Internet Organised Crime Threat Assessment (IOCTA) 2024

En 2023, los ataques de ransomware, así como el fraude en línea siguieron siendo las principales amenazas en el mundo de la ciberseguridad en la UE. Este panorama incluyó tanto actores solitarios como redes criminales, operando tanto dentro como fuera de la UE. Aunque se fortalecen los marcos regulatorios, el factor humano sigue siendo el eslabón más débil. Los modelos de estafa multinivel y las tecnologías emergentes como la IA están mejorando la ingeniería social y facilitando el fraude. El uso de deepfakes también está en aumento, especialmente en el fraude generado por IA. 

A continuación, se van a analizar los tipos de amenazas más comunes del 2023:

Criptodivisas y la dark web

En 2023, el uso criminal de criptomonedas se hizo más evidente, con un aumento en las solicitudes de apoyo investigativo recibidas por Europol. Los delitos financieros, principalmente el fraude de inversión y el lavado de dinero, son las áreas donde más se encuentran las criptomonedas. Algunas stablecoins permiten a las agencias de la ley congelar fondos sospechosos, lo que facilita las investigaciones.

Los operadores de ransomware suelen pedir Bitcoin como rescate, aunque a veces exigen otras criptomonedas como Monero. El uso criminal de altcoins está en aumento, con casos que involucran Bitcoin y altcoins casi igualados. Las nuevas normas de la UE sobre transferencias de fondos han ampliado las obligaciones de reporte a los proveedores de servicios de criptoactivos (CASPs), lo que se espera mejore la cantidad de información disponible para las investigaciones en la UE.

Por otro lado, los foros de la dark web son los principales canales para anunciar mercados oscuros (ilícitos), en los cuales la moneda de cambio son las crytocoins. Los administradores limitan el tamaño y la vida útil de sus mercados para evitar la vigilancia digital, mientras mantienen una buena reputación para atraer clientes. En la dark web las criptomonedas continúan siendo atractivas debido a su dificultad para rastrear este tipo de activo.

Ciberataques

Los grupos de ransomware que operan bajo el modelo de Ramsonware-as-a-Service (RaaS) han intentado capitalizar la caída de sus competidores para atraer afiliados. Tras la interrupción de los servicios de Hive, BlackCat/ALPHV promovió su seguridad y no-log policy para atraer a los antiguos afiliados de Hive. Sin embargo, el cierre de sitios de BlackCat/ALPHV en diciembre de 2023 dañó su reputación, y en marzo de 2024, aparentemente cesaron operaciones y estafaron a sus afiliados. Las acciones policiales contra operadores de ransomware afectan su reputación y operación, exponiendo a los afiliados y causando pérdidas de recursos. Esta susceptibilidad ha llevado a algunos afiliados a desarrollar sus propios malwares utilizando herramientas de IA. LockBit, uno de los proveedores de RaaS más famoso, fue desmantelado en febrero de 2024 mediante una acción coordinada de LEAs, dañando severamente su capacidad. LockBit había lanzado nuevas variantes como LockBit Black y LockBit Green, y desarrollaba encryptores para MacOS. Un nuevo grupo RaaS, Akira, asociado al desmantelado grupo Conti, ha surgido como una amenaza creciente.

Los grupos de ransomware han centrado sus ataques principalmente en pequeñas y medianas empresas (SMBs), ya que las grandes empresas han mejorado su ciberseguridad. Los atacantes eligen sus objetivos basándose en el tamaño, la probabilidad de pago y el esfuerzo necesario para comprometer los sistemas, utilizando credenciales robadas o explotando vulnerabilidades en tecnologías accesibles públicamente. Los operadores de ransomware emplean intermediarios de acceso inicial (IABs) especializados en ciertas tecnologías para identificar superficies de ataque viables, influenciando la selección de objetivos. Los operadores continúan utilizando tácticas de extorsión multilayer, donde la amenaza de publicar o subastar datos robados se ha vuelto más efectiva, ya que muchas organizaciones ahora realizan copias de seguridad regularmente.

En 2023, el panorama del malware como servicio (MaaS) experimentó varios cambios. Tras la caída de la infraestructura del malware Qakbot, los atacantes recurrieron rápidamente a otros proveedores establecidos o emergentes de dropper/loaders, como IcedID, SystemBC, Pikabot, DanaBot y Smokeloader. Cobalt Strike se comenzó a usar como puerta trasera y centro de comando y control (C2). Los marcos impulsados por IA, como PentestGPT, también están siendo utilizados con fines maliciosos para facilitar el compromiso inicial de los sistemas de información.

