Cae un 40% la recaudación de los cibermalos por ataques de ransomware

Un 59% de las víctimas se negó a ceder al chantaje y pagar. Las negativas están haciendo que esta amenaza ya no rente tanto a los ciberdelincuentes.

Alberto Payo

Periodista

Guardar

Ilustración del pago de un rescate de ransomware.
Ilustración del pago de un rescate de ransomware.

Parece que cada vez se produce más actividad criminal asociada al mundo de las criptomonedas o ¿Quizás es que este aspecto tiene más espacio en los medios de comunicación últimamente?

La duda la puede despejar un exhaustivo informe elaborado por la firma de análisis de blockchain Chainalysis, dedicado precisamente al criptocrimen. 

No es ningún secreto que 2022 uno de los más tumultuosos en la historia de las criptomonedas, con la implosión de varias grandes empresas, incluidos Celsius, Three Arrows Capital, FTX y otros, algunos en medio de acusaciones de fraude.

El informe por el momento muestra cautela y no ha incluido los volúmenes de transacciones en sus medidas de actividad ilícita, dado que sus estimaciones se basan únicamente en el on-chain. 

El documento recoge que a pesar de la recesión del mercado, el volumen de transacciones ilícitas aumentó por segundo año consecutivo, alcanzando un máximo histórico de 20.600 millones de dólares.

Los autores reconocen que la cantidad irá creciendo con el tiempo a medida que identifiquen nuevas direcciones asociadas con actividad ilícita y considerando que la cifra no recoge las ganancias de las actividades no criptográficas. 

Una de las principales conclusiones es que la actividad ilícita en criptomonedas continúa siendo una pequeña parte del volumen total de menos del 1%. A pesar del salto de este año, el crimen como parte de toda la actividad criptográfica sigue en una tendencia bajista.

Lo que sí ha crecido considerablemente ha sido el número de direcciones sancionadas. La cifra de direcciones sancionadas pasó de un centener a unas 350, mientras la de entidades sancionadas relacionadas con el mundo cripto se elevó hasta las 400 (en 2021 fueron unas 360).

Algunos de estos individuos y entidades sancionadas fueron Lazarus (hacking y criptorobo, Ahmad Khatibi Aghada (ransomware), Amir Hossin Nikaeen Ravari (ransomware), Hydra Marketplace (mercado en la darkweb y lavado de dinero), Bender.io (lavado de dinero), o Tornado Cash (lavado de dinero).

Garantex e Hydra recibieron fondos de una amplia gama de actores ilícitos en los 60 días anteriores hasta sus designaciones de sanciones, incluidas tiendas de fraude, estafas y, sobre todo, ransomware.

Durante este período de tiempo, Hydra recibió aproximadamente 176.000 dólares en criptomonedas obtenidas de direcciones de ransomware, que representan el 2,2% de todos los fondos enviados por cualquier dirección de ransomware. 

Garantex obtuvo todavía más, recaudando 931.000 dólares de direcciones de ransomware, o el 11.6% de todos los fondos enviados por direcciones de ransomware.

Los números subrayan lo cruciales que han sido estos servicios, especialmente en el caso de Garantex, para permitir ataques de ransomware. 

La actividad ilícita de Tornado Cash se concentró en solo dos formas de ciberdelincuencia: piratería criptográfica y estafas. Los fondos robados representan el 99,7% de todos los fondos ilícitos recibidos durante todo el período de 60 días antes de sus sanciones. Sus entradas de fondos robados llegaron en picos periódicos. 

El hackeo de Harmony Bridge, que ocurrió en junio del año pasado aproximadamente 45 días antes de la designación de sanciones de Tornado Cash, representó el 65,7% de las entradas totales de fondos robados del mixer durante este período. Este patrón de eventos únicos y aislados, contrasta con el flujo más constante de actividad ilícita de servicios como los mercados darknet, que producen una llegada constante de fondos.

Menos dinero obtenido por el ransomware

2022 fue un ejercicio donde los atacantes de ransomware extorsionaron bastante menos dinero a sus víctimas. Los cibermalos se embolsaron por estas amenazas 456,8 millones de dólares en 2022, lo que supone una disminución importante respecto a los 765,6 millones de 2021. Es una caída del 40,3%. 

No obstante, los datos reales serían mucho más altos, ya que hay direcciones que aun no han sido identificadas e incorporadas a los datos de Chainalysis.

En cualquier caso, la tendencia parece clara: los pagos de ransomware han disminuido significativamente. Eso no significa que estos ataques se hayan reducido. Para la autora del estudio se debe "a las organizaciones de víctimas, que se niegan cada vez más a pagar a los atacantes de ransomware". 

Si en 2019 de entre las víctimas se aflojaba el bolsillo un 76% y un 24% se negaba a soltar dinero, los porcentajes se han inclinado hacia el no. El año pasado solo pagó un 41%, mientras un 59% se negó a ceder al chantaje. 

A pesar de la caída en los ingresos, la cantidad de cepas únicas de ransomware en funcionamiento explotó el año pasado. Una investigación de la firma de seguridad cibernética Fortinet indica que hubo más de 10.000 activas en la primera mitad de 2022. 

Los datos de este estudio también confirman que la cantidad de cepas activas ha crecido significativamente en los últimos años, pero la gran mayoría de los ingresos del ransomware se destinan a un pequeña grupo de cepas en un momento dado. Sin embargo, encuentran 'rotación' a lo largo del año entre las variante de ransomware más populares. 

Del mismo modo, la vida útil del ransomware continúa disminuyendo. En 2022, la cepa promedio de ransomware se mantuvo activa durante solo 70 días, frente a los 153 de 2021 y los 265 en 2020. "Esta actividad probablemente esté relacionado con los esfuerzos de los atacantes de ransomware para ofuscar su actividad, ya que muchos atacantes están trabajando con múltiples cepas", asegura el informe. 

La proporción de fondos de ransomware destinados a los principales exchanges creció del 39,3 % en 2021 a 48,3% en 2022, mientras que la participación destinada a exchangs de alto riesgo cayó de 10,9% a 6,7%. El uso ilícito de servicios como los markets de la darkweb para el lavado de dinero de ransomware también disminuyeron, mientras que el uso del mixer se elevó del 11,6% al 15,0%.