UNIDOS POR LA CIBERSEGURIDAD ABRIL 2022

RANSOMWARE
EN AMÉRICA
INTRODUCCIÓN

El ransomware es un malware con la capacidad de cifrar archivos en

una computadora o sistemas informáticos completos, y posee una
clave para descifrar la data. Su objetivo es secuestrar información hasta
que la víctima pague un rescate, el que normalmente se debe pagar en
criptomonedas.

Este tipo malware es un gran negocio para los atacantes, y es

responsable de cientos de millones de dólares en pérdidas anualmente.
Debido a la gran cantidad de dinero que se gana, las nuevas versiones
aparecen con frecuencia y la evidencia respalda la idea de que es una
amenaza en constante crecimiento. La evidencia demuestra que, si
bien los ransomware evolucionan en el tiempo, la amenaza necesita de
la asistencia de técnicas de ataques como ingeniería social, y otros
malware, como Emotet, para ingresar en un sistema.

La consigna es que entre todos podemos crear una internet segura.

Estamos llamados a crear esfuerzos comunes para prevenir incidentes,
crear conciencia y estar preparados para enfrentar a los desafíos que
nuestra hiperconectada realidad. Las tecnologías de la información
están cambiando al mundo, y debemos adaptarnos a esos cambios con
ciberseguridad.
¿Qué es el
Ransomware?
El ransomware es un tipo de malware en continua evolución
que impide el acceso a la información de un dispositivo,
amenazando con destruirla o hacerla pública si las víctimas
no acceden a pagar un rescate en un determinado plazo.

El ransomware se propaga, como otros tipos de malware,

por múltiples vías: a través de campañas de spam,
vulnerabilidades o malas configuraciones de software,
actualizaciones de software falsas, canales de descarga de
software no confiables y herramientas de activación de
programas no oficiales (cracking). Los ciberdelincuentes
tratan de que el usuario abra un archivo adjunto infectado o
haga clic en un vínculo que le lleve al sitio web del atacante,
donde será infectado.

Los incidentes de ransomware pueden afectar gravemente

CONTACTO@GLOBALCYBER.CL
los procesos comerciales y dejar a las organizaciones sin los
datos que necesitan para operar y brindar servicios de
misión crítica. Los actores maliciosos han ajustado sus
tácticas de ransomware con el tiempo para incluir presionar
a las víctimas para que paguen, amenazando con divulgar
los datos robados si se niegan a pagar y nombrando y
avergonzando públicamente a las víctimas como formas
secundarias de extorsión.

El valor monetario de las demandas de rescate también ha

aumentado, con algunas demandas que superan el millón
de dólares estadounidenses.
 Los incidentes de ransomware se han vuelto más
destructivos e impactantes en naturaleza y alcance. Los
actores maliciosos se involucran en movimientos laterales
para apuntar a datos críticos y propagar ransomware a
través de redes enteras. Estos actores también utilizan cada
vez más tácticas, como eliminar las copias de seguridad del
sistema, que hacen que la restauración y la recuperación
sean más difíciles o inviables para las organizaciones
afectadas.

Ciclo de vida de un incidente de ransomware

Validar
Phishing
credencial
Exfiltración
Servicio
expuesto

CONTACTO@GLOBALCYBER.CL
Movimiento
Adivinar lateral
contraseña
Comando Destruir
y control copias
Escalada
Vulnerabilidad de
privilegios
Encriptar
data
Documento
Correo Malware
malicioso

Acceso inicial Consolidación y Impacto en el

preparación objetivo
¿Cómo opera?
Ransomware se forma al unir «ransom» (del inglés, rescate) con
«ware» (producto o mercancía, en inglés). Una vez que el
delincuente cifra los datos, pide un rescate (ransom) a la víctima, a
través de un mensaje o ventana emergente, realizando lo que
llamaríamos un secuestro virtual.

Este mensaje, que suele ser amenazante y apremiante, advierte a

la víctima de que la única forma mediante la que puede descifrar
sus archivos, recuperar el sistema o evitar un posible filtrado de
información, es realizar el pago de un rescate. Es habitual que
incluyan un límite de tiempo para pagar, antes de que se produzca
la destrucción total de los archivos secuestrados, su publicación o
un incremento del valor del rescate, si no se paga a tiempo.

Generalmente, el rescate se solicita a través de alguna criptodivisa

(moneda virtual) como, por ejemplo, bitcoins. Es frecuente que
utilicen «muleros», que son intermediarios que transfieren el
dinero procedente de estas actividades ilícitas. Tanto las monedas
virtuales como los muleros permiten al ciberdelincuente ocultar su

CONTACTO@GLOBALCYBER.CL
rastro.

A cambio del pago, los ciberdelincuentes prometen facilitar el

mecanismo para desbloquear el ordenador o descifrar los ficheros.
Sin embargo, no existen garantías de recuperar la información, por
lo que se recomienda no pagar el rescate para evitar la
proliferación de este tipo de amenazas. Además, para acceder al
mecanismo de desbloqueo dirigen a la víctima a un enlace que
podría a su vez contener malware y causar otra infección,
pudiendo robar también sus contraseñas o cualquier otra
información sensible. Es muy frecuente que los ordenadores
infectados por ransomware estén también infectados con otro tipo
de malware.
¿Por qué no
pagar el
rescate?

Si te ha ocurrido un incidente tendrás muchas dudas sobre si

acceder a pagar el rescate o no. Nuestra recomendación es que no
pagues el rescate que te exigen los ciberdelincuentes por los
siguientes motivos:

» Pagar no te garantiza que vuelvas a tener acceso a los datos,

recuerda que se trata de delincuentes.

» Si pagas es posible que seas objeto de ataques posteriores, pues

ya saben que estás dispuesto a pagar.

» Puede que soliciten una cifra mayor una vez hayas pagado.

CONTACTO@GLOBALCYBER.CL
» Pagar fomenta el negocio de los ciberdelincuentes, Porque al
hacerlo contribuimos a sostener el eCrime ecosystem

eCrime ecosystem

Fuente: Crowdstrike
TENDENCIA

Ransomware
as a Service
(RaaS)
El Ransomware as a Service es un modelo de ciberataque basado
en la suscripción, donde un usuario solicita un ‘servicio’ que acaba
siendo un ‘paquete’ de herramientas de ransomware previamente
diseñado para atacar. Hasta hace poco, el número de atacantes
con ransomware se limitaba a individuos que tenían conocimiento
de cómo entrar en la infraestructura cibernética de la víctima y
cifrar su información. Sin embargo, en la actualidad, cualquier
individuo que tenga el dinero y las intenciones de cometer este
delito puede contratar este tipo de servicio malicioso

¿Cómo funciona?

El modelo de "Ransomware as a Service" funciona de la siguiente

manera:

1. Los ciberdelincuentes escriben el código del ransomware.

CONTACTO@GLOBALCYBER.CL
2. La persona o el grupo implicado compra el código para ejecutar
los ataques. Existen suscripciones mensuales o de tarifas
únicas, y los paquetes cuentan con guías detalladas que
explican cómo deben ejecutarse los programas.
3. Una vez adquirido el paquete de ransomware, se busca que la
víctima descargue el programa. Ante esto, los
ciberdelincuentes apelan a la credibilidad y utilizan técnicas
como el phishing o el smishing para cometer su delito.
4. El procedimiento luego continúa como en cualquier otro
ataque de ransomware, donde se cifran archivos y se busca el
pago del rescate para liberar los datos.
5. A la hora de distribuir el pago por descifrar datos, se suele
recurrir a las criptomonedas, ya que no son rastreables. Una vez
realizado el pago, un blanqueador de dinero lo distribuye tanto
a quien compró el paquete de ransomware como a su
desarrollador.
Muchas de las empresas deciden pagar debido al impacto que
genera la suspensión del servicio prestado a grandes cantidades
de usuarios, especialmente cuando estos ataques se dirigen a
infraestructura crítica.

Uno de los casos más recientes y famosos fue el del oleoducto

Colonial Pipeline, que pagó casi 5 millones de dólares por el
rescate pedido por la banda criminal. Esto sugiere que este tipo de
acciones alientan a los ciberdelincuentes a incrementar sus
objetivos para comprometer negocios, datos e infraestructura.

Por tanto, una manera de romper con este círculo vicioso es que
las organizaciones, bajo ninguna circunstancia, paguen los
rescates, así existan consecuencias monetarias, operacionales y
reputacionales hacia ellas.

Sin embargo, creemos que la mejor forma de detener a los

ciberatacantes es no darles la opción de atacar. En otras palabras,
las compañías deben abordar la ciberseguridad desde el inicio de
la creación de tecnología, con un enfoque preventivo. Por lo tanto,
prevenir los ataques de ransomware probando los sistemas es la
forma más apropiada de evitarlos. Debemos implementar una
solución de seguridad robusta desde el comienzo del ciclo de vida
de desarrollo de nuestro software, para someter a este a pruebas

CONTACTO@GLOBALCYBER.CL
integrales, exhaustivas y continuas
TENDENCIA

Ransomware
de doble y
triple
extorsión
Los investigadores de Check Point revelaron en el 2020 una
tendencia al alza en una novedosa táctica de ransomware,
conocida como "doble extorsión", a través de la cual los
cibercriminales añaden una etapa adicional a su ataque. Antes de
cifrar la base de datos de una víctima, consiguen extraer una gran
cantidad de información confidencial para luego amenazar a la
víctima con publicarla (a menos que se pague un rescate).

Para demostrar que se amenaza va en serio, los ciberatacantes

filtran una pequeña parte de la información sensible a la dark web
para aumentar así el nivel de intimidación si no se paga el rescate.
El primer caso que fue publicado de esta "doble extorsión" tuvo

CONTACTO@GLOBALCYBER.CL
lugar en noviembre de 2019 e involucraba a Allied Universal, una
gran compañía americana dedicada a temas de personal de
seguridad. Cuando las víctimas se negaron a pagar el rescate que
pedían de 300 Bitcoins (aproximadamente 2,3 millones de dólares),
los cibercriminales, valiéndose del malware "Maze", amenazaron
con utilizar la información confidencial, los certificados de correo
electrónico y de los nombres de dominio robados para elaborar
una campaña de spam suplantando la identidad de la compañía.
Asimismo, publicaron una muestra de los archivos robados que
incluía contratos, registros médicos, certificados de encriptación,
etc. Desde entonces, Maze ha publicado los detalles de docenas de
empresas, estudios de abogados, proveedores de servicios
médicos y compañías de seguros que no han cedido a sus
demandas, pero se estima que muchas empresas evitaron la
publicación de sus datos sensibles pagando el rescate exigido.
La doble extorsión es tendencia al alza entre los ataques
ransomware. Al filtrar información sensible a la dark web como
muestra de que su amenaza va en serio, ejercen mucha más
presión sobre sus víctimas.