Esquemas de fraude en línea y de pago

En 2023, la amenaza de los robos de cuentas (ATO) ha crecido significativamente, destacándose como una forma clave de Criminal-as-a-Service (CaaS). Los delincuentes siguen accediendo a cuentas en línea, como bancos, correos electrónicos y redes sociales, para tomar fondos y obtener información sensible que luego monetizan. Dado que los bancos están tratando las pérdidas por estafas de credenciales 2FA/MFA como negligencia del titular legítimo, los fraudes dirigidos a cuentas individuales continúan siendo una actividad de bajo riesgo y alto beneficio para los criminales.

Los atacantes utilizan herramientas de administración remota (RAT) y aplicaciones disponibles en tiendas legítimas para generar estos fraudes. Los ataques de Business Email Compromise (BEC), particularmente el fraude dirigido a CEOs, siguen siendo comunes, con correos electrónicos de phishing cada vez más convincentes gracias a modelos de lenguaje generativo (LLMs). Las estafas dirigidas también siguen siendo una amenaza significativa, con herramientas de IA que permiten a los estafadores contactar a más víctimas y perfeccionar sus técnicas de ingeniería social.

¿Qué esperar en el futuro?

La adopción generalizada de herramientas y servicios de IA por parte de los atacantes está generando nuevas amenazas, incluyendo tanto el abuso de herramientas y servicios legítimos como la creación de versiones maliciosas ad hoc. La proliferación de modelos de lenguaje sin filtros emergentes multiplicará los anuncios fraudulentos generados por IA, atrayendo a potenciales víctimas. Los delincuentes podrán usar IA para mejorar métodos criminales y superar barreras idiomáticas, facilitando la manipulación en múltiples idiomas.

Priorizando la prevención de delincuentes, las fuerzas del orden y los legisladores pueden abordar el cibercrimen desde su raíz, creando soluciones sostenibles y a largo plazo para proteger estos entornos. Al enfocarse en las causas que llevan a las personas a involucrarse en este tipo de actividades, como la falta de conciencia, incentivos financieros o factores socioeconómicos, las autoridades pueden reducir efectivamente las tasas de crimen en línea. Invertir en prevención no solo mitiga los riesgos inmediatos, sino que también fomenta una cultura de ciberseguridad, creando un entorno digital más seguro.

Jorge Ezequiel de Francisco, Analista de Ciberseguridad en Zerolynx.

Lecciones del apagón de CrowdStrike

Como es conocido, hace unas semanas hubo un apagón informático que afectó a una gran parte del mundo (podéis ver un artículo publicado por Flu Project profundizando en ello en el siguiente enlace). Este problema, que afectó a casi 9 millones de dispositivos Windows (1% de las máquinas en todo el mundo), fue debido a una actualización defectuosa de CrowdStrike Falcon, un sensor del famoso EDR encargado de bloquear ataques contra sistemas y que captura y registra toda la actividad a tiempo real, con el fin de detectar amenazas rápidamente.

Primera lección: un problema evitable

Pero, la pregunta es ¿todo esto se podría haber evitado? Para ello debemos entender la raíz del problema.

Según lo que han contado desde la propia compañía, el problema fue debido a la presencia de un fichero corrupto en la actualización de CrowdStrike Falcon, lo que provocó que todo sistema que la obtuvo colapsara al no ser capaces de leerlo. Ya que el problema afectaba a nivel kernel, los sistemas se quedaban en bucle al arrancar provocando la tan conocida “pantalla azul” (BSOD).

¿Cómo es posible que algo así suceda en pleno 2024? ¿No se hacen chequeos antes de lanzar una actualización de este tipo? Normalmente sí, pero no siempre tiene por qué ser así. En este caso, CrowdStrike Falcon tenía la certificación de Microsoft, pero en las actualizaciones no todas las piezas que lo conforman necesitan ser certificadas.

Y he aquí el problema, estos componentes aprovechan la certificación de Falcon para colarse en el núcleo del sistema operativo y cualquier error en él puede ser fatal. Por lo tanto, es muy importante controlar bien los proveedores que pueden acceder a esta parte del S.O. 

Todo esto nos hace cuestionarnos que si la actualización tenía un riesgo tan alto ¿por qué CrowdStrike no probó la actualización antes de lanzarla mundialmente? Pues según explican algunos expertos, “CrowdStrike se tuvo que arriesgar porque descubrieron varias vulnerabilidades críticas en el sistema, y esas actualizaciones tenían como fin eliminarlas antes de que cualquier atacante pudiera aprovecharlas”.

Tras todo esto y volviendo a la pregunta inicial, si todo este problema se podría haber evitado, pues muy probablemente, sí.

Segunda lección: honestidad y humildad

Tras el incidente, era importante buscar alguien que asumiera la responsabilidad de lo sucedido, y debemos hablar desde el punto de vista de Microsoft y de CrowdStrike.

