Viven rápido, hackean a menudo: los grupos de hackers duran de media solo 18 meses, pero los daños que causan son enormes.
Un análisis revela patrones ocultos que redefinen la forma de entender la ciberseguridad
El Instituto Australiano de Criminología presentó un estudio a gran escala, que revela el funcionamiento interno de las bandas de extorsión y su impacto en Australia y países aliados. Los investigadores analizaron 865 ataques registrados entre 2020 y 2022 en Australia, Canadá, Nueva Zelanda y Reino Unido. Aunque el número de ataques en 2022 disminuyó ligeramente, ese año se registraron 309 incidentes llevados a cabo por 42 organizaciones.
La principal conclusión del estudio —la corta duración de la "vida" de las comunidades delictivas—. El periodo medio de actividad de las estructuras de ransomware fue de solo 1,36 años, y solo tres grupos operaron los tres años consecutivos. Al mismo tiempo, el daño de su actividad fue extremadamente serio. El líder por número de ataques fue Conti —141 casos confirmados. Este grupo trabajó durante todo el periodo investigado y suspendió voluntariamente sus actividades a mediados de 2022. Le sigue LockBit, que en distintas variantes realizó 129 ataques, demostrando capacidad para constantes cambios de marca y de táctica.
Resulta especialmente interesante la selectividad en la elección de objetivos. Con mayor frecuencia los extorsionadores atacaron la industria, con 239 incidentes. En segundo lugar estuvo el sector de bienes de consumo —150 ataques—, y los sectores inmobiliario, financiero y tecnológico superaron la marca de 90 casos cada uno. Australia sufrió 135 ataques en los tres años, siendo la industria la que mostró mayor vulnerabilidad de forma constante. En 2021–2022 aumentó de forma notable la presión sobre las empresas de los segmentos tecnológico y de bienes de consumo.
El estudio dedica un apartado a la expansión del modelo ransomware como servicio (RaaS). Este formato separa el núcleo del grupo de su red de socios. Los desarrolladores crean el software malicioso y se encargan de recibir el rescate, mientras que los afiliados acceden a las redes de las víctimas y negocian. Este enfoque no solo incrementa la cantidad de ataques, sino que también prolonga el ciclo de vida de las estructuras criminales. En particular, NetWalker, tras pasar a este modelo en 2020, se convirtió en el récord por número de ataques —35 en un año. Las estadísticas muestran que los grupos que operan bajo el esquema RaaS tienden a mantener la actividad durante más tiempo y a mostrar mayor escala.
Se presta atención aparte a la intervención de las fuerzas del orden. Operaciones coordinadas de Estados Unidos y Rusia redujeron significativamente la actividad de NetWalker y REvil, e incluso en algunos casos detuvieron por completo su funcionamiento. Sin embargo, el ecosistema se reabasteció rápidamente: cuando unos desaparecían, surgían nuevos actores. Así, en 2022 aparecieron Karakurt, ALPHV (BlackCat) y Black Basta.
El responsable del estudio, el profesor Chad Uilan del Centro de Ciberseguridad de la Universidad Deakin, destacó que los sectores de alto riesgo necesitan métodos de protección especializados. Entre las medidas recomendadas figuran la implementación de programas sectoriales de concienciación, auditorías y pruebas regulares de sistemas, así como el uso de soluciones avanzadas para la detección de amenazas.
Los investigadores también insisten en una mayor cooperación entre los organismos estatales y las empresas privadas de ciberseguridad y en ampliar el intercambio de datos para desarrollar métodos eficaces de respuesta.
Estas conclusiones confirman que los ataques de ransomware siguen siendo una de las amenazas más serias de la era digital, y que comprender su dinámica interna ofrece la oportunidad de crear medidas de defensa más dirigidas y efectivas.
Las huellas digitales son tu debilidad, y los hackers lo saben