Según la Cámara Colombiana de Informática y Telecomunicaciones, las denuncias por delitos informáticos se incrementaron un 30% en el año 2022 con respecto a 2021 y aunque la ciberseguridad está siendo un tema prioritario para las empresas del país, cada vez son más las afectadas por ataques informáticos sin importar su tamaño o sector al que pertenezca.
La directora de la Dijín de la Policía Olga Salazar, informó que en el 2022 se bloquearon más de 20.000 páginas relacionadas con delitos cibernéticos. La oficial destacó los ciber delitos más cometidos a través de la internet:
- ‘Phishing’: es el envío de correos que tienen la apariencia de proceder de fuentes de confianza (como bancos o compañías de servicios públicos, entre otros) con el fin de engañar a los usuarios y obtener contraseñas, datos personales, números de tarjetas o acceso a cuentas bancarias.
- Suplantación de identidad: consiste en hacerse pasar por otra persona con diferentes propósitos, engañar a terceros y obtener beneficios economicos.
- ‘Smishing’: envío de mensajes SMS a un usuario simulando ser una entidad legítima, red social, banco, institución pública, usando técnicas de ingeniería social similar al Phishing con el objetivo de obtener datos personales y realizar estafas a la victima.
- ‘Malware’: software malicioso, cuya principal característica es que se ejecuta sin el conocimiento ni autorización del usuario del equipo buscando tener el control y acceso a la información privada o sensible.
- ‘Grooming’: falsos perfiles utilizados por adultos para establecer relaciones y acercamientos con menores para realizar explotación sexual infantil.
- ‘Sextorsión’: explotación sexual en la cual una persona es chantajeada con una imagen o video de sí misma desnuda o realizando actos sexuales.
- ‘Cyberbulling’: se presenta cuando un niño o adolescente es molestado, amenazado, acosado, humillado, avergonzado, o abusado por otro a través de internet o cualquier medio tecnológico.
Otro de los ciberataques de mayor crecimiento es el ransomware, el cual se encarga de cifrar o encriptar los archivos de las víctimas, dejándolos ilegibles y volviendo ciertos archivos irrecuperables. La única forma en la que puedan recuperarse y/o evitar que estos sean vendidos en sitios ilegales de internet (Deep Web) es mediante el pago del rescate, aunque se sabe que el pago no garantiza que se recupere la información o se divulguen en internet.
Es necesario tener en cuenta los mensajes de alerta y noticias relacionados con el incremento de ataques en la región como la campaña Operación Pulpo Rojo y Hive con malware dirigido y ransomware de triple extorsión que fue publicado en nuestro blog en agosto del año pasado donde se registraron ataques a empresas Colombianas publicas y privadas.
De acuerdo con reporte de LUMU, Colombia registró un incremento en 2022 de 133% comparado con el mismo periodo de 2021 en el número de empresas afectadas por ransomware y aunque algunas han tomado cartas en el asunto, son varias de las empresas afectadas que aún no han podido recuperar el control de sus sistemas.
Los ataques presentados a empresas publicas y privadas tienen como objetivo generar angustia, preocupación y afectación de las operaciones al tiempo que le permiten a los ciberdelincuentes obtener grandes ingresos economicos. El siguiente es el listado de algunas de las empresas que fueron afectadas por ransomware en 2022:
| Empresa | Variante | Modalidad |
| Universidad Javeriana, Salud Total, Corferias | ViceSociety | Doble extorsión: cifrando y exfiltrando. RaaS (Ransomware-as-a-Service). Usa binarios de Ransomware vendidos en foros de la web oscura. |
| OpenGroup SAS | Groove | RaaS (Ransomware-as-a-Service) dedicado al espionaje industrial. |
| Procaps Laboratorios | NetWalker | RaaS enfocado en sector salud, educativo, gobierno, privadas de transporte. |
| Gas Caribe | Cuba | Basado en C ++ y ataques de doble extorsión. |
| Famisanar, SiesaCloud, Red de Salud de Ladera | Pysa | Se propaga por ataques de fuerza bruta en servidores que tienen RDP o AD abierto a Internet, también por spam o a través de campañas de correo electrónico de phishing. Utiliza el RAT “ChaChi” para ataques de doble extorsión. |
| Invima | BlackBye | RaaS. Escrito en C # y luego en Go. Utiliza la criptografía de curva elíptica. Usa características anti-análisis, código polimórfico y ofuscación pesada que dificultan la detección. |
| GHT Corp, Universidad Piloto, EMP Medellín | BlackCat | RaaS de Doble extorsión. Programado en Rust. Aprovecha escritorio remoto, credenciales comprometidas, vulnerabilidades conocidas y uso de cargas de Ryuk, REvil, BlackMatter y Conti. |
| CaracolTV – Blu radio | KelvinSecurity /Hive | Grupo que ofrece servicios de seguridad y busca vulnerabilidades que explota para cobrar por ellas. |