Por la parte de Microsoft, es recurrente la pregunta, ¿por qué permite que software de terceros llegue tan lejos, siendo esto tan arriesgado para sus sistemas?

En las declaraciones al periódico The Wall Street Journal, un portavoz del gigante tecnológico acusó a la Comisión Europea de obligarle a hacerlo, a raíz de un acuerdo que ambas partes firmaron en 2009. Este acuerdo tenía como propósito promover la libre competencia. Microsoft había adquirido varios antivirus para prestar servicios de ciberseguridad con acceso directo al kernel de Windows, lo cual le daba una clara ventaja sobre los demás competidores. Por eso se acordó que la compañía debía permitir a los demás poder conocer el sistema operativo tanto como las soluciones propias de Microsoft.

Un representante de la comisión respondió que Microsoft debe adaptar su infraestructura de seguridad conforme al acuerdo firmado, ya que el problema no se limitó a los territorios de la UE. También afirmó que Microsoft nunca había mostrado ni planteado una preocupación sobre este aspecto de seguridad ni antes ni después del incidente.

Tras las declaraciones de Microsoft, muchos expertos han dado su opinión y aseguran que, a pesar del acuerdo, no hay ninguna buena razón para que la compañía tecnológica no pudiera cumplirlo con los “controles adecuados”. Dejando claro que el acuerdo no obliga a que todos los antivirus tengan que acceder al kernel, sino que simplemente les da la posibilidad de hacerlo. De hecho, no todos lo hacen, ya que buscan otras fórmulas e innovación propia para proteger el sistema.

Por la parte de CrowdStrike, tras el incidente ofreció a sus socios una tarjeta de regalo de Uber Eats por un valor aproximado de 9 euros como disculpa. Por si fuera poco, tras el aluvión de personas que lo quisieron canjear, la aplicación lo reconoció como fraude y canceló los cupones.

Como es normal, las críticas han sido abundantes. Una compensación de 9 euros no es ni por asomo proporcional al daño causado, llegando a ser insultante para entidades como ADIF, una de las más golpeadas por la situación.

Es imprescindible ser honesto y tener mucha humildad a la hora de afrontar públicamente un suceso de este calibre, y los departamentos de relaciones públicas deben de estar a la altura.

Tercera lección: no se debe depender de una única solución

Cada vez más se utilizan grandes softwares que centralizan los recursos, lo cual genera una gran dependencia de la tecnología. Esto es eficiente, pero también muy peligroso, ya que, si un componente crítico falla, puede provocar un efecto dominó. Y en esto pone mucho hincapié la regulación europea DORA (Digital Operational Resilience Act), que dedica un apartado a proponer soluciones para lo que denominan “riesgo de concentración”, invitando a que las empresas no dependan de únicamente 3 o 4 proveedores y distribuyan sus necesidades de servicios y productos entre más organizaciones, evitando así que se generen dependencias que les hagan perder el control.

El incidente sucedido solo pone en manifiesto este hecho y que el empeño actual de conectar todo (las infraestructuras críticas, las empresas, las administraciones públicas, todo tipo de gadgets, los electrodomésticos, etc.) genera más riesgo de ciberataques, ya que dependemos de Internet para casi todo. De hecho, no solo las empresas españolas fueron gravemente afectadas, sino que también afectó a unas 125 empresas de las Fortune 500. ¿Qué habría pasado si hubiera afectado a MacOS y Linux? ¿Y si hubiera afectado al 100% de las máquinas Windows del mundo? La situación habría pasado de ser caótica a ser apocalíptica.

Cuarta lección: ciberseguridad como prioridad

Hoy en día es más importante que nunca tener entre las máximas prioridades a la ciberseguridad, ya sea una empresa, una administración pública, una institución o un usuario. El número de ciberataques ha aumentado hasta límites nunca vistos y hay que estar a la altura de las circunstancias.

El apagón informático que afectó a Windows fue histórico y afecto a muchos sectores mundiales y, aunque no es el primer gran apagón sucedido, muchos expertos se siguen sorprendiendo de que las empresas de sectores críticos como la banca, las aerolíneas y/o los medios de comunicación, no tuvieran o no pudiesen abordar una mejor respuesta con sus planes de contingencia y recuperación ante incidentes. Además, a raíz del problema, algunos actores maliciosos se están aprovechando para realizar campañas de phishing con un fichero malicioso que supuestamente soluciona el problema. El malo nunca desaprovecha una buena oportunidad.

Por todo esto y por sucesos similares anteriores, es que la ciberseguridad debe de ser una prioridad en todo ámbito si de verdad no se quieren lamentar pérdidas, ya sean monetarias o de datos sensibles de las empresas o usuarios.

Javier Muñoz, Analista de Ciberseguridad en Zerolynx