del Reino Unido, el Royal United Services Institute (RUSI), han hecho un llamamiento al país y a sus autoridades de ciberseguridad para que hagan frente al aumento de los ataques de ransomware contra los países del “Sur Global”.
Según los investigadores, la oleada de ransomware dirigida a países en desarrollo ha demostrado una evolución en las tácticas de los atacantes. Históricamente, el ransomware se ha dirigido a una serie de sectores de alto valor -finanzas, servicios profesionales, sector público- en los países ricos, concentrándose en Estados Unidos y otros miembros del G7. Los recientes ataques a países como Costa Rica, Sudáfrica, Malasia, Perú, Brasil e India ilustran el aumento de la amenaza para los gobiernos, los proveedores de infraestructuras nacionales críticas y las empresas de los países de renta media y en desarrollo. El ransomware representa un riesgo para el desarrollo, el crecimiento económico y la estabilidad política de estos países al interrumpir el comercio y la prestación de servicios esenciales. Los países de renta alta tienen un interés económico y moral en garantizar que el ransomware no cree interrupciones significativas en los países de renta media y en desarrollo.
El ransomware tiene importantes efectos negativos. La imposibilidad de acceder a los datos de propiedad, el riesgo de exposición de los datos y el cierre total o parcial de los sistemas digitales pueden paralizar el suministro normal de bienes y servicios.
Los investigadores mencionan los ataques a organismos gubernamentales de Costa Rica entre abril y mayo de 2022, que demostraron el impacto del ransomware en países pequeños. Los ataques, llevados a cabo por los grupos Conti y Hive, paralizaron los servicios públicos digitales, provocando una parálisis en los sistemas de impuestos y aduanas, interrupciones en el pago del sector público y el robo a gran escala de datos de los contribuyentes. El impacto de los ataques llevó al gobierno de Costa Rica a declarar el estado de emergencia nacional, diciendo que su país estaba “en guerra” con los operadores de ransomware.
El ransomware es también una amenaza creciente para los países de renta media de mayor tamaño. En 2021, una importante empresa sudafricana de infraestructuras críticas fue objeto de un ransomware, lo que provocó el cierre de varios puertos comerciales y generó repercusiones en las cadenas de suministro mundiales. Brasil también ha sido un objetivo cada vez más frecuente del ransomware, con distintos ataques que han puesto en peligro los sistemas informáticos y los datos del Ministerio de Sanidad (afectando a la disponibilidad de datos críticos sobre vacunas), del Tesoro Nacional y de Eletrobras, la mayor compañía eléctrica de América Latina. Por último, se ha producido un aumento del ransomware dirigido a India y otros países.
Jarnecki y MacColl afirman que es probable que haya una serie de factores que han incentivado a los operadores de ransomware a diversificar su objetivo para incluir más víctimas en tales países.
Una de las explicaciones es que el enfoque de algunos operadores de ransomware para seleccionar a las víctimas se ha vuelto inaceptablemente arriesgado y cada vez más difícil. Mientras que muchas víctimas de ransomware son pequeñas empresas, desde 2019 algunos de los operadores de ransomware más prolíficos se han dedicado a la llamada “caza mayor”: campañas de ransomware operadas por humanos contra empresas medianas y grandes. Los objetivos de alto valor, ubicados desproporcionadamente en los Estados Unidos y otros países del G7, han enfrentado grandes volúmenes de ransomware. Los principales ataques de ransomware contra infraestructuras nacionales críticas de Estados Unidos y Europa, en particular, han empezado a generar respuestas más contundentes por parte de los servicios de inteligencia y las fuerzas del orden.
Estas acciones pueden haber alterado el cálculo del riesgo de algunos operadores de ransomware y también han provocado un cambio hacia la obtención o compra de acceso a las víctimas en los países en desarrollo y de ingresos medios que no pueden o no están dispuestos a responder con fuerza, reduciendo así el riesgo de retroceso y atención no deseada.
Muchos países en desarrollo y de renta media tienen históricamente niveles de ciberseguridad deficientes, debido al escaso gasto dedicado. En consecuencia, las organizaciones luchan por contratar y retener a empleados cualificados y a menudo dependen de sistemas informáticos heredados que tienen vulnerabilidades conocidas, o tienen poca conciencia de las buenas prácticas de ciber higiene.
Esta situación se ha visto probablemente agravada por la rápida digitalización en países en desarrollo a medida que aumenta la penetración de Internet. La escala y el ritmo de este cambio son especialmente marcados en la prestación de servicios relacionados con el comercio, los servicios financieros y la salud. La pandemia de coronavirus ha acelerado esta tendencia debido a los esfuerzos por crear respuestas eficaces a los retos sanitarios. Sin embargo, la introducción de nuevas tecnologías a menudo ha superado el establecimiento del tipo de regulación y normas de ciberseguridad que podrían ayudar a gestionar las nuevas amenazas y vulnerabilidades que surgen. El resultado es una cantidad cada vez mayor de infraestructuras y servicios vulnerables orientados a Internet que los operadores de ransomware son capaces de comprometer.
Según los investigadores, la creciente amplitud de países víctimas del ransomware no es un problema aislado. Sus impactos directos también tienen efectos en cadena, produciendo réplicas en todo el comercio y la gobernanza mundial. Como se ha demostrado en los últimos dos años y medio, la resistencia de la cadena de suministro mundial es vulnerable al tipo de perturbación que pueden crear los ataques importantes de ransomware.
Joseph Jarnecki y Jamie MacColl creen que el ransomware dirigido a países en desarrollo también afecta indirectamente a los intereses del Reino Unido porque tiene el potencial de desestabilizar la resistencia política y económica de los socios y amenaza los dividendos positivos del desarrollo digital.
Por lo tanto, los investigadores sugieren que se preste una asistencia específica y completa para desarrollar las capacidades de ciberseguridad en los países en desarrollo en riesgo y desatendidos. Sugieren directamente que el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) amplíe la asistencia internacional que presta a los países asociados. El NCSC goza de una gran reputación a nivel mundial y colabora frecuentemente con países avanzados y socios selectos del Reino Unido. “Si amplía sus actividades con países más pequeños y desatendidos, el NCSC puede avanzar en la mejora de la ciberseguridad internacional, al tiempo que promueve al Reino Unido como defensor de un ciberespacio seguro”, concluyen señalando Joseph Jarnecki y Jamie MacColl.