| Claro Colombia | Hive | RaaS de Doble extorsión. Escrito en Go y actualizado en Rust utiliza un conjunto diferente de algoritmos: Curva elíptica Diffie-Hellmann (ECDH) y cifrado autenticado con cifrado simétrico ChaCha20. |
| Electricaribe | Maze | RaaS. Aprovecha servidores con RDP o AD abierto a Internet, spam, correos de phishing y VNP vulnerables. |
| Viva Air | RansomEXX | RaaS altamente dirigido conocido también como Defray777. Multiplataforma y se ejecuta en memoria. |
| Carvajal | Egregor | RaaS que usa malware como Qakbot, IcedID y Ursnif para el acceso inicial. utiliza múltiples técnicas anti-análisis, evasión y ofuscamiento. |
| Outsourcing IT | Industrial Spy | Conocidos por que tienen un plataforma donde vende datos robados y usan el Ransomware Cuba. |
| Emtelcom | Qilin | RaaS multiplataforma migrado al lenguaje Rust para ser difícil de detectar. |
| El País | Phobos | Malware de la familia Dharma que ataca usando RDP o escritorio remoto. |
| CIELD | Snatch | RaaS de Doble extorsión que infecta el equipo en Modo seguro de Windows. |
| Codifer SAS, Clínica Laura | Conti | Uno de los Ransomware con más infectados en el mundo tipo RaaS de doble extorsión. |
| Quintal, Grupo Sanford, Independence, Cachibi, Comfacundi, Newhotel Software, Flores Funza, Acción Plus | LockBit | RaaS de doble extorsión altamente dirigido conocido también como “abcd” por la extensión que usaba. Se auto distribuye por la red, de difícil detección y camuflando el ejecutable como .PNG. Actualmente va en la versión LockBit 3.0 integrando el malware StealBit que automatiza la exfiltración y tiene el cifrado más rápido con alcance a Linux ESXi. |
| Feban Colombia | Avaddon | RaaS que involucró el Doxing (robo) en su estrategia antes de cifrar los datos y ataques de DDoS para interrumpir el funcionamiento del sitio web de la empresa. |
| Club Campestre | Ragnarock | Desarrollado en C / C++ es un RaaS de doble extorsión que excluye paises de Rusia y China de ser infectados. |
| Keralty (Sanitas) | RansomHouse | Grupo que busca y explota vulnerabilidades donde sus integrantes usan diferentes tipos de Ransomware y extorsionan o venden la información al mejor postor. |
Los ciberdelincuentes pueden ejecutar diferentes tipos de malware de forma simultánea como son:
Crypters: Programa malicioso que cifra la información de los equipos o servidores. Dejando fuera de operación a los activos infectados.
Infostealers: Utilizado para sustraer información valiosa que puede ser comercializada en foros de la DeepWeb, y extorsionar a proveedores y clientes de las víctimas amenazándolos con la divulgación de la información.
Criptominers: Usados para hacer minado de criptomonedas aprovechándose del poder de cómputo de la infraestructura de las compañías infectadas, tanto en la red corporativa como en los dispositivos conectados a la misma.
Wipers: Borran, destruyen o hacen indisponible la información que puede ser critica o clave de las organizaciones afectadas, impactando en la operación de las mismas.
Un estudio elaborado por Sophos en 2022, determinó que en Colombia el costo promedio de un rescate por un ataque de ransomware es de U$36.000, siendo el más bajo de Latinoamérica, además, el costo de recuperación (que puede incluir o no el pago del rescate) tiene un precio promedio de U$900.000, pues se suma el pago en horas de ingeniería, el pago de multas, la inversión en afectación y otros gastos. En la región, el pago promedio del rescate contando Colombia, Brasil, Chile y México ronda los U$500.000 y el costo de recuperación, está cerca del millón y medio de dólares,
Es claro que los ciber delincuentes ya no limitan sus ataques al tamaño o tipo de empresa y que sus tácticas y técnicas son cada vez mas sofisticadas, lo que demuestra lo importante que es para las empresas adoptar un enfoque de seguridad y defensa en profundidad, que combine la seguridad avanzada que utiliza inteligencia artificial, ademas de la prevención que permita identificar tempranamente vulnerabilidades y brechas, junto con un proceso de educación y la concienciación de los empleados que conozcan y apliquen las normas legales en protección de datos y seguridad de información.
Itech Cyber Protection: Es la solución que integra la protección de datos y ciberseguridad todo en uno que incluye: identificación de vulnerabilidades, prevención de exploits, anti malware y anti ransomware basado en IA, herramientas de seguridad avanzada, gestión y control de dispositivos, filtrado de urls, prevención de fuga de informacion (DLP), copias de seguridad y restauración, recuperación ante desastres, uso compartido de archivos, asistencia remota, supervisión y creación de informes entre otras funcionalidades.