Qué es el ransomware as a service y por qué es tan peligroso para pymes y autónomos

En este modelo, los desarrolladores ofrecen su software malicioso en la Dark Web como un servicio, permitiendo a los ciberdelincuentes menos técnicos lanzar ataques de ransomware de manera efectiva.

Gonzalo Díaz Bonet.

Especialista en Tecnología y Sostenibilidad.

Guardar

Ransomware as a service (RaaS)
Ransomware as a service (RaaS)

A menudo, nos imaginamos a los ciberdelincuentes como personas con una elevada formación, con grandes conocimientos en informática y programación, capaces de saber mucho mejor que nosotros cómo funciona el mundo digital. La imaginería popular los sitúa trabajando en un sótano, con capucha incluso dentro de casa, a altas horas de la noche y rodeados de envoltorios de comida basura. Personas muy capacitadas que, por la razón que sea, se han inclinado hacia el lado del mal. 

Por desgracia, todo ello forma parte de la ficción. Ser un ciberdelincuente hoy es mucho más sencillo que todo eso. Basta con tener mala fe y ganas de enriquecerse a cuenta de los demás. Porque desde que se inventó el ‘ransomware as a service’ (RaaS) los conocimientos técnicos han dejado de ser necesarios. 

Este modelo ha transformado el paisaje de la ciberdelincuencia, facilitando a los malhechores la ejecución de ataques sofisticados con un mínimo esfuerzo técnico. ¿Pero... qué es exactamente el ‘ransomware as a Service’ y por qué representa una amenaza tan grave para las pymes y autónomos? 

Se trata de un modelo en el que los desarrolladores ofrecen su software malicioso en la Dark Web como un servicio, permitiendo a los ciberdelincuentes menos técnicos lanzar ataques de ransomware de manera efectiva. Bajo este modelo, los "afiliados" o usuarios maliciosos pueden adquirir acceso al ransomware y a herramientas de soporte, como servicios de pago y atención al cliente, a cambio de una parte de los beneficios obtenidos de los rescates. 

La accesibilidad y la relativa facilidad de uso hacen que el ‘ransomware as a service’ sea extremadamente atractivo para los delincuentes cibernéticos. Ya no es necesario ser un experto en programación o seguridad informática para lanzar un ataque exitoso. Los afiliados simplemente tienen que adquirir el software, seleccionar a sus víctimas y distribuir el malware, mientras que los desarrolladores de ransomware se benefician tanto de las ventas directas como de un porcentaje de los rescates obtenidos por los afiliados. 

Según indica IBM, RaaS funciona de la misma manera que lo hacen los modelos de negocio legítimos de ‘software as a service’ (SaaS). Los desarrolladores de ransomware, también llamados operadores RaaS, asumen el trabajo de desarrollar y mantener las herramientas y la infraestructura del ransomware. 

Empaquetan sus herramientas y servicios en kits RaaS que venden a otros hackers, llamados afiliados RaaS.  

La mayoría de los operadores utilizan uno de los siguientes modelos de ingresos para vender sus kits: 

  • Suscripción mensual: Los afiliados RaaS pagan una cuota periódica, a veces tan solo 40 USD al mes, para acceder a las herramientas de ransomware. 

  • Cuota única: Los afiliados pagan una cuota única para comprar el código del ransomware directamente. 

  • Modelos de afiliados: Los afiliados pagan una cuota mensual y comparten con los operadores un pequeño porcentaje de cualquier pago de rescate que reciban. 

  • Reparto de beneficios: Los operadores no cobran nada por adelantado, pero se llevan una parte importante de cada rescate que recibe el afiliado, a menudo entre el 30% y el 40%.  

Los kits RaaS se anuncian en foros de la web oscura‌, y algunos operadores de ransomware reclutan activamente a nuevos afiliados. El grupo REvil, por ejemplo, gastó 1 millón de dólares como parte de una importante campaña de contratación en octubre de 2020. 

Una vez que han adquirido un kit, los afiliados obtienen algo más que malware y claves de descifrado: a menudo reciben un nivel de servicio y asistencia equiparable al de los vendedores legales de SaaS. Algunos de los operadores de RaaS más sofisticados pueden ofrecer servicios como acceso a foros privados donde los hackers pueden intercambiar consejos e información, portales de procesamiento de pagos (ya que la mayoría de los pagos de rescates se solicitan en criptomonedas imposibles de rastrear, como Bitcoin) e incluso herramientas y asistencia para redactar notas de rescate personalizadas o negociar las peticiones de rescate. 

Cómo pueden defenderse las pymes 

Ante esta creciente amenaza, las pymes y los autónomos deben tomar medidas para protegerse contra los ataques de ransomware. Una de ellas es la contratación de un seguro especializado para prevenirlos. Según un estudio de Kaspersky, más del 40% de las empresas experimentó al menos un ataque de ransomware en 2022, siendo el pago de rescate promedio de 6.500 dólares para pequeñas y medianas empresas, y de 98.000 dólares para grandes empresas. En España, el daño medio de un ciberataque para una pyme –que va más allá del pago de un rescate- se cifra en 35.000 euros. 

A decir verdad, pocas pymes de recuperan de un ciberataque. Un 57% de las mismas creen que su empresa cerraría si se enfrentase a un incidente de estas características. Optar por un ciberseguro puede ser la opción más económica y segura en 2024. Por poco más de 16 euros al mes se puede contar con un servicio como el de Telefónica Seguros, que ofrece expertos en ciberseguridad y abogados especialistas para asesorar y asistir en los procedimientos legales y regulatorios derivados de un incidente cibernético.    

Todo ello sin descuidar la implementación de soluciones de seguridad cibernética robustas, como firewalls, sistemas de detección de intrusiones y software antivirus actualizado. Además, es fundamental realizar copias de seguridad regulares de los datos importantes y educar a los empleados sobre las mejores prácticas de seguridad cibernética, como evitar hacer clic en enlaces o descargar archivos adjuntos sospechosos. 

En conclusión, el ‘ransomware as a service’ representa hoy una amenaza significativa para las pymes y los autónomos, ya que facilita a los ciberdelincuentes menos técnicos lanzar ataques de ransomware de manera efectiva. Con un bajo umbral de entrada y una amplia disponibilidad en la Dark Web, este modelo de negocio ha llevado a un aumento en el número de ataques dirigidos a entidades más pequeñas. Protegerse hoy es más prioritario que nunca.