¿Qué es el ransomware como servicio (RaaS)?

El ransomware como servicio (RaaS) permite a los atacantes, ya estén cualificados para ello o no, alquilar herramientas de ransomware y llevar a cabo los ataques.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir ransomware como servicio (RaaS)
  • Entender el modelo de negocio RaaS
  • Más información sobre cómo defenderte de los ataques RaaS

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué es el ransomware como servicio (RaaS)?

El ransomware como servicio (RaaS) es un modelo de negocio para empresas con intenciones criminales que permite que cualquiera pueda registrarse y utilizar herramientas para realizar ataques de ransomware. Al igual que pasa con otros modelos como servicio, como el software como servicio (SaaS) o la plataforma como servicio (PaaS), los clientes de RaaS alquilan los servicios de ransomware, en lugar de poseerlos como en un modelo tradicional de distribución de software.

El ransomware es un tipo de malware que bloquea el sistema o los archivos de la víctima, normalmente mediante encriptación. La víctima solo puede recuperar el acceso a sus datos si paga un rescate a los responsables del ataque de ransomware. El ransomware se ha convertido en una importante industria del submundo criminal, con un valor de miles de millones de dólares al año.

Aunque muchos creen que las personas responsables de ciberataques como el ransomware son programadores altamente cualificados, la realidad es que muchos atacantes no escriben su propio código y puede que ni siquiera sepan cómo hacerlo. Los ciberdelincuentes con conocimientos de codificación suelen vender o alquilar lo que desarrollan en lugar de utilizarlos ellos mismos.

El ransomware es solo un área del sector de la ciberdelincuencia con un modelo "como servicio". Los atacantes también pueden alquilar herramientas DDoS, suscribirse a listas de credenciales robadas, contratar botnets, o alquilar troyanos bancarios, entre otros servicios.

¿Cómo funciona el ransomware como servicio?

Los servicios RaaS utilizan diferentes modelos de ingresos. Los proveedores pueden cobrar una tarifa plana de suscripción mensual, quedarse con un porcentaje de los beneficios de sus clientes, utilizar un híbrido de estos dos modelos o cobrar una cuota de licencia única. Una vez que un cliente de RaaS crea una cuenta y realiza el primer pago (normalmente en Bitcoin), puede seleccionar el tipo de malware que desea utilizar.

Una vez realizado el pago, los atacantes empiezan su campaña de distribución de malware e infectan a las víctimas. En la mayoría de las ocasiones, los atacantes de ransomware utilizan phishing o campañas de ingeniería social para intentar engañar a los usuarios con el fin de que ejecuten el malware. (Estos métodos son bastante baratos en comparación con la compra de una vulnerabilidad de día cero o el acceso a una puerta trasera). Una vez se ejecuta el malware, se encripta e inutiliza el ordenador de la víctima, y el atacante muestra un mensaje con instrucciones sobre a dónde se debe enviar el rescate.

Los proveedores de RaaS suelen ofrecer asistencia al cliente 24 horas al día, 7 días a la semana, para los atacantes que tienen problemas para conseguir que su malware funcione correctamente. La mayoría de los proveedores tienen foros comunitarios en los que los clientes pueden hacer preguntas e intercambiar ideas. Muchos también ofrecen guías paso a paso sobre cómo ejecutar un ataque de ransomware con sus herramientas.

¿Quién utiliza RaaS?

Algunos proveedores de RaaS son bastante exigentes sobre a quién venden su software. Pueden querer clientes altamente cualificados que tengan grandes objetivos, lo cual es una buena publicidad para su servicio. Pueden tener otros requisitos, como hablar un determinado idioma o la capacidad de empezar a utilizar el servicio y generar ingresos por ransomware de inmediato.

Otros venderán sus servicios prácticamente a cualquiera, siempre que el cliente pueda realizar el pago o generar ingresos en forma de rescates. Esto supone un ligero riesgo para los proveedores de RaaS, ya que, inevitablemente, algunos clientes pueden ser muy poco sofisticados y acabar siendo pillados.

En los últimos años, muchos proveedores de RaaS se han vuelto más cuidadosos sobre los sectores a los que permiten dirigirse a sus clientes. Por ejemplo, pueden prohibir los ataques a infraestructuras críticas o a instalaciones médicas, ya que estos ataques pueden afectar negativamente a la salud de las personas o incluso provocar muertes. Estos sucesos extremos suponen una mala publicidad para el mercado de RaaS, y los proveedores de RaaS pueden tener además objeciones morales cuando entra en juego la salud de las personas (problema que no tienen con su cuenta bancaria).

¿Cuáles son algunos ejemplos de ataques de ransomware como servicio?

Los ataques que usan RaaS se han vuelto habituales en los últimos años. Algunos ejemplos:

  • DarkSide es un grupo de ransomware que vende RaaS. El ataque a Colonial Pipeline en 2021 se atribuyó a DarkSide.
  • REvil se vende como RaaS. El ataque de ransomware en 2021 al proveedor de TI Kaseya utilizó el ransomware REvil.
  • El ransomware Dharma se vende como servicio y se ha utilizado en decenas, si no cientos, de ataques desde 2016.

El RaaS reduce considerablemente la barrera de entrada para esta rentable forma de ciberdelincuencia: cualquiera con un ordenador y una conexión a Internet puede llevar a cabo un ataque de ransomware. Por esta razón, es probable que los ataques RaaS sigan produciéndose en los próximos años.

¿Dónde compran los delincuentes el ransomware como servicio?

Como cualquier servicio en la nube, los servicios RaaS se compran y se accede a ellos por Internet. Los RaaS suelen distribuirse a través de foros de malware en la web oscura. (La "dark web" es una parte de Internet a la que solo se puede acceder utilizando un navegador Tor, que oculta la ubicación del usuario y su dirección IP).

¿Cómo comercializan sus servicios los proveedores de ransomware como servicio?

El RaaS es tan competitivo como cualquier otro sector, y muchos proveedores comercializan agresivamente sus servicios. Los proveedores de RaaS tienen cuentas de Twitter, sitios web, contenidos de vídeo y otros activos de marketing. Con frecuencia, realizan campañas de marketing para aumentar el negocio. La mayoría de las herramientas de RaaS tienen también reseñas de usuarios y foros de la comunidad.

Cómo defenderse de los ataques de ransomware como servicio

Una serie de medidas de seguridad puede ayudar a las organizaciones a defenderse tanto de los ataques de ransomware como servicio como de los ataques de malware en general:

  • Formación en seguridad para los usuarios: formar a los empleados, proveedores y otros usuarios para que reconozcan los ataques de phishing y de ingeniería social disminuye la probabilidad de que un ataque de RaaS tenga éxito.
  • Seguridad en el correo electrónico: muchos ataques de ransomware comienzan con un archivo adjunto de correo electrónico infectado. Analizar los correos electrónicos en busca de malware y bloquear los archivos adjuntos de fuentes no fiables puede ayudar a acabar con este vector de ataque.
  • Realizar copias de seguridad frecuentes de los datos: el ransomware hace que las organizaciones no puedan acceder ni utilizar sus datos. Pero En muchos casos, una organización puede restaurar sus datos a partir de una copia de seguridad en lugar de tener que pagar el rescate para desencriptarlos o reconstruir toda su infraestructura informática desde cero.

Para más información sobre cómo defenderse de los ataques RaaS, consulta Cómo prevenir el ransomware.