Por su parte el ransomware de triple extorsión ejecuta una vuelta

de tuerca más a esta modalidad, e implica la sustracción de datos,
la exigencia de un rescate económica a la empresa afectada y,
además, el chantaje a los clientes.

Una de las primeras afectadas por la triple extorsión fue la clínica

Vastaamo, en octubre de 2020. Esta clínica finlandesa, con unos
40.000 pacientes, a causa de una brecha de seguridad, sufrió el
robo de la información de todas sus bases de datos.

Tras el ataque, se exigió el pertinente rescate a la empresa, pero,

además, también se solicitaban sumas económicas a los pacientes,
que recibieron las peticiones de rescate individualmente por
correo electrónico. En esos correos, los ciberdelincuentes
amenazaban con publicar el contenido de las sesiones con sus
terapeutas y detalles de sus tratamientos y afecciones.

A mayor escala, en febrero de 2021 el grupo de ransomware REvil

anunció que había añadido dos etapas a su doble esquema de
extorsión: ataques DDoS -un ataque DDoS envía multitud de
solicitudes al recurso web atacado, con la intención de desbordar

CONTACTO@GLOBALCYBER.CL
la capacidad de respuesta de este y provocar su caída- y llamadas
telefónicas a los socios comerciales de la víctima y a los medios de
comunicación.

En estos ataques, los colaboradores externos y los proveedores de

servicios, se ven afectados y perjudicados por las fugas de datos
causadas por esta nueva amenaza, incluso si sus recursos de red
no son el objetivo directo.
¿Qué hacer
cuando se ha
infectado un
equipo?
PRIMEROS PASOS

Una vez que el sistema ha sido infectado y que el ransomware

haya conseguido cifrar todo el sistema de archivos accesible,
puede darse el caso de que no exista antídoto que permita
recuperar la información. En ese caso, no conviene
necesariamente proceder al borrado de los archivos afectados.

El hecho de que en ese momento no exista una herramienta que

permita el descifrado de los ficheros secuestrados, no significa que
no pueda existir en un futuro próximo. En ese caso, es mejor no

CONTACTO@GLOBALCYBER.CL
destruir la única copia que exista de los ficheros, aunque esta esté
cifrada con una clave que, en ese momento, no esté disponible. Lo
más recomendable es:

Si se detecta una infección, lo primero es desconectar el equipo de

la red, dado que, por lo general, el cifrado precisa de la capacidad
de cálculo del equipo infectado para su acción. Este procedimiento
tiene distintas finalidades:

Evitar que la acción de cifrado alcance al contenido alojado en

las unidades de red accesibles desde el equipo infectado.

Eludir que el código dañino pueda contactar con su servidor de

mando y control
Desde un punto de vista de una respuesta operativa se
recomienda:

Comunicarse con su equipo de seguridad local o implementar

el plan de respuesta ante incidentes documentado.

Aislar desde un punto de vista de red el equipo (desconectar el

cable de red por ejemplo o poner en modo shutdown la puerta
en el switch)

Identificar tráficos anómalos para detectar posibles equipos

adicionales que estén comprometidos, por ejemplo, si se
observa que en la lista de procesos aparece uno con el nombre
de una aplicación como, por ejemplo, “notepad.exe” o “calc.
exe”, y dicha aplicación realmente no está abierta, es muy
probable que se trate de un proceso dañino disfrazado de
aplicación inocua.

Identificar los switches que permitan aislar rápidamente el

máximo de equipos contaminados

Para ayudar a identificar el proceso dañino, se puede usar la

herramienta Monitor de Recursos de Windows. Para acceder a
ella, basta con ejecutar “resmon” (tecla Windows + r)

Generar alertas técnicas internas para identificar otros focos de

infección y generar las medidas de aislación pertinentes

CONTACTO@GLOBALCYBER.CL
Es importante conocer qué variante de ransomware ha
infectado los equipos afectados, y para ello se puede utilizar
alguno de estos servicios: NoMoreRansom o IDRansomware, en
estas páginas web se pueden subir los ficheros e identificar a
qué familia pertenece el código dañino que ha infectado el
equipo y ha cifrado sus ficheros. Conocer qué familia ha
atacado los sistemas permite realizar una búsqueda sobre los
detalles y comportamiento de dicho código dañino, pudiendo
obtener información valiosa (como conocer si existe o no una
herramienta de descifrado y recuperación de ficheros).
Por lo general, el objetivo principal del ransomware no es
conseguir su persistencia en el equipo infectado, ya que la
misma solicitud del rescate pone de manifiesto su presencia.
Por esta razón, en la mayoría de los casos, su eliminación puede
ser sencilla y suele haber herramientas de desinfección,
especialmente desarrolladas para tal fin y a disposición de las
víctimas para que puedan eliminar el código dañino del
dispositivo atacado

Una vez identificado el ransomware que ha infectado el equipo,

se pueden consultar sitios en Internet en los que se indica si, en
ese momento, es posible o no la recuperación (descifrado) de
los ficheros secuestrados. Si tal recuperación es posible, se
debe a herramientas desarrolladas por organizaciones tan
variadas como Kaspersky9, Intel Security, McAfee, Panda
Security, Sophos, HitMan, compañías anti-malware, distintos
centros de respuesta e investigadores y analistas de seguridad,
que liberan las claves maestras de forma pública y altruista,
entre otros muchos

Cuando restaure el sistema, procure que esta vez esté con sus
parches al día y con herramientas de protección como antivirus
o EDR.

CONTACTO@GLOBALCYBER.CL
Si los equipos afectados son servidores con sistemas
institucionales, se debe evaluar la aplicación de los planes de
contingencia, pues hay una condición en la que se comienza a
afectar la operatividad institucional
¿CÓMO PUEDO PROTEGERME?

Buenas
practicas
A continuación, se enumeran buenas prácticas para detectar o mitigar
parcialmente la acción de un ransomware

Mantener copias de seguridad periódicas de todos los datos

importantes. Es necesario mantener dichas copias aisladas y sin
conectividad con otros sistemas, evitando así el acceso desde equipos
infectados. [ISO/IEC 27001:2022 8.13 Information backup; Nch-ISO
27002: 12.3.1 Respaldo de información]

Mantener el sistema actualizado con los últimos parches de seguridad,

tanto para el sistema operativo como para el software que hubiere
instalado. [ISO/IEC 27001:2022 8.8 Management of technical
vulnerabilities; Nch-ISO27002: 12.6.1 Administración de
vulnerabilidades técnicas]

Establecer separación de redes internas con elementos de control

como por ejemplo un firewall interno distinto del firewall perimetral,
con el objetivo de limitar las oportunidades de movimiento lateral del
malware. [ISO/IEC 27001:2022 8.22 Segregation of networks; Nch-ISO

CONTACTO@GLOBALCYBER.CL
27002: 13.1.3 Segregación en las redes]

Mantener una línea de defensa con las últimas firmas de

antivirus/antimalware (en lo posible incorporando tecnologías en base
a análisis de comportamientos), además de disponer de una correcta
configuración de los firewall a nivel de aplicación (basado en el criterio
fundamental de que todo está prohibido salvo aquello que está
explícitamente permitido). [ISO/IEC 27001:2022 8.7 Protection against
malware; Nch-ISO 27002: 12.2.1 Controles contra el malware]

No permitir que los usuarios puedan instalar aplicativos, es decir, no

tienen permisos de administrador. [ISO/IEC 27001:2022 8.19
Installation of software on operational systems; Nch-ISO 27002: 12.6.2
Restricciones en la instalación de software y 12.5.1 Instalación de
software en sistemas operacionales]
Contraseñas seguras, y en lo posible que incorporen la estrategia
de un segundo factor de autenticación para reducir el impacto de
una contraseña comprometida. Como se ha mencionado, el ataque
a servicios visibles desde Internet con credenciales de acceso
débiles (contraseñas inseguras) es un procedimiento que se vuelve
cada vez más asiduo. [ISO/IEC 27001:2022 5.17 Authentication
information; Nch-ISO 27002: 9.2.4 Administración de la información
de autenticación secreta de los usuarios]

No exponer servicios de escritorio remoto a Internet ni otros

puertos de Windows (tcp/445 por ejemplo). Utilizar el concepto de
extranet sobre VPN para acceder a recursos internos desde zonas
externas. [ISO/IEC 27001:2022 5.15 Access control; Nch-ISO 27002:
9.1.2 Acceso a redes y servicios de red]

Políticas BYOD (Bring Your Own Device). Cada vez es más habitual
que las empresas adopten este tipo de política, que permite al
trabajador usar sus dispositivos electrónicos como medio de
trabajo dentro de la organización. Estos aparatos son un potencial
vector de infección y es por ello por lo que es imprescindible
definir unas reglas de seguridad. [ISO/IEC 27001:2022 8.1 User
endpoint devices; Nch-ISO 27002: 6.2.1 Política de dispositivos
móviles]

Disponer de sistemas antispam y antimalware a nivel de correo

electrónico y establecer un nivel de filtrado alto, de esta manera se

CONTACTO@GLOBALCYBER.CL
reduce las posibilidades de infección a través de campañas
masivas de ransomware por correo electrónico. [ISO/IEC
27001:2022 5.14 Information transfer; 8.7 Protection against
malware; 8.23 Web filtering; Nch-ISO 27002: 13.2.3 Mensajería
electrónica]

Establecer políticas seguridad en el sistema para impedir la

ejecución de archivos desde directorios comúnmente utilizados
por el ransomware (App Data, Local App Data, etc.). Herramientas
como AppLocker, Cryptoprevent o CryptoLocker Prevention Kit
permiten crear fácilmente dichas políticas.
Es esencial que formemos y concienticemos a los colaboradores
de una institución, enseñándoles a reconocer estas situaciones y
cómo actuar en consecuencia. Los usuarios han de conocer las
políticas en materia de ciberseguridad, como por ejemplo, las
relativas al uso permitido de aplicaciones y dispositivos, el uso de
wifis públicas, la seguridad en el puesto de trabajo y en movilidad
o la política de contraseñas

Bloquear el tráfico relacionado con dominios y servidores C2

mediante un IDS/IPS, evitando así la comunicación entre el
código dañino y el servidor de mando y control.

