{"id":24564,"date":"2021-01-21T18:17:10","date_gmt":"2021-01-21T16:17:10","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=24564"},"modified":"2021-01-21T18:17:10","modified_gmt":"2021-01-21T16:17:10","slug":"rc3-bitcoin-ransom-tracing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/rc3-bitcoin-ransom-tracing\/24564\/","title":{"rendered":"El flujo financiero del ransomware"},"content":{"rendered":"

Cuanto m\u00e1s entendamos el modus operandi<\/em> y la magnitud operativa de los ciberdelincuentes, mayor ser\u00e1 la eficacia con la que podamos combatirlos. En el caso del ransomware<\/em>, evaluar el \u00e9xito y las ganancias de un grupo criminal en particular no es tarea f\u00e1cil. Los proveedores de seguridad a menudo se enteran de dichos ataques al observar y comunicarse con sus clientes, lo que b\u00e1sicamente significa que suelen ver los intentos fallidos. Por su parte, las v\u00edctimas de ransomware<\/em> tienden a quedarse callados (sobre todo si han pagado el rescate).<\/p>\n

Por consiguiente, escasean los datos confiables sobre los ataques exitosos. Sin embargo, en el Remote Chaos Communication Congress (RC3) del 2020, un equipo de investigadores present\u00f3 un m\u00e9todo un tanto curioso para analizar las campa\u00f1as de los ciberdelincuentes de principio a fin, bas\u00e1ndose en las huellas que dejan las criptomonedas.<\/p>\n

Un grupo de analistas de la Universidad de Princeton, la Universidad de Nueva York y la Universidad de California, en San Diego, as\u00ed como varios empleados de Google y Chainalysis, realizaron este estudio durante el 2016 y el 2017. Han pasado unos a\u00f1os, pero su m\u00e9todo a\u00fan puede aplicarse.<\/p>\n

M\u00e9todo de investigaci\u00f3n<\/h2>\n

Los delincuentes temen que el dinero deje rastros, motivo por el que el cibercrimen actual prefiere las criptomonedas (Bitcoins, en particular), que apenas est\u00e1n reguladas y aseguran el anonimato. Por otra parte, las criptomonedas est\u00e1n disponibles para todos y las transacciones no pueden cancelarse.<\/p>\n

Sin embargo, aqu\u00ed es relevante otra caracter\u00edstica importante del Bitcoin: todas las transacciones de Bitcoin son p\u00fablicas. Eso significa que es posible rastrear los flujos financieros y echar un ojo a la magnitud del funcionamiento interno de la econom\u00eda cibercriminal. Y eso es exactamente lo que los investigadores hicieron.<\/p>\n

Algunos atacantes, no todos, generan una direcci\u00f3n \u00fanica del monedero de BTC para cada v\u00edctima, as\u00ed que los investigadores primero recopilaron los monederos a los que se destinaban los pagos del rescate. Encontraron algunas de las direcciones en los mensajes p\u00fablicos sobre la infecci\u00f3n (muchas v\u00edctimas publicaron online<\/em> las capturas de pantalla del mensaje de rescate) y obtuvieron otros ejecutando el ransomware<\/em> en m\u00e1quinas de prueba.<\/p>\n

El siguiente paso de los investigadores fue rastrear la trayectoria de las criptomonedas despu\u00e9s de la transferencia al monedero, que en algunos casos requiri\u00f3 que ellos mismos hicieran micropagos de Bitcoin. Bitcoin permite el copago<\/em>, mediante el cual los fondos de diversos monederos se transfieren a uno, lo que permiti\u00f3 a los cibercriminales consolidar los pagos de rescate de varias v\u00edctimas. Pero dicha operaci\u00f3n requiere de una mente maestra que contenga las claves de m\u00faltiples monederos<\/a>. Por lo tanto, rastrear dichas operaciones permite ampliar la lista de v\u00edctimas y encontrar simult\u00e1neamente la direcci\u00f3n del monedero principal hacia el que se transfieren los fondos.<\/p>\n

Tras estudiar los flujos financieros que pasan por los monederos durante un periodo de dos a\u00f1os, los investigadores se hicieron una idea de los ingresos de los ciberdelincuentes y los m\u00e9todos para el blanqueo de fondos.<\/p>\n

Conclusiones principales<\/h2>\n

El hallazgo clave de los investigadores en ese periodo de dos a\u00f1os fue que 19.750 v\u00edctimas transfirieron aproximadamente 16 millones de d\u00f3lares a los operadores de los cinco tipos m\u00e1s comunes de ransomware<\/em>. Bien es cierto que esta cifra no es totalmente exacta (es improbable que hayan rastreado todas las transacciones), pero proporciona una cifra aproximada de la magnitud de la actividad de los ciberdelincuentes hace algunos a\u00f1os.<\/p>\n

Resulta interesante que cerca del 90 % de los ingresos provengan de las familias de Locky<\/a> y Cerber<\/a> (dos de las ciberamenazas m\u00e1s activas en aquel tiempo). Adem\u00e1s, el famoso WannaCry<\/a> gan\u00f3 m\u00e1s de unos pocos cientos de miles de d\u00f3lares (aunque muchos expertos clasifican este malware<\/em> como un borrador y no como un ransomware<\/em>).<\/p>\n

\"\"

Ganancias estimadas de los creadores del ransomware m\u00e1s expandido durante el 2016 y el 2017. Fuente<\/a><\/p><\/div>\n

De mucho mayor inter\u00e9s fue investigar cu\u00e1ntos de esos ingresos se llevaron los ciberdelincuentes y c\u00f3mo lo hicieron. Para ello, los investigadores utilizaron el mismo m\u00e9todo de an\u00e1lisis de transacciones para ver en qu\u00e9 monederos de los ciberdelincuentes aparec\u00edan transacciones conjuntas donde participaban los ya conocidos monederos de los servicios online<\/em> de cambio de divisas digitales. No todos los fondos se pueden rastrear de esta forma, por supuesto, pero el m\u00e9todo les permiti\u00f3 determinar que los ciberdelincuentes retiraban dinero mediante BTC-e.com y BitMixer.io (posteriormente, las autoridades clausuraron ambos servicios de cambio: como habr\u00e1s imaginado, se dedicaban al blanqueo de fondos il\u00edcitos).<\/p>\n

Desgraciadamente, el sitio de RC3 no permite ver la presentaci\u00f3n al completo, pero s\u00ed est\u00e1 disponible el texto \u00edntegro del informe. <\/a><\/p>\n

C\u00f3mo protegerte del ransomware<\/em><\/h2>\n

Las enormes ganancias del ransomware<\/em> han provocado que los ciberlincuentes sean m\u00e1s audaces. Un d\u00eda se consideran Robin Hoods modernos al invertir en obras de caridad<\/a>, pero al siguiente lanzan una campa\u00f1a de publicidad<\/a> para seguir acosando a sus v\u00edctimas. En este estudio, los investigadores intentaron localizar los puntos de presi\u00f3n que detendr\u00edan los flujos financieros y sembrar\u00edan la duda en las mentes de los ciberdelincuentes acerca de la rentabilidad del nuevo ransomware<\/em>.<\/p>\n

El \u00fanico m\u00e9todo verdaderamente eficaz para combatir el cibercrimen es evitar la infecci\u00f3n. Por lo tanto, te recomendamos seguir al pie de la letra las siguientes reglas:<\/p>\n