No utilizar cuentas con privilegios de administrador, lo que

permite reducir el potencial impacto de la acción de un
ransomware.

Mantener actualizas listas blancas de aplicativos que están

soportados y permitidos al interior de la institución.

Mantener listas de control de acceso para las unidades mapeadas

en red. En caso de infección, el cifrado se producirá en todas las
unidades de red mapeadas en el equipo víctima. Restringiendo
los privilegios de escritura en red se mitigará parcialmente el
impacto

Se recomienda el empleo de bloqueadores de Javascript para el

navegador, que impide la ejecución de todos aquellos scripts que

CONTACTO@GLOBALCYBER.CL
puedan suponer un daño para nuestro equipo. De este modo se
reducen las opciones de infección desde la web (Web Exploit
Kits).

Mostrar extensiones para tipos de archivo conocidos, con el fin de

identificar posibles archivos ejecutables que pudieren hacerse
pasar por otro tipo de archivo.

Adicionalmente, se recomienda la instalación de la herramienta

"Anti Ransom", que tratará de bloquear el proceso de cifrado de
un ransomware (monitorizando "honey files").

El empleo de máquinas virtuales podría evitar en un alto

porcentaje de casos la infección por ransomware. Debido a las
técnicas anti-debug y anti-virtualización comúnmente presentes
en este tipo de código dañino
Comprueba regularmente que las copias de seguridad que tienes
almacenadas funcionan correctamente y que saben los pasos
para recuperarlas. Las copias de seguridad también pueden
corromperse. Por ello, es necesario un chequeo periódico de esa
copia de respaldo, para lo que hay que probar la restauración de
algunos ficheros cada cierto tiempo.

Cifra la información más sensible de tu institución para que, en

caso de robo de tus ficheros, los ciberdelincuentes no puedan
hacer pública la información. No olvides que no debes guardar la
clave de cifrado en el mismo dispositivo, y si empleas un
certificado para descifrarla, guárdalo en una memoria USB y
mantenla desconectada de tus equipos

Evitar el email spoofing o suplantación de correo electrónico

utilizando autenticación de correos entrantes (existen distintos
protocolos que pueden ayudar si se implementan y configuran:
Sender Policy Framework (SPF), Domain Message Authentication
Reporting and Conformance (DMARC) y Domain Keys Identified
Mail (DKIM)

Deshabilitar las macros de los ficheros de Office o de cualquier

otra suite ofimática, o bien, utilizar un previsualizador de
documentos (existen alternativas online) en lugar de abrir los
ficheros directamente con los programas ofimáticos.

CONTACTO@GLOBALCYBER.CL
También es recomendable realizar periódicamente una auditoría
a nuestros sistemas, tanto para poner a prueba nuestros
mecanismos de seguridad como para comprobar nuestra
capacidad de defensa ante los ataques

Extienda estas recomendaciones a sus proveedores, pues

también pueden verse afectado ellos, e indirectamente afectarlos
a ustedes.
Vectores de
infección
Dentro del phishing se pueden distinguir
dos formas de infección típicas, ya sea
mediante el enlace a una página
fraudulenta, que oculta el código dañino en
Phishing mediante
una aparente aplicación legítima, o
correo electrónico mediante un fichero especialmente
manipulado que aparece adjunto al
mensaje de correo.

Este tipo de infección consiste en dirigir a la

víctima hacia un sitio web que puede ser
legítimo, pero que los cibercriminales han
alterado previamente, o puede ser una
Mediante enlace copia prácticamente idéntica que resulta
web indistinguible de la versión legítima. En
ambos casos, la víctima descarga o ejecuta
(de forma consciente o inconsciente) una
aplicación que, aunque en principio no

CONTACTO@GLOBALCYBER.CL
parece sospechosa, oculta el código dañino.

En este caso, el propio mensaje de correo

electrónico lleva consigo un fichero y que,
bajo alguna excusa (falso informe bancario,
Mediante fichero
formularios, imágenes, etc.), invita y
adjunto consigue que la víctima lo abra, operación
que desencadena la ejecución del código
dañino
 Los atacantes, mediante herramientas
automatizadas, buscan equipos que tengan expuesto
Ataques por RDP este servicio a Internet. A continuación, mediante un
ataque por fuerza bruta o por ataques de diccionario
tratan de conseguir acceso al equipo.

Desde finales de 2017 se empezaron a utilizar

métodos donde la ingeniería social ya no era
necesaria, dado que la interacción del usuario se
elimina.
Un ejemplo es el uso de exploits (programas que se
Ataques sin aprovechan de una inseguridad para poder ejecutar
interacción del código arbitrario) en los propios documentos
usuario ofimáticos que se ejecutan con la simple apertura del
mismo, sin necesidad de activar macros. Este tipo de
ataques son muy peligrosos ya que la necesidad de
interacción es nula, pues no suelen mostrar ninguna
alerta o ventana, lo que dificulta la tarea de
determinar cuándo se realizó la infección

Casos como estos pueden darse, por ejemplo, con la

CONTACTO@GLOBALCYBER.CL
familia de virus conocidas como troyanos, que
conceden el control total del sistema al atacante,
Por medio de downloaders (“descargadores”) cuyo único cometido
otro malware es descargar más malware o backdoors, es decir,
puertas traseras que se dejan abiertas en el equipo
infectado con el objetivo de tener una entrada directa
en el futuro.

una vía de infección que se aprovecha de alguna

vulnerabilidad conocida del navegador o de algún
Navegación web.
plugin instalado para poder ejecutar el código
Web Exploit Kits dañino.
Cooperación
para enfrentar
el Ransomware

Katherina Canales
Especialista en estrategias
de Ciberseguridad
CoFundadora y COO en GlobalCyber

Las estimaciones más conservadoras sobre el costo total de una

infracción de seguridad producida por un ransomware para el año 2021 -
excluyendo el pago de rescates-, alcanzó, en promedio, los USD$ 4,6
millones de dólares (Fuente: IBM), mientras que los rescates llegaron a
un peak en el cuarto trimestre de 2021, pasando de los USD$ 139 mil
(tercer trimestre) a los USD$ 322 mil, un alza de 63% en el pago
promedio.

Pese a estas impresionantes cifras, el Ransomware y sus consecuencias

siguen siendo desconocidos entre el común de las personas. Las
sociedades están pagando el precio de este ciberataque aún sin estar
conscientes de ello.

Entre los entendidos y los entusiastas de la ciberseguridad, la

CONTACTO@GLOBALCYBER.CL
perspectiva es completamente diferente. El Ransomware es una de las
principales amenazas entre las organizaciones de gobierno, las industrias
y especialmente para los negocios. Es por eso que cada vez más
entidades públicas y privadas están implementando y mejorando sus
tecnologías y equipos de seguridad TI, creando lazo de cooperación, y
aplicando planes y políticas de seguridad y buenas prácticas al interior
de sus organizaciones.

Las buenas noticias no se han traducido en una merma de los ataques.

Los cibercriminales están refinando sus estrategias y seleccionando sus
objetivos, además de evolucionar en sus prácticas. Muchos atacantes han
focalizado sus objetivos y están implementando operaciones RaaS
(Ransomware-as-a-Service) para disminuir costos y riesgos, un cambio
sutil pero efectivo que demuestra el alza de sus rendimientos en la
última parte del 2021.
Otro de los fenómenos que se ha implementado en la estrategia de
ransomware en el último tiempo es la doble extorsión, la que involucra el
pago por la descripción de la llave para descifrar archivos y servidores
comprometidos, más el pago adicional para destruir los archivos robados.
Ese nuevo esquema de extorsión, que antes sólo involucraba un pago,
tiene incluso una evolución. desde el año 2020 se han encontrado casos
de triple extorsión, en los cuales el criminal demanda recompensas de la
organización víctima así como de los clientes de esta.

Uno de los debates más intensos es respecto al ransomware tiene

relación con el eventual pago de los rescates. En 2021 el 32% de las
víctimas de ransomware en el mundo pagó el rescate solicitado, y de
estos, el 65% de las víctimas lograron recuperas sus activos informáticos.
Si bien el pago del rescate no asegura la devolución de los datos (35%),
una gran mayoría de los atacantes si cumple su promesa porque
entiende que eso es un componente central de su negocio.

El año 2021, y en lo que va del 2022, uno de los principales protagonistas

del Ransomware ha sido Conti, uno de los principales exponentes del
Ransomware-as-a-Service. La nueva variante Conti representa el 19,4%
del mercado del ransomware.

A diferencia de otros Ransomware, Conti es descrito como un modelo

diferente a la estructura de afiliados típicos. CISA de los Estados Unidos
señaló que es probable que los desarrolladores de Conti reciban un
salario por su implementación en lugar de repartir las ganancias de los

CONTACTO@GLOBALCYBER.CL
ataques.

También han descrito en una actualización de alertas recientes, que

Conti utiliza como vectores comunes de sus ataques las campañas de
phishing en correos electrónicos personalizados con archivos adjuntos
maliciosos (Word) con secuencias de comandos incrustados para
descargar TrickBot y Cobalt Strike, para ayudar con el movimiento lateral
y etapas posteriores del ataque.

También se ha descrito que utilizan credenciales RDP robadas o débiles,

vulnerabilidades comunes, softwares falsos promocionados en
optimizaciones de motores de búsquedas y hasta llamadas telefónicas.
Si bien las técnicas de Conti dan a entender que el Ransomware sigue
siendo un delito de oportunismo por sobre el de objetivos específicos, no
es menos cierto que la focalización de los ataques en sectores y
empresas de tamaños específicos (entre 1.000 y 10.000 empleados)
experimentó un aumento en los últimos meses de 2021. Algunos expertos
piensan que las más recientes campañas de ransomware se han visto
afectadas por la acción policial internacional en el último que ha logrado
derribar a algunas bandas (el caso de REvil) y esto contrajo el mercado de
los ciberdelincuentes y afiliados dispuestos a arriesgarse a tomar parte
en acciones maliciosas por el dinero que se ofrece.

Pero ciertamente, del lado de los negocios y organizaciones de gobierno,

las mejoras en la ciberseguridad empresarial, la implementación de
seguros cibernéticos y el robustecimiento de las políticas, normas y
legislaciones nacionales, están siendo un factor que los atacantes
también están considerando antes de emprender sus acciones
delictuales.

Latinoamérica tiene la obligación de prestar atención a los

acontecimientos del ransomware a nivel global y reaccionar
oportunamente para evitar que nuestro ciberespacio se convierta en un
escenario ideal para los atacantes que busquen alejarse
circunstancialmente de los riesgos a los que se exponen en otras
sociedades más avanzadas que la nuestra en materia de ciberseguridad.

CONTACTO@GLOBALCYBER.CL
El llamado esa crear conciencia en las empresas y gobiernos nacionales, y
extender la cooperación internacional para crear barreras que protejan
los activos informáticos críticos de nuestros países y prepararnos para
tomar medidas y compartir indicadores en el menor tiempo posible, y de
esa forma enfrentar al ransomware con mayor coordinación y eficiencia.
Cifras
alarmantes
60% de los ataques de ransomware estuvieron
dirigidos a países de América

En un 85% aumentaron las víctimas de ransomware

el último año

EL 80% de las organizaciones fueron atacadas por

una ransomware

Se estima que se registró un ataque de ransomware

cada 11 segundos en 2021

32 nuevas familias de ransomware fueron

descubiertas en 2021, un aumento del 26% respecto
al año anterior.

Con un 15,5%, Conti fue la variante de ransomware

más activa del mercado en 2021. Le sigue
Sodinokibi con un 7,1%.

CONTACTO@GLOBALCYBER.CL
Conti recibió la mayor cantidad de pagos por
rescates, (US$ 13 millones). Le siguió Sodinokibi
(US$ 12,13 millones) y DarkSide (US$ 4,6 millones)
5,4 millones de dólares fue la mayor demanda por
un rescate solicitada por atacantes. El valor
promedio de los rescates solicitados se aproximó a
los 2,2 millones

El costo promedio de una brecha de seguridad

originada por un ransomware fue de US$ 4,6 millones

En 2021, los intentos de ransomware contra los

gobiernos aumentaron hasta tres veces el punto más
alto del año anterior

Fuentes: Reportes de Palo Alto, Forbes, Ventures,

Ivanti, Atlas VPN, IBM Y SonicWall
Costos globales
por daños por
Ransomware

2015 $325 millones

2017 5 billone

2021 20 billones

2024 42 billones

2026 71,5 billones

2028 157 billones CONTACTO@GLOBALCYBER.CL

Se espera que el ransomware ataque a una empresa, un

consumidor o un dispositivo cada dos segundos el año 2031,
frente a cada 11 segundos que ataco en 2021

Fuente: Cybersecurity ventures

RANSOMWARE EN
AMÉRICA

Este informe es un testimonio del trabajo que muchos países de América

Latina están realizando para enfrentar el ransomware. Pero también es un
manifiesto sobre la voluntad que tenemos para coordinar ese trabajo.

Las sociedades estamos avanzando en esa coordinación mucho más rápido

de lo que nuestras legislaciones lo hacen. Los equipos de seguridad TI en
organizaciones y empresas están cada vez más abiertos a compartir
información de inteligencia entre ellos. Lo que necesitamos es crear más
instancias para fomentar ese intercambio y madurar nuestras estrategias de
ciberseguridad con esos contenidos.

A ello debemos sumar los esfuerzos por crear concientización entre los
usuarios y perspectivas ágiles de gestión en el trabajo de nuestros equipos,
para que podamos hacer frente a las amenazas cibernéticas.
El ransomware es una amenaza que trasciende a las sociedades y las
iniciativas para enfrentarla siempre serán insuficientes sino estamos unidos y
bien coordinados.

Nuestro objetivo es fomentar una comunidad que madure para enfrentar a

los ciberatacantes, atenuar su acción en América Latina y mitigar el impacto
que pueda generar entre nuestras organizaciones.

Queremos agradecer a grandes amigos y profesionales que aceptaron la

invitación ha colaborar en este trabajo.
Sus diferentes perspectivas y énfasis sobre el escenario del ransomware en
cada uno de los países de América son un aporte muy relevante en el desafío
que estamos enfrentando para mejorar nuestra ciberseguridad.
Ransomware en Chile
Carlos Landeros
CoFundador y CEO en Globalcyber

No se puede discutir del gran logro y esfuerzo de la OEA en estos

últimos 12 años en incentivar, ayudar y en algunos casos financiar la
creación de CSIRT en los diferentes países de América Latina.

Ya hoy no queda casi ningún país que no tenga este tipo de

instituciones, claramente con las diversidades que nos representa como
Continente, algunos CSIRT mucho más avanzado que otros, algunos con
funciones nacionales, otros públicos, federales, privados, etc.
Pero hoy, ya se habla de los CSIRT 2.0, de la actualización de los ya
creados y de las mejoras a sus sistemas, procedimientos, ámbitos de
operación y roles. Uno de los cambios fundamentales, es subir el nivel
técnico de estas instituciones, en no sólo ser un hub y distribuidor de
alarmas, de vulnerabilidades y reportes, sino también tener y desarrollar

CONTACTO@GLOBALCYBER.CL
la capacidad de investigar y descubrir nuevas APT.
América es uno de los continentes con mayores ataques de
Ransomware, pero somos de los más bajos en la investigación, análisis y
descubrimiento de APT.

El siguiente caso es uno de ellos, fue descubierto el 2019, por el CSIRT de

Chile (https://csirt.gob.cl), el ataque de Ransomware afectó al Servicio
Agrícola Ganadero (SAG) (https://www.sag.gob.cl) dependiente del
Ministerio de Agricultura del Gobierno de Chile. En dicha ocasión, el no
tener servidores con sistema operativo Windows actualizados en la DMZ
de la red del SAG, generó la afectación de las plataformas, servidores y
estaciones de trabajo con una infección masiva de una nueva variable
de Ransomware que paralizó por suerte por pocos días entre otras cosas
la operación digital de importaciones y exportaciones de productos
agrícolas y ganaderos a través del uso de sistemas informáticos del SAG.
Pese a la grave afectación de los sistemas informáticos de esta
institución pública, lo destacable y distinto a lo demás procesos similares,
fue la afectación con una variable nueva, no conocida ni detectada aún -
en dicho momento - por las plataformas y herramientas de seguridad
existentes.
Este ransomware correspondía a una nueva variable de BitPaymer, la que
fue corroborada y renombrada internacionalmente por la empresa
CrowStrike, como el ransomware DoppelPaymer una semana después de
publicada la alarma por CSIRT:
(https://www.csirt.gob.cl/media/2019/07/2CMV-00016-001).
Como la mayoría de los ransomware, cifraba los archivos de los servidores
con extensión “.locked” y el clásico mensaje de aviso.

CONTACTO@GLOBALCYBER.CL
Comparativamente hablando las diferencias de lo encontrando con las
clásicas versiones del BitPaymer eran las siguientes:

DoppelPaymer BitPaymer

Cada archivo “readme” contiene una

clave AES cifrada de 256 bits en un
Cada archivo “readme” campo llamado KEY. Las versiones
contiene una clave AES anteriores contenían una clave RC4
Nota de rescate cifrada de 256 bits en un cifrada de 128 bits en el campo KEY.
campo denominado Las versiones actuales utilizan
DATA. servicios de correo electrónico
anónimo como ProtonMail para las
negociaciones de pago de rescate.

4096-bit RSA + 256-bit AES.

2048-bit RSA + 256-bit
Encriptación Versiones anteriores usan 1024-bit
AES
RSA + 128-bit RC4.

Standard padding Bytes aleatorios especificados en un

Esquema de cifrado
(PKCS#7) campo llamado TAIL

Los archivos cifrados se renombran

Los archivos cifrados se con el nombre de la víctima como
Nombre del archivo de
renombran con una extensión. A las versiones anteriores
rescate
extensión “.locked”. se les agrega el sufijo “.locked” a los
nombres de los archivos cifrados.

CONTACTO@GLOBALCYBER.CL
Estas variables nuevas de ransomware acontecen con mayor frecuencia
de lo que uno cree en América Latina; y la invitación final de este artículo
es llamarlos a tener equipos de respuestas que tengan la capacidad de
detectar en vivo las nuevas variables detectadas, obtener de la memoria
y de los registros de los equipos analizados en modo forense los
indicadores de compromisos involucrados y distribuirlos a través de los
MISP tan pronto sea posible.
Ransomware en Uruguay
Mauricio Papaleo
Director de Seguridad de la Información
Agesic - Presidencia de la República, Uruguay

El ransomware es una amenaza a nivel global que se ha extendido y

proliferado de una forma insospechada en los últimos años, y fue una
de las principales formas de ataque durante 2021. (1)

Es un tipo de extorsión que secuestra la información bloqueando,

mediante cifrado, el acceso al dispositivo o a la información de una
empresa u organización, afectando su operativa, generando daños a
la reputación y pérdidas económicas por ejemplo al no cumplir con la
ley de protección de datos personales; incidiendo sobre los clientes
de forma directa en la mayor parte de los casos. En general el
secuestro de datos implica una extorsión por parte de quien ataca en
el cual, si no se accede al pedido, amenaza con destruir la

CONTACTO@GLOBALCYBER.CL
información o hacerla pública en un determinado plazo.

Unos de los casos más conocidos públicamente en el último tiempo

fue el sufrido por Colonial Pipeline, la compañía de oleoducto más
importante de Estados Unidos, donde el ataque de ransomware
provocó el corte del suministro de combustible en una zona
importante del país durante varios días, afectando parte de la
infraestructura crítica del país. Asimismo, son frecuentes los ataques
a pequeñas empresas que, en muchos casos, no han tomado las
medidas adecuadas.

(1)https://www.ibm.com/downloads/cas/ADLMYLAZ?_ga=2.157620595.899152561.1648185438-
566209985.1648185438&adoper=174384_0_LS1
Como en el resto del mundo, en Uruguay también existen ataques de
ransomware. A nivel de gobierno éstos han sido detectados y mitigados.
Desde el CERTuy (Centro Nacional de Respuesta a Incidentes de
Seguridad Informática de Uruguay) ponemos especial énfasis en el
trabajo colaborativo, compartiendo información con la comunidad para
lograr mejorar los mecanismos de prevención y de respuesta a los
incidentes.

Independientemente del tamaño, la forma más eficaz de enfrentar un

ataque de este tipo consiste en que toda la empresa u organización
cuente con una buena planificación de su resiliencia tecnológica para
lograr asegurar la continuidad. Las medidas de prevención y preparación
deben de ser planificadas y puestas en funcionamiento para poder
sortear este tipo de ataques. Lograrla implica involucrar a toda la
empresa u organización como parte de la planificación. Si tenemos en
cuenta, que solamente el 8% de las empresas que pagan un rescate
recuperan sus datos, valorar bien el riesgo y apostar por éstas medidas
son una buena inversión. (2)

Uno de los aspectos principales para lograr la resiliencia es concientizar

al personal, que en estos casos se termina transformando en el eslabón
más débil de la cadena.
En Uruguay, desde 2014 se lleva adelante una campaña de difusión y
concientización, denominada “Seguro te conectás”, que tiene como
objetivo dar a conocer las amenazas en el mundo digital, propiciando un
vínculo responsable entre las personas e internet. En particular, en el

CONTACTO@GLOBALCYBER.CL
último año nos focalizamos en brindar consejos útiles para la protección
del sector de las PYMES quienes, en muchos casos, debieron trabajar de
forma digital y remota debido a la pandemia. (3)

En definitiva, tener una buena prevención y respuesta frente a los

incidentes, concientizar y capacitar al personal de la empresa generando
las habilidades necesarias; y planificar la resiliencia digital de la empresa
es la mejor manera de estar preparado frente a un ataque de
ransomware.

(2)https://assets.sophos.com/X24WTUEQ/at/wpkww9k8xsn3m7j2hrpw5ws/sophos-state-of-ransomware-2021-
wpes.pdf?cmp=120469
(3)https://www.gub.uy/agencia-gobierno-electronico-sociedad-informacion-conocimiento/seguro-te-conectas
Ransomware en Brasil
Vagner Nunes
Cybersecurity Advisor
gtechne.com

Brasil es el cuarto objetivo de los ataques de ransomware en el mundo,

sólo por detrás de Estados Unidos, Alemania y el Reino Unido. Se calcula
que solo en 2021 Brasil sufrió 33 millones de intentos de intrusión.

El elevadísimo número de atentados revela el alto grado de exposición

del país a este tipo de amenazas. En la práctica, Brasil está sometido a
continuos ataques, en particular las PIMES son constantemente objeto
de ataques de ransomware.

Entre los casos que marcaron el año 2021, con importantes

consecuencias para la continuidad del negocio, y también para la
privacidad de sus clientes, estuvieron Lojas Renner, CVC, Porto Seguro,
Atento, Serasa Experian y plataformas como Facebook y LinkedIn.

CONTACTO@GLOBALCYBER.CL
La vulnerabilidad de Apache Log4j fue la amenaza más explotada del
año, con 142 millones de ataques entre diciembre y enero, con una media
de 2,7 millones al día.

También en este sentido, se produjo un aumento significativo (19%) de

los ataques de criptojacking a nivel mundial, alcanzando la marca de 97
millones de ataques.

Se calcula que sólo en Brasil los daños causados por las ciberamenazas
superan los 30.000 millones de reales.

Por otro lado, el gobierno brasileño, a través de su Gabinete de

Seguridad Institucional (GSI), envió un proyecto de ley para la creación
de una red nacional de tratamiento y respuesta a incidentes,
principalmente orientados a las infraestructuras críticas del país.
El proyecto crea un consejo nacional formado por ministerios y
representantes de la iniciativa privada, donde se establece una
gobernanza nacional y tiene un carácter colaborativo. Además, el
proyecto prevé la enseñanza de la ciberseguridad desde las primeras
etapas de la vida escolar en el país.

Todas las iniciativas tienen como objetivo tratar de contener el creciente

aumento de las amenazas cibernéticas en suelo brasileño, buscando
proteger la iniciativa privada, los PIMES y también las infraestructuras
críticas del País.

CONTACTO@GLOBALCYBER.CL
Ransomware en el Perú
Aldo Villaseca Hernández
Cyber Security Consultant Base4 Security

El ransomware es una de las principales amenazas para las

organizaciones y su exponencial crecimiento cada año nos lleva a
desarrollar una estrategia de ciberseguridad para enfrentarlo.

Si buscamos un poco sobre la historia de esta amenaza GpCode

ransomware aparece en el año 2006 mediante uso de Spear Phishing y
se propagaba mediante archivos adjuntos de correo electrónico que
parecían ser una solicitud de empleo.

En el contexto actual el 2021 Ransomware Study de IDC indica que

aproximadamente el 37% de las organizaciones globales dijeron que
fueron víctimas de algún tipo de ataque de ransomware en 2021. En este
mismo año el FBI’s Internet Crime Complaint Center (IC3) señala que
recibió 3.729 denuncias identificadas como ransomware con pérdidas de
más de 49.2 millones de dólares.
Las estadísticas por sector que reporta FBI en el 2021 INTERNET CRIME

CONTACTO@GLOBALCYBER.CL
REPORT nos permite ver que son el Sector Salud y el Sector Financiero
los más afectados.

Defensa (1)
Servicios de emergencia (2)
Sistemas de agua (4)
Químico (12)
Comunicaciones (17)
Energía (31)
Transporte (38)
Agricultura (52)
Comercio (56)
Gobierno (60)
Fabricación crítica (65)
Tecnologías de la Información (74)
Servicios financieros (89)
Salud Pública (148)

Sectores de infraestructura víctimas del ransomware

En el caso de Perú ocupa el puesto 31 a nivel mundial de haber sufrido
ataques de Ransomware, los países de Latam que superan a Perú son
Brasil y México. De modo qué Perú es el 3 país más atacado por
Ransomware en la región según estadísticas de Kaspersky

Troyan ransom geography

De acuerdo a las estadísticas, South America Internet Usage Stats,

Population Statistics and Facebook Reports (internetworldstats.com), en
Perú hay 2´7330,000 conexiones a Internet. De modo que podríamos
concluir que hay más de 117 mil víctimas o potenciales víctimas de
Ransomware de lo que lleva el año: 1 de enero, 11 de abril 2022.

Ante estos hechos, y sabiendo que la disponibilidad de kits de

ransomware "llave en mano" conocidos como ransomware como servicio

CONTACTO@GLOBALCYBER.CL
(RaaS), en la "Dark Web" ha alimentado la proliferación de incidentes de
este tipo , el desarrollo de una Estrategia de ciberseguridad será valiosa
para las organizaciones .

Tal como lo señalamos en el reporte sobre Phishing se ha de considerar

estos 03 componentes:

Documentos que gobiernan la Ciberseguridad,

Herramientas tecnológicas de Seguridad informática con
configuración segura
Programas continuos de Capacitación y Concienciación sobre
Ciberseguridad con indicadores (KPI) definidos para medir eficacia.
Finalmente, en base a mi experiencia sugiero considerar en el desarrollo
de la estrategia de Ciberseguridad estas acciones:

En materia de políticas

Políticas Tecnología Concientización

Política de Gestión Antivirus con EDR .

de Activos. Múltiple Factor de Manténgase al día
Política de Gestión Autenticación(MFA). sobre la evolución
Vulnerabilidades. Copias de Seguridad del panorama de las
Política de Copias protegidas fuera de amenazas
de Seguridad Y linea. Educar y Sensibilizar
recuperación de Si utiliza el a los usuarios.
información basados Protocolo de Realizar pruebas de
en riesgos. Escritorio Remoto Ethical Phishing
Determinar (RDP), asegúrelo y para crear
frecuencias de vigílelo. conciencia en los
copias de respaldo Despliegue usuarios finales.
considerando oportuno de parches Implementar
Objetivo de Tiempo de seguridad. indicadores para
de Recuperación Herramientas SIEM medir efectividad.
(RTO)y el Objetivo con casos de uso e Analizar resultados
de Punto de Inteligencias de del Plan de
Recuperación (RPO). Amenazas. Concientización
Crear Playbook Incorporar una Incorporar Lecciones
Ransomware y herramienta de Aprendidas como
ejecutar pruebas. SOAR (Security parte de la mejora
Revise y pruebe su Orchestration continua

CONTACTO@GLOBALCYBER.CL
plan de respuesta a Automation and .
incidentes. Response)|.
Implemente el Desplegar SASE
modelo Zero Trust. (Secure Access
Service Edge) para
servicios de Nube.
Asegúrese de que
toda la
infraestructura de la
nube, Kubernetes y
las imágenes de
contenedores están
configurados de
forma segura.
Ransomware en Argentina
Gustavo Sain
Director Nacional de Ciberseguridad de la
República Argentina. Coordinador
Académico de la Diplomatura en Ciberdelito
de la Facultad de Ciencias Sociales de la
Universidad de Buenos Aires (UBA)

El ransomware (conjunción de “ransom” -rescate- y software) es un

programa malicioso, un malware que encripta determinados archivos de
un dispositivo o sistema o el acceso a los mismos. El “secuestrador” de los
datos solicita un “rescate”, un pago de criptomonedas, generalmente, para
liberar la información. Durante los dos primeros años de la pandemia del
COVID-19, en Argentina, se produjo un incremento de denuncias sobre la
distribución de este tipo de software malicioso en organizaciones públicas
y privadas. Una característica propia de los delitos cometidos mediante
este malware en el contexto excepcional de pandemia es una mayor
sofisticación y complejidad en las técnicas de comisión.

Los primeros tipos de ransomware bloqueaban el acceso al equipo de un

usuario haciéndoles llegar un supuesto mensaje de agencias de seguridad

CONTACTO@GLOBALCYBER.CL
que los acusaba de infligir la ley. Los argumentos eran el de visitar sitios
webs de pornografía y por descarga de archivos protegidos por los
derechos de autor (música, películas, etc.).
En este caso las bases de datos almacenadas en los dispositivos no se
cifraban mediante técnicas criptográficas, sino que se alteraban los
archivos de inicio de una computadora para impedir su acceso a los
mismos.

Al igual que los ataques de phishing, en un principio, las víctimas eran

generales y se utilizaban direcciones web que aparecían públicamente en
sitios web para luego enviar los mensajes fraudulentos como SPAM
(correo no deseado)[1].

(1) El phishing es término derivado de las palabras en inglés “password harvesting fishing”, que pueden traducirse como “cosecha y pesca de
contraseñas”. Se trata de un fraude de ingeniería social aplicado para “pescar” datos personales de una víctima. Es utilizado como una técnica para
cometer el robo de identidad, el fraude más común de Internet, entendido como la obtención no autorizada de datos personales para realizar luego
una suplantación o usurpación de identidad en un hecho ilícito posterior. La ingeniería social en informática hace alusión al proceso por el que se
intenta obtener información de un usuario mediante métodos y herramientas no técnicas, como por ejemplo, el proceso comunicacional. Es
utilizada por los “phishers” para ganarse la confianza de una persona y así obtener los datos de ella, generalmente, para la comisión de una estafa
posterior.
Al igual que los ataques de phishing, en un principio, las víctimas eran
generales y se utilizaban direcciones web que aparecían públicamente
en sitios web para luego enviar los mensajes fraudulentos como SPAM
(correo no deseado)[2].

En los últimos años, se ha segmentado el público y se han ampliado los

objetivos de usuarios particulares a empresas y organismos
gubernamentales con ataques dirigidos, mediante la explotación de
vulnerabilidades de los sistemas, campañas de phishing y/o cifrando los
archivos. En la República Argentina, empresas multinacionales con sedes
en el país como Telecom, Cencosud o Galeno fueron víctimas de este tipo
de ciberataques.

Meses antes de la pandemia del COVID-19, los atacantes comenzaron a

realizar copias de información en forma remota antes de encriptarla para
luego amenazar a la organización víctima con hacerla pública en Internet
en caso de no pagar el rescate, lo que constituye una doble extorsión.
Asimismo, aumentaron los ataques mediante la explotación de
vulnerabilidades de los sistemas, y comenzaron los de “fuerza bruta”
contra los empleados de las organizaciones, que se conectaban a las
redes corporativas a partir de la expansión del trabajo remoto o
teletrabajo[3].

Por otro lado, se incrementó notablemente en la Internet profunda o

Deep Web la cantidad de sitios donde se ofrece el ransomware como
servicio por parte de hackers maliciosos[2]. El modelo de negocios de

CONTACTO@GLOBALCYBER.CL
ransomware como servicio (RaaS, por sus siglas en inglés) incluye la
descarga del software malicioso, el soporte, la venta de vulnerabilidades
Zero Day y la de credenciales robadas, adquiridas en mercados negros
que funcionan en línea.

(2) Un ataque de fuerza bruta sucede cuando un atacante intenta ingresar a un sistema informático probando diferentes
combinaciones de caracteres hasta que logra descubrir la contraseña buscada. De esa forma obtiene las credenciales de
acceso para ingresar a la cuenta de un legítimo usuario.

(3)La Deep Web o “Internet profunda” consta de una serie de sitios webs no públicos -no localizados por los motores de
búsqueda-, que son inaccesibles para mantener la privacidad de las comunicaciones y el anonimato de sus usuarios y para su
uso se requiere de un navegador específico (Navegador TOR, The Onion Router) y redes distribuidas descentralizadas (Cadena
de Bloques o Blockchain).
Ransomware en
Honduras
Sandy Palma
CEO de HondurasCibersegura

En el transcurso de última década, el Ransomware ha sido una de las

técnicas más utilizadas por los ciberdelincuentes, más que algunos
casos al azar que ha sido de conocimiento público, como cuando
Wanna Cry, con su variante Petya afecto a nivel mundial. Según
reportes emitido por la Comisión Nacional de Telecomunicaciones
(CONATEL), informo de manera oficial que al menos dos empresas en
Honduras fueron afectadas, pero que podrían ser más.

A nivel mundial el uso de Ransomware sigue creciendo y en Honduras

no es la excepción, pero al no contar con una normativa nacional
(Estrategia Nacional, Política Pública y/o Ley) de Ciberseguridad, es un
tema que sigue siendo invivible para muchos y no contamos con datos
estadísticos oficiales sobre los ciberdelitos. Nuestro país es vulnerable

CONTACTO@GLOBALCYBER.CL
tanto a nivel gubernamental como privado.

Durante el Foro del Gobernanza del Internet de Honduras del año 2021,
se conformó la Mesa Técnica Nacional de Ciberseguridad del
IGFHonduras (MTNC-IGFHonduras), conformada por: Sociedades
Técnicas (ISACA Tegucigalpa Chapter, ISOC Honduras Chapter, OWASP
Tegucigalpa Chapter), Asociaciones Civiles (HondurasCibersegura y Red
de Desarrollo Sostenible | RDS), Sector Academia (Universidad
Tecnológica de Honduras | UTH, Universidad Nacional Autónoma |
UNAH, Universidad Católica de Honduras | UNICAH) Sector Gobierno (
Comisión Nacional de Telecomunicaciones | CONATEL, Secretaría de
Seguridad | DPI) y Expertos Nacionales en la temática. Misma que tiene
como objetivo promover y asesorar a los entes estatales la creación de
normativas relacionadas con la gobernanza del internet.
En la actualidad MTNC-IGFHonduras, ya realizo los primeros
acercamientos con las autoridades de gobierno de Honduras, para la
Co-Creación de una Normativa Nacional de Ciberseguridad, misma
que tenga entre sus pilares los Derechos Humanos en el
Ciberespacio, Estándares y Controles, Colaboración Interinstitucional
y Transparencia.

Abogamos por una la creación de un Equipo de Respuesta ante

Emergencias Informáticas (CSIRT), Centro Operaciones de Seguridad
(SOC), una institución que rectore el tema, la correcta tipificación de
ciberdelitos y su inclusión en el Código Penal de estos, crear una
estrategia de concientización nacional e incluir en la Curricula
Educativa de todos los niveles el tema de ciberseguridad.

Desde Honduras Cibersegura, creemos que el objetivo final de la

Ciberseguridad es proteger los Derechos Humanos en el
Ciberespacio, al proteger la información se garantiza la protección de
datos, la intimidad, privacidad, la libertad de expresión, libertad de
prensa, acceso al internet de manera segura, entre otro y los
gobiernos tienen la obligación de garantizar estos y una forma de
hacerlos es creando los medios, normativas y mecanismo para
garantizarlos.

CONTACTO@GLOBALCYBER.CL
Ransomware en la
República Dominicana
Carlos Leonardo
Director CSIRT Nacional
República Dominicana

República Dominicana considera que el ransomware es una amenaza

directa para la seguridad y el bienestar social y económico de la nación,
el cual ha afectado servicios de salud, la seguridad pública y la prestación
de servicios esenciales y críticos. Ha habido una cooperación de larga
data para desarrollar la capacidad nacional colectiva para combatir el
delito cibernético, y la República Dominicana cree que, dada la
inmediatez de la amenaza del ransomware, es aún más esencial
continuar construyendo sobre estos éxitos con enfoque y esfuerzos para
combatirlo.

A través del monitoreo de indicadores de amenaza, el Centro Nacional de

Ciberseguridad obtiene datos de ciber exposición asociados al espacio

CONTACTO@GLOBALCYBER.CL
de direcciones IP dominicanas procesando eventos que permiten la
visibilidad de la evolución de las amenazas.

Las redes de ordenadores zombis “botnets”, los servicios expuestos de

Remote Desktop Protocol (RDP) y Server Message Block (SMB)
representan un desafío complejo y en constante evolución que
apalancan de manera directa la propagación de ransomware en el país.
 Botnet

Tráfico de código malicioso (Botnet) | enero-marzo 2022[1]

Direcciones IP públicas Eventos detectados

Ene-22 Feb-22 Ma-22 Ene-22 Feb-22 Ma-22

Durante los últimos meses fueron detectadas nuevas variantes de

malware en comparación con el año anterior (2021), incluyendo variantes
como proxyback, expiro, downadup, necur, tsifiri, el ransomware dircrypt
y extenbro.

Variantes de Malware

CONTACTO@GLOBALCYBER.CL

[1] Fuente: Centro Nacional de Ciberseguridad de la República Dominicana

Ha sido clave para el ecosistema nacional la estrecha colaboración del
Centro Nacional de Ciberseguridad con las entidades gubernamentales,
CSIRT sectoriales y proveedores de servicios de internet. Mantener un
constante y fluido intercambio de información, no solo de indicadores de
compromiso y direcciones IP de Comando y Control que establecen
comunicación con el malware, sino también de indicadores de ciber
exposición de sistemas potencialmente vulnerables; permite a las
organizaciones aplicar controles preventivos y correctivos. Además, la
acción coordinada de los equipos de respuesta otorga una ventaja
significativa ante la propagación.

Combatir el ransomware requiere una respuesta gubernamental,

aplicación de la ley, gestión de incidentes y desarrollo de capacidades. En
este sentido, es una prioridad promover la cooperación internacional
para la prevención, protección y recuperación ante estas amenazas. La
República Dominicana ha realizado importantes esfuerzos para cooperar
con otros países y organizaciones internacionales y es por lo que como
país ha patrocinado documentos internacionales como el “Llamado de
París para la Confianza y la Seguridad en el Ciberespacio”[2], así como
respaldar y formar parte, junto a otros 30 países, de la iniciativa contra el
ransomware [3] liderada por la Casa Blanca de los Estados Unidos.

La República Dominicana ha reconocido la necesidad de tomar acciones

urgentes, prioridades comunes y esfuerzos complementarios para
reducir el riesgo de ransomware. Los esfuerzos incluyen mejorar la

CONTACTO@GLOBALCYBER.CL
resistencia de la red para prevenir incidentes cuando sea posible y
responder de manera efectiva cuando ocurran; abordar el abuso de los
mecanismos financieros para lavar los pagos de rescate o realizar otras
actividades que rentabilicen el ransomware; e interrumpir el ecosistema
ilícito a través de la colaboración policial para investigar y enjuiciar a los
actores de amenaza, abordar los refugios seguros para los
cibercriminales y el compromiso diplomático continuo.

[2] https://pariscall.international/en/
[3]https://www.whitehouse.gov/briefing-room/statements-releases/2021/10/14/joint-statement-of-the-
ministers-and-representatives-from-the-counter-ransomware-initiative-meeting-october-2021/
Ransomware en Ecuador
Mariam López
Especialista en ciberseguridad
EcuCERT

Este tipo de ataque se ha incrementado exponencialmente en este

último cuatrimestre pasando de dos casos registrados en el 2021 a
siete desde enero a abril del 2022 afectando desde pequeñas
empresas hasta grandes corporaciones. Los valores solicitados de
rescate oscilan entre rangos de menos de USD 1.000, hasta millones
de dólares. Entre los afectados se encuentran empresas comerciales,
prestadores de servicios esenciales, instituciones públicas entre otros.
Las variantes que han afectado son ransomexx, lockbit 2.0, elbie y
blackcat.

El incremento de las víctimas de este tipo de ataques en parte se

debe al uso de sitios web sin la implementación de medidas de

CONTACTO@GLOBALCYBER.CL
seguridad para la oferta en línea de productos y servicios, estos sitios
facilitan el acceso a información de empleados y servidores con datos
de correos electrónicos lo que ha generado un vínculo para el
atacante que se aprovecha de la falta de conocimiento del uso de
técnicas de suplantación de identidad e ingeniería social para
insertar el malware y materializar el ataque.

Otro factor que se repite es la falta de actualización y parches en los

sistemas y aplicativos que ha favorecido a que los atacantes se
aprovechen de estás vulnerabilidades para concretar sus ciberdelitos.
Las reformas realizadas al Código Integral Penal (COIP) en el 2021,
tipifica este tipo de ataques como delito en sus artículos 190
Apropiación fraudulenta por medios electrónicos, 212 Suplantación de
identidad, 232 Ataque a la integridad de sistemas informáticos y 234
Acceso no consentido a sistemas informáticos.

Seguir las mejores prácticas para asegurar la información de las

organizaciones, concientizar a sus miembros, monetizar los
Incidentes permitirá que se tenga una mejor perspectiva para
minimizar el impacto negativo que este tipo de ataques genera con
su materialización.

CONTACTO@GLOBALCYBER.CL
Ransomware en Panamá

Sheila I. Pérez de Ávila

Embajador de Fundación Comunidad DOJO
Panamá y Women Of Security Panamá

Globalmente, el Ransomware se ha convertido en la amenaza más

temida por los gobiernos y organizaciones, por su impacto,
persistencia y extensión dentro de una red.

Panamá es un país con 4.35 millones de habitantes, de los cuales

+50% tienen acceso a Internet. Comercialmente, se encuentra en
crecimiento y en camino a posicionarse como hub financiero, aéreo
y marítimo. Con alrededor de 150 corporaciones multinacionales, 53
bancos y otros comercios dependientes de las TI y el ciberespacio,
Panamá está entre los 10 países con mayoría de ataques detectados
en América Latina, según datos recabados por Fortiguard Labs en
un estudio publicado en 2022.

CONTACTO@GLOBALCYBER.CL
Las técnicas de ingeniería social, como el phishing, smishing, voice
phishing son las más observadas para lograr el compromiso de los
sistemas, dando paso a ataques de malware y troyanos como el
ransomware.

En enero de 2021, el MIDES (Ministerio de Desarrollo Social de

Panamá) publicó un comunicado explicando cómo la operación de
la infraestructura tecnológica de apoyo social se vio interrumpida
por un ataque de ransomware y restringió el acceso a sus medios de
recuperación. Fue posible continuar con los programas de ayuda
social manualmente, mientras su equipo de tecnología, junto con la
AIG (Autoridad para la Innovación Gubernamental) y especialistas de
ciberseguridad trabajaban para habilitar nuevamente los servicios
sensitivos de la institución.
Algunas recomendaciones para prevenir un ataque de ransomware:

Evalúe sus aplicativos y sistemas de cara a Internet: propicie el

desarrollo seguro, actualice los sistemas operativos y software de
terceros que utilice.
Aplique Zero Trust: habilite la comunicación a usuarios y
dispositivos autenticados y autorizados.
Consuma avisos de los fabricantes y proveedores de sus
dispositivos y aplicaciones: lo ayudará a conocer oportunamente si
existe alguna vulnerabilidad que facilite la materialización de un
ataque y si dispone de una actualización/mitigación.

CONTACTO@GLOBALCYBER.CL
Ransomware en Uruguay
y la aparente tregua
Mateo Martínez
Master en Seguridad Informática
Gerente de Krav Maga Hacking

Sin dudas el Ransomware ha sido el término más comentado en la

prensa y siempre liderando la tendencia de los ciberataques más
comunes. El Ransomware ha logrado generar un ecosistema delictivo
con mucho financiamiento. El beneficio económico como punto
principal de este tipo de campañas ha permitido a delincuentes
lograr sus objetivos infectando sistemas ya sea aprovechando
vulnerabilidades y exploits conocidos.

En Uruguay sigue creciendo la cantidad de casos de empresas

afectadas por temas de Ransomware, la mayoría de las veces por
mantener servidores o aplicaciones sin actualizar y con
vulnerabilidades conocidas y en otros casos mediante campañas de
engaño a los usuarios.

CONTACTO@GLOBALCYBER.CL
Lamentablemente muchas empresas grandes han sido afectadas y
esto ha hecho que aumente la inversión en ciberseguridad de las
mismas, sin embargo en las pequeñas y medianas empresas se sigue
viendo un incremento de casos y siguen sin estar preparadas para
una protección adecuada. Según las últimas encuestas privadas
realizadas en Uruguay, estiman unas 3000 empresas afectadas por
Ransomware en el último año. No hay información actualizada desde
AGESIC, la Agencia para el Desarrollo del Gobierno de Gestión
Electrónica y la Sociedad de la Información y del Conocimiento,
donde se encuentra el CERT Nacional.

En Uruguay, de acuerdo con AGESIC, se dieron algunos casos en los

que quienes realizaron los ataques, se justificaron afirmando que
realizaban esta actividad maliciosa a usuarios que navegaban en
sitios de pornografía infantil, y aunque siendo una afirmación falsa
esto hacía que las personas no solicitaran ayuda y pagaran los
rescates.
El arresto del grupo del ransomware REvil por parte del gobierno ruso
ha desalentado a algunos grupos de delincuentes. Adicionalmente, la
guerra entre Ucrania y Rusia ha requerido que muchos de los grupos
de Ucrania debieran trasladarse de país, disminuyendo
considerablemente esas campañas con origen ucraniano. Inclusive
las disputas entre diversos grupos de Ransomware de Ucrania y Rusia
se han separado por motivaciones políticas vinculadas a la guerra.

Sin embargo, a pesar de este breve descanso y disminución de los

casos de Ransomware como consecuencia de la guerra, se espera un
crecimiento, afectando tanto a grandes empresas e instituciones de
gobierno. Falta mucho camino por recorrer en materia de gestión de
vulnerabilidades en forma continua junto con programas y planes de
remediación acordes a la velocidad del mercado en generar piezas de
malware o ransomware que se aproveche de dichas vulnerabilidades.
Y por supuesto, continuar con campañas educativas para usuarios así
como herramientas de protección tanto del tipo EDR como
soluciones de alerta frente a correos o mensajes sospechosos.

CONTACTO@GLOBALCYBER.CL
Ransomware en México
Radamés Hernández Alemán
Incident Response Team Leader

En 2014, estando en servicio recibí una llamada telefónica de una

persona que tenía un problema con la tableta electrónica de su hijo que
se bloqueó con una pantalla y un texto en inglés difícil de comprender,
me solicitó orientación para recuperar la funcionalidad de esta. Dadas las
características descritas entendí que se trataba de un “ransomware”, se
trataba de un incidente de bajo impacto que logró solucionarse
restaurando el dispositivo a sus valores de fábrica, en este tipo de
incidentes el impacto es bajo en virtud de que no existe pérdida de
información, afectaciones económicas o de reputación de las víctimas,
en un par de horas todo estaba como antes.

El código malicioso analizado correspondía a una versión de

“AndroidLocker” que empezaban a afectar dispositivos móviles como

CONTACTO@GLOBALCYBER.CL
teléfonos celulares y tabletas electrónicas, que en número ya superaban
en 2014 a las computadoras de escritorio y portátiles (96 contra 43 por
cada 100 habitantes según datos de la Unión Internacional de
Telecomunicaciones UIT[1]).

Hacía casi un año, nuestro equipo de respuesta a incidentes cibernéticos

había lidiado con un problema mucho mayor, un “ransomware” conocido
como el “Virus del Policía” que bloqueaba la pantalla de las
computadoras usando un mensaje indicando a las víctimas que al estar
navegando en sitios de adultos había cometido un delito, por lo que, la
“Policía” había bloqueado su dispositivo y exigía al usuario el pago de
una supuesta multa a cambio de la liberación de su dispositivo, lo cual
por supuesto, era mentira.

[1] Fuente: Sitio web de la Unión Internacional de Telecomunicaciones UIT, fecha de la consulta 15 junio 2021,
https://www.itu.int/en/ITU-D/Statistics/Pages/stat/default.aspx
El uso de programas que secuestran nuestra información ha ido
evolucionando en sus distintas formas de propagación, evasión de
antivirus, cifrados más complejos e incluso en la forma de coaccionar a
los usuarios para el pago del rescate. Las redes del cibercrimen también
son utilizadas para comercializar códigos maliciosos de tipo
“ransomware”, en la internet profunda (Deep web), donde existen
productores de código usualmente desarrolladores, distribuidores que lo
ofertan en “kits” de bajo costo e incluso uso de servicios tipo “spam” para
enviar miles de correos en una campaña orquestada.

El impacto de un “ransomware” puede llegar a ser catastrófico para una

organización con miles de empleados, cientos de aplicaciones y sistemas
de información, pero sobre todo si el negocio tiene una fuerte
dependencia de la tecnología, si la reputación ante la competencia
representa una ventaja competitiva y sobre todo si genera un flujo
importante de ingresos de manera cotidiana. Las consecuencias de
inhabilitar las cadenas de suministro de cualquier organización pueden
representar su desaparición, motivo por el cual, la inversión en la
ciberseguridad es retador.

No todo el panorama es desolador, la mayor parte de los códigos

maliciosos pueden ser identificados a través del uso de antivirus y otras
técnicas para la detección de actividad inusual en las redes de datos; por
lo tanto, su presencia puede ser identificada. La gestión de
vulnerabilidades es un proceso que consiste en actualizar cada sistema
operativo, base de datos, sistemas de información y aplicaciones a fin de

CONTACTO@GLOBALCYBER.CL
evitar que las vulnerabilidades puedan ser aprovechadas por
delincuentes cibernéticos. Por otra parte, se monitorean las constantes
amenazas, incluyendo los tipos y características de “ransomware” a fin de
implementar acciones que permitan su detección y mitigación.

Cuando detectamos que un “ransomware” ya se activó en uno o más

dispositivos de la red de datos de nuestra organización, debemos iniciar
los procedimientos de contención adecuados. Si no los tiene, es
recomendable elaborarlos y probarlos de manera regular, las mejores
prácticas a nivel internacional sugieren estar preparados para este tipo
de eventos. La documentación puede incluir aislar segmentos de red vía
remota o físicamente en el lugar donde se encuentran los equipos;
utilizar medios de notificación alternativos para solicitar al personal evitar
abrir un correo o un enlace a internet en particular, ya que podría
contener al código malicioso, algunos servicios de red podrían no estar
disponibles como el correo electrónico.
Es muy importante contar con una política de respaldos y que se
implementen controles para la verificación de la calidad de las copias,
esto incluye bases de datos, archivos e información sensible en formato
digital, aplicaciones y sistemas de información en sus versiones
productivas. Esto es una salvaguarda en caso de consumarse un ataque
de “ransomware”.

Para concluir, la evolución del “ransomware” y los mecanismos de

presión para que las víctimas realicen los pagos por la recuperación de
información se han vuelto más sofisticados, se incluyen desde los
troyanos que llegan en archivos adjuntos o enlaces a sitios en internet, la
descarga de códigos de cifrado robustos, la propagación del código
usando el envío de correos tipo “spam”, la ex filtración de información
mediante cuentas de correo comprometidas, ataques de denegación de
servicios tipo “DDoS” y la activación remota del cifrado de manera
controlada. El esfuerzo que requieren los delincuentes para lograr tal
sofisticación implica que los sistemas de detección deben mantenerse
constantemente actualizados y el equipo de respuesta alerta ante la
posible actividad criminal lo que requiere de profesionales con
conocimientos especializados para conocer el entorno tecnológico y
trabajar de manera proactiva antes, durante y después ante un incidente
de tipo “ransomware”, la mejor defensa cibernética es la preparación y el
monitoreo permanente de nuestros nuestros activos de información.

CONTACTO@GLOBALCYBER.CL
Ransomware en
Colombia
Wilson Prieto
Director de Ciberinteligencia I+D+i
GAMMA INGENIEROS
Ex-Director del CERT Nacional de
Colombia - colCERT

El ransomware es uno de los tipos de programas maliciosos más

conocidos en la actualidad, cuya sofisticación en los últimos años ha
derivado en un crecimiento significativo en los ataques cibernéticos a
nivel mundial. Para los grupos de ciberdelincuentes organizados se ha
convertido en un negocio muy rentable con millones de dólares en
ingresos y una oportunidad que puede ser aprovechada fácilmente tanto
por la falta de la implementación de controles a nivel empresarial, como
de una correcta educación en higiene cibernética del usuario final.

Al respecto, el ataque al sistema Colonial Pipeline en Estados Unidos,

que ocasionó el cierre inminente y una afectación del servicio del gas
natural en mayo del año pasado, demuestra que este tipo de amenaza

CONTACTO@GLOBALCYBER.CL
puede afectar significativamente los activos críticos de una nación con
consecuencias muy graves a nivel humano, ambiental y económico.

En el caso de Colombia, durante los últimos años a través de diferentes

investigaciones se pudieron documentar algunas operaciones y actores
maliciosos denominados Spalax[1], APT-C-36[2] y BlackByte, que
utilizaban dentro de su modus operandi en la etapa de
reconocimiento[3] diferentes técnicas que permitieron lanzar diversas
campañas maliciosas con el objetivo de suplantar entidades
gubernamentales a través de spear phishing[4] (estafa de correo
electrónico o comunicaciones dirigida a personas, organizaciones o
empresas específicas), combinando el uso de troyanos de acceso remoto
y diferentes recursos que apoyaron al ciclo de vida del adversario y
permitieron la evasión los sistemas de seguridad terminando finalmente
con el robo y/o secuestro de la información.
Uno de los ataques que ha marcado el 2022 en nuestro país fue dirigido
a la entidad gubernamental de Vigilancia de Medicamentos y
Alimentos[5], ataque relacionado presuntamente con una variante de
Blackbyte a través de ransomware como servicio (RaaS), término
utilizado en el aviso conjunto sobre ciberseguridad del 11 de febrero de
2022 por La Oficina Federal de Investigación (FBI) y el Servicio Secreto
de los Estados Unidos”.[6]

Ahora bien, respecto a las amenazas por ransomware, CyberEdge

Group[7], compañía de consultoría de marketing e investigación
dedicada a atender las necesidades de los vendedores y proveedores de
servicios de ciberseguridad, presenta en el Informe sobre la defensa
contra las ciberamenazas 2022 los resultados de la información
recolectada a través de encuestas a un total de 1.200 responsables y
profesionales cualificados de la seguridad informática, señalando que,
según los encuestados, la más alarmante ciberamenaza está
relacionada con el ransomware y muestra a Colombia con un (93,9%) de
las organizaciones que fueron atacadas con éxito durante el 2021, de las
cuales el (53,1%) estuvieron relacionadas con esta amenaza, estos
resultados evidencian que nuestro país tiene unos retos importantes a
nivel gubernamental y empresarial.

CONTACTO@GLOBALCYBER.CL
[1] Porolli, M. (2021, junio 12). Operación Spalax: Ataques de malware dirigidos en Colombia. WeLiveSecurity.
https://www.welivesecurity.com/la-es/2021/01/12/operacion-spalax-ataques-malware-dirigidos-colombia/
[2]奇安信威胁情报中心 事件追踪 | . (2019, febrero 18). APT-C-36: Continuous Attacks Targeting Colombian
Government Institutions and Corporations. Centro de inteligencia de amenzas de Qi Anxin.
https://ti.qianxin.com/blog/articles/apt-c-36-continuous-attacks-targeting-colombian-government-
institutions-and-corporations-en/
[3] The MITRE Corporation. (2020, octubre 2). Reconnaissance, Tactic TA0043 - Enterprise. MITRE ATT&CK®.
https://attack.mitre.org/tactics/TA0043/
[4] AO Kaspersky Lab. (s. f.). ¿Qué es el spear phishing? | Definición y riesgos. Recuperado 19 de abril de 2022,
de https://latam.kaspersky.com/resource-center/definitions/spear-phishing
[5] Invima [@invimacolombia]. (2022, febrero 9). Invima informa, que el domingo 6 de febrero, la plataforma
tecnológica de la entidad, sufrió un ataque cibernético. Twitter.
https://twitter.com/invimacolombia/status/1491420964823117828?s=20&t=N24lyDNKO-SkI9SmBlMd9g
[6] CISA. (2022, febrero 15). FBI and USSS Release Advisory on BlackByte Ransomware. CISA.
https://www.cisa.gov/uscert/ncas/current-activity/2022/02/15/fbi-and-usss-release-advisory-blackbyte-
ransomware
[7] TicTac. (2021). Tendencias del Cibercrimen 2021 - 2022, Nuevas amenazas al comercio electrónico. Informe
SAFE. https://www.ccit.org.co/wp-content/uploads/informe-safe-tendencias-del-cibercrimen-2021-2022.pdf
Es importante señalar que, en lo relacionado con el comportamiento
del cibercrimen en Colombia, según el informe de tendencias de
cibercrimen 2021 – 2022[8] elaborado por el tanque de análisis y
creatividad del sector TIC en Colombia de la CCIT, al finalizar el mes
de noviembre del 2021 ya se habían registrado 46.527 denuncias ante
Policía Judicial por distintos delitos, lo que equivale a un incremento
del 21% respecto al año 2020, identificando además que 395 casos
estuvieron vinculados a la modalidad de ransomware. Sobre ello, el
Gobierno Nacional a través del decreto 338 del 8 de marzo de 2022[9]
estableció una coordinación interinstitucional de orden estratégica,
táctica y operacional para fortalecer las capacidades de respuesta
ante ataques cibernéticos que puedan afectar la seguridad y defensa
nacional y apoyar a las empresas a enfrentar estas amenazas
emergentes en el ciberespacio.

[7] TicTac. (2021). Tendencias del Cibercrimen 2021 - 2022, Nuevas amenazas al comercio electrónico.
Informe SAFE. https://www.ccit.org.co/wp-content/uploads/informe-safe-tendencias-del-cibercrimen-
2021-2022.pdf
[8] DECRETO N° 338 DE 2022, (2022) Ministerio de Tecnologías de la Información y las Comunicaciones.
https://dapre.presidencia.gov.co/normativa/normativa/DECRETO 338 DEL 8 DE MARZO DE 2022.pdf
[9] CyberEdge Group. (s. f.). Cyberthreat Defense Report 2021. Recuperado 19 de abril de 2022, de
https://cyber-edge.com/cdr/

CONTACTO@GLOBALCYBER.CL
UNIDOS POR LA CIBERSEGURIDAD ABRIL